SentinelOne, una guida per difendersi dagli attacchi industrializzati

SentinelOne suona un campanello d’allarme sul futuro della sicurezza informatica. Nel suo Annual Threat Report, l’azienda evidenzia un cambiamento profondo nelle strategie degli attaccanti: non si tratta più soltanto di violare un sistema per ottenere un accesso iniziale, ma di sfruttare in modo sistematico identità digitali, infrastrutture e processi automatizzati che costituiscono il cuore operativo delle imprese. Secondo il report, stiamo entrando in una fase di “attacchi industrializzati”, in cui le operazioni malevole sono sempre più scalabili, rapide e difficili da individuare. I team di sicurezza si trovano sommersi da enormi quantità di dati telemetrici, ma spesso privi del contesto necessario per distinguere una minaccia reale da una semplice anomalia. Il problema non è più la mancanza di informazioni, bensì la capacità di trasformarle in azioni concrete e tempestive.

Per rispondere a questa sfida, SentinelOne introduce un vero e proprio Defender’s Playbook, pensato per aiutare le organizzazioni a mantenere la continuità operativa anche in presenza di attacchi complessi. Il documento analizza le otto fasi strategiche delle violazioni moderne, offrendo indicazioni pratiche per passare da un approccio reattivo a uno proattivo, basato sul contesto e sulla resilienza. Tra i principali trend emersi, spicca il cosiddetto “paradosso delle identità”. Oggi gli account digitali si estendono tra piattaforme SaaS, cloud e sistemi automatizzati, consentendo a un singolo utente di accedere a decine di servizi. Nonostante l’enorme quantità di dati raccolti, le intrusioni basate su credenziali restano tra le più difficili da rilevare. Gli attaccanti sfruttano token rubati, phishing e account compromessi per operare indisturbati con accessi legittimi. Per questo, sottolinea il report, le aziende devono spostare l’attenzione dal semplice momento dell’autenticazione al monitoraggio continuo delle attività dopo il login.

Un altro fronte critico riguarda le pipeline di sviluppo software. Sempre più aggressori prendono di mira i sistemi CI/CD, compromettendo i processi di build per inserire codice malevolo o sottrarre informazioni sensibili prima ancora che il software venga distribuito. In questo scenario, diventa essenziale garantire visibilità sull’intero ciclo di vita dello sviluppo e correlare eventi distribuiti nel tempo. Il perimetro di sicurezza, inoltre, è sempre più sfumato. I dispositivi edge rappresentano oggi uno dei principali punti di ingresso per gli attacchi: quasi la metà degli exploit zero-day recenti li prende di mira. Spesso trascurati o non adeguatamente gestiti, questi sistemi possono diventare la porta d’accesso a compromissioni più ampie. Le contromisure suggerite includono la dismissione dell’hardware obsoleto, la centralizzazione dei log e l’adozione diffusa dell’autenticazione multifattore. Infine, il report evidenzia il ruolo crescente dell’automazione come “moltiplicatore” delle minacce. Non è solo l’intelligenza artificiale a preoccupare, ma anche l’uso di workflow automatizzati che permettono agli attaccanti di eseguire operazioni complesse in pochi millisecondi, dalla scansione delle vulnerabilità al movimento laterale nei sistemi. La difesa, di conseguenza, deve evolvere verso modelli altrettanto automatizzati, privilegiando risposte immediate e mirate alle minacce ad alta probabilità.

“Il contesto delle minacce è in continua evoluzione, ma gli elementi fondamentali restano -, ha dichiarato Steve Stone, Chief Customer Officer di SentinelOne -. Gli attaccanti sfruttano sempre più le lacune tra sicurezza e operatività e la lentezza dei difensori nell’adottare tecnologie avanzate. Colmare questo divario significa testare continuamente la solidità dei propri controlli di sicurezza, senza limitarsi a inseguire le singole tecniche emergenti”.