Le minacce sponsorizzate dagli Stati costituiscono una delle sfide più complesse per aziende, infrastrutture critiche e pubbliche amministrazioni. Lo riporta l’ultima analisi di Cisco Talos nel 2026.
Il team di intelligence di Cisco, specializzato nello studio delle minacce avanzate, infatti “conferma un’evoluzione ormai evidente anche in altri report recenti di Mandiant e CrowdStrike”, secondo Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“Questa importante analisi ci dà infatti modo di focalizzare un aspetto che spesso viene sottovalutato: gli attori sponsorizzati dagli Stati non sono necessariamente i più rumorosi, ma sono quasi sempre i più pazienti“, secondo Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.
Ecco perché e come mitigare il rischio.
Cisco Talos: i dati dell’indagine 2026
I gruppi Nation-State non agiscono per guadagnare un ritorno immediato o per produrre impatti visibili. Invece operano silenziosamente, con metodo e in maniera persistente, utilizzando credenziali valide, strumenti legittimi e relazioni di fiducia già presenti nelle organizzazioni.
L’analisi di Cisco Talos mette in risalto un’evoluzione rilevante nel modo in cui si conduce questa tipologia di attacchi e, dunque, come fronteggiarli.
I gruppi di cyber criminali sponsorizzati dagli Stati non operano secondo la logica dei criminali comuni. “Oggi il vero rischio non è il ransomware che blocca i sistemi e si fa notare, ma l’avversario che rimane invisibile per mesi utilizzando credenziali legittime e strumenti già presenti nell’infrastruttura”, sottolinea Dario Fadda.
Infatti il loro obiettivo è rimanere invisibili il più a lungo possibile, spesso per mesi, raccogliendo informazioni strategiche o mettendo a punto future operazioni.
“Le operazioni sponsorizzate dagli Stati stanno progressivamente abbandonando tecniche rumorose per adottare strategie ‘living-off-the-land’, basate su credenziali valide e strumenti nativi del sistema. Questo rende sempre più sfumato il confine tra attività amministrativa e compromissione, aumentando drasticamente il tempo medio di permanenza degli attaccanti nelle reti, che in diversi casi supera i 200 giorni prima della rilevazione“, mette in guardia Paganini.
La fiducia come vulnerabilità
Il fattore più sottovalutato di questo modello operativo è la fiducia. Molte imprese infatti si ostinano a ritenere affidabile tutto ciò che ricade all’internp del proprio perimetro, spaziando dagli utenti interni ai sistemi certificati, fino ai fornitori e alle piattaforme cloud.
Ma Cisco Talos punta il dito contro lo sfruttamento sempre più frequente della fiducia implicita.
Gli attaccanti agiscono nelle infrastrutture senza introduzione di codice malevolo, ma sfruttando strumenti già presenti come PowerShell o sistemi di gestione IT, oltre a credenziali legittime, così offuscando le proprie attività, rese difficili da riconoscere rispetto ad operazioni amministrative ordinarie.
“Il punto centrale non è solo la persistenza, ma la normalizzazione dell’anomalia: l’uso di PowerShell, strumenti IT e accessi legittimi trasforma l’attacco in comportamento ordinario, rendendo inefficaci molti modelli di detection tradizionali basati su firme o indicatori statici“, mette in guardia Paganini: “Anche le analisi più recenti di Microsoft Digital Defense Report evidenziano come oltre il 60% degli incidenti coinvolga identità compromesse, segno che l’identità è ormai il vero perimetro di sicurezza“.
Nell’indagine di Cisco Talos nel 2026 supply chain come amplificatore del rischio
Mimetizzandosi e rimanendo nascosti il più a lungo possibili, questi attacchi dimostrano di avere obiettivi differenti rispetto ai ransomware, come lo spionaggio, il furto di proprietà intellettuale o la persistenza di accessi strategici, mantenuti nel tempo per rubare informazioni.
“In questo scenario, la supply chain diventa un amplificatore del rischio, come visto in campagne recenti legate a compromissioni di provider e strumenti di sviluppo. La conseguenza è un cambio di paradigma: non si difende più solo la rete, ma l’intero ecosistema di relazioni digitali”, avverte Paganini.
Come mitigare i rischi
Poiché l’accesso iniziale sfrutta frequentemente credenziali compromesse e il movimento laterale utilizza strumenti legittimi per espandersi all’interno dell’infrastruttura, per mitigare i rischi occorre:
- diffidare di richieste urgenti,
- non cliccare su link ricevuti in messaggi inattesi,
- verificare sempre l’autenticità delle comunicazioni tramite i canali ufficiali,
- adottare l’autenticazione a più fattori e password uniche per ridurre il rischio di compromissioni successive.
La protezione degli accessi, il monitoraggio dei comportamenti e la limitazione dei privilegi sono ormai una priorità. “Per questo motivo le organizzazioni, soprattutto quelle che gestiscono servizi critici e finanziari, devono superare il concetto tradizionale di perimetro sicuro e adottare un approccio basato sulla verifica continua della fiducia. La differenza tra rilevare un attacco e accorgersene troppo tardi si gioca sempre più sulla capacità di individuare anomalie comportamentali, non semplicemente malware tecnologici”, avverte Dario Fadda.
Inoltre, per mitigare il rischio bisogna implementare un approccio pragmatico, soprattutto laddove le risorse sono limitate.
La priorità consiste nell’aumento della visibilità su ciò che accade nella rete, attivando e centralizzando i log e raccogliendo in maniera strutturata le informazioni di sicurezza.
In contemporanea, Cisco Talos consiglia nel 2026 di potenziare la protezione delle identità grazie all’adozione dell’autenticazione multifattore e gestendo rigorosamente gli accessi privilegiati.
Il monitoraggio continuo dei sistemi più critici e la realizzazione di modelli comportamentali aggiornati nel tempo, in grado di rilevare anche anomalie minime e attività sospette, invisibili o quasi agli strumenti classici, sono fondamentali per difendersi dalle minacce sponsorizzate dagli Stati. Esse si distinguono per gli spazi temporali estesi e obiettivi di natura strategica.
Secondo Cisco Talos, nel 2026 una difesa frammentata né solo reattiva debba evolvere verso modelli di monitoraggio continuo, analisi e adattamento.
Per distinguere l’attività malevola da quella legittima, occorre identificare anomalie e comportamenti fuori schema, sempre più fattori centrali per la sicurezza.
“Serve quindi un approccio basato su continuous threat exposure management, correlazione comportamentale e soprattutto una governance matura delle identità. La sfida non è più ‘bloccare l’attacco’, ma riconoscere quando un’attività interna legittima ha smesso di esserlo”, conclude Paganini.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Mirella Castigli
Source link
