SentinelOne ha di recente pubblicato il Threat Intelligence Report 2024 che sintetizza in modo analitico l’output delle attività svolte a stretto contatto con i clienti. La particolarità di questo report risiede nella sua natura: i dati riportati sono derivati esclusivamente da informazioni raccolte in maniera empirica attraverso la piattaforma di sicurezza di SentinelOne. Tali dati provengono da tre canali principali: la telemetria nativa generata dalle tecnologie installate in produzione, i servizi gestiti di Managed detection and response (MDR) e le attività di forensic investigation e di incident response, condotte a fronte di compromissioni reali.
Abbiamo chiesto a Paolo Cecchi, sales director della Mediterranean Region di SentinelOne, di commentare alcuni dei risultati più rilevanti.
Quali elementi caratterizzano oggi gli attacchi?
Uno degli aspetti che emergono con forza riguarda il contesto geopolitico attuale, che influenza in modo sostanziale il panorama delle minacce informatiche. In particolare, l’inasprimento della rivalità strategica tra Stati Uniti e Cina, che si riflette anche in ambiti economici e tecnologici, ha determinato un incremento rilevante di attività di tipo state-sponsored. È importante sottolineare che in Cina non esistono entità operative completamente indipendenti dallo Stato: molti gruppi che agiscono utilizzando minacce persistenti avanzate (Advanced persistent threat-APT) sono riconducibili direttamente a sponsor governativi e possono contare su infrastrutture umane e tecnologiche imponenti.
Parallelamente, anche le tensioni belliche in corso hanno riattivato una significativa quantità di operazioni informatiche offensive riconducibili a finalità geopolitiche. Così, dopo un periodo in cui predominavano le attività cybercriminali a scopo prettamente finanziario, nel corso dell’ultimo anno abbiamo assistito a una ripresa massiccia delle minacce sponsorizzate dagli Stati.
Quali sono i vettori d’ingresso più frequentemente rilevati?
Al primo posto rimane la network intrusion, che sfrutta vulnerabilità note (e talvolta anche zero-day) su dispositivi esposti come appliance VPN o sistemi di accesso remoto. In seconda posizione c’è il ransomware, che continua a rappresentare una delle minacce più pervasive ed evolute, con tecniche di cifratura, estorsione e lateral movement sempre più raffinate. Un ulteriore vettore di rilievo è costituito dalla compromissione delle email aziendali, che include tecniche di phishing, spear phishing e social engineering.
Cosa differenzia gli attacchi di oggi da quelli degli anni scorsi?
I metodi di attacco non sono radicalmente cambiati, ma c’è stata una netta accelerazione in termini di efficacia e rapidità, grazie all’adozione massiva di strumenti basati su artificial intelligence da parte degli attori malevoli.
L’utilizzo dell’AI ha determinato un’escalation non solo quantitativa ma anche qualitativa degli attacchi. Il numero di incidenti è in costante crescita proprio perché gli strumenti di AI consentono una maggiore scalabilità e una riduzione delle barriere tecniche. L’intelligenza artificiale permette di automatizzare interi flussi di attacco, dalle attività di reconnaissance al delivery, fino al post-exploitation, amplificando l’impatto e riducendo il dwell time all’interno delle reti compromesse.
Inoltre, la disponibilità di piattaforme AI accessibili e gratuite consente anche a soggetti con competenze tecniche limitate di generare e orchestrare attacchi strutturati.
Quali sono i settori più colpiti?
I comparti più interessati dagli attacchi sono l’healthcare, il manufacturing e i financial services. Il settore sanitario, in particolare, rappresenta un bersaglio ad alta priorità per gli attaccanti, in virtù del valore intrinseco dei dati trattati (cartelle cliniche, referti, identificativi univoci) e della frequente obsolescenza o debolezza delle infrastrutture IT, spesso non allineate agli standard di sicurezza propri delle realtà private.
In che modo si tutelano le aziende?
Le aziende stanno reagendo con due priorità principali: il consolidamento tecnologico e l’ottimizzazione degli investimenti. La scarsità di risorse specializzate in ambito cybersecurity e le pressioni macroeconomiche spingono le organizzazioni a razionalizzare il proprio stack tecnologico, riducendo la frammentazione e privilegiando soluzioni integrate e interoperabili. Abbiamo osservato un crescente rigore nei processi di selezione e procurement di soluzioni di sicurezza: non solo valutazioni tecniche, ma anche approfondite analisi legali, finanziarie, ambientali e di ritorno sull’investimento (ROI e TCO).
In questo contesto, il concetto di cybersecurity platform assume un ruolo sempre più centrale: l’adozione di architetture modulari e scalabili, capaci di coprire più domini della sicurezza (EDR/XDR, cloud security, identity protection, threat intelligence e così via), rappresenta una leva strategica per garantire efficienza operativa, riduzione della complessità e valore nel lungo termine alle imprese.
Secondo SentinelOne, quali sono oggi gli strumenti indispensabili per contrastare gli attacchi?
I capisaldi che riteniamo imprescindibili sono due: automazione e intelligenza artificiale applicata alla sicurezza. In particolare, con la recente versione Athena della nostra tecnologia Purple AI abbiamo superato il concetto di assistente virtuale per evolvere verso quello di estensione dell’analista umano. Athena integra nel proprio motore cognitivo una knowledge base strutturata, alimentata dalle esperienze operative del nostro SOC globale e dai processi utilizzati nei servizi MDR, offrendo così capacità di hunting, triage e risposta che simulano il comportamento di un analista esperto.
Questa nuova architettura consente ad Athena di effettuare in modo autonomo attività di investigazione su alert, determinare falsi positivi, stabilire priorità, identificare correlazioni, suggerire azioni di rimedio e, ove possibile, automatizzare la risposta. Una delle funzionalità distintive introdotte è il Community Verdict, che consente ai clienti di visualizzare in tempo reale il giudizio espresso da altri utenti SentinelOne relativamente ad alert simili: una forma evoluta di threat intelligence collaborativa, che consente di rafforzare ulteriormente la confidenza nelle decisioni automatizzate, riducendo il carico cognitivo e operativo sugli analisti umani.
LEGGI ANCHE
SentinelOne: protezione multilivello, integrata e guidata dall’AI