Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Superfici di attacco

Conclusione del Black Hat: tutti parlano di prevenzione, ma chi rileva le violazioni?

15 agosto 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Conclusione del Black Hat: tutti parlano di prevenzione, ma chi rileva le violazioni?

Se avete visitato il Black Hat, una cosa era chiara: tutti proteggono, difendono o salvaguardano qualcosa ... grazie all'intelligenza artificiale.

E in apparenza, tutti sembrano uguali.

Per gli acquirenti che cercavano di risolvere problemi reali, era difficile capire di chi fidarsi e con chi trascorrere il proprio tempo.

Come persona che trascorre ogni giorno a studiare il comportamento degli hacker e a sviluppare logiche di rilevamento, vorrei offrire una prospettiva diversa. Non si tratta di chi ha lo slogan migliore o la demo più accattivante. Si tratta piuttosto di porre domande più incisive, basate sul funzionamento effettivo degli attacchi moderni.

La prevenzione continua a prevalere. Ma la prevenzione da sola non funziona.

La maggior parte dei messaggi dei fornitori continua a concentrarsi sull'esclusione degli aggressori, e questo è necessario. Tuttavia, oggi gli autori delle minacce non si affidano più agli exploit per entrare.

Nella mia sessione Black Hat, Mind Your Attack Gaps, ho condiviso alcuni esempi di come gruppi di hacker come Scattered Spider, Volt Typhoon e Mango Sandstorm ottengono l'accesso e ampliano silenziosamente il loro controllo. Questi aggressori non hanno bisogno di malware zero-day. Si affidano a credenziali valide, token di sessione rubati o abusi di federazione per mimetizzarsi con attività legittime.

Il compromesso iniziale spesso inizia con qualcosa che nessuno strumento di sicurezza è in grado di bloccare: un accesso riuscito.

Da lì, esplorano l'ambiente utilizzando strumenti nativi, aumentano i privilegi attraverso percorsi di identità affidabili, persistono utilizzando app OAuth ed esfiltrano dati senza dare nell'occhio. Nessun exploit. Nessun file binario. Solo comportamenti che sembrano normali.

I controlli tradizionali non generano avvisi perché l'attività è tecnicamente conforme alle regole. Le credenziali sono valide. I percorsi di accesso sono consentiti. I registri, se non sono già stati eliminati, forniscono un quadro incompleto della situazione. La maggior parte delle difese è stata progettata per rilevare ciò che è estraneo o palesemente dannoso, non ciò che è valido ma utilizzato in modo improprio.

In tutti i casi reali che abbiamo studiato, erano presenti strumenti di prevenzione. Tuttavia, questi strumenti monitoravano i segnali sbagliati.

Perché gli attacchi di oggi non si distinguono. Si confondono con il resto.

Il principio "Assume Compromise" dovrebbe influenzare il modo in cui valutate i fornitori.

Avete già sentito parlare di "presumere il compromesso" (e forse avete letto il nostro precedente blog sull'argomento). Non si tratta solo di un cambiamento di mentalità, ma dovrebbe essere un modo per filtrare i fornitori quando tutti a una fiera dichiarano di fermare gli attacchi.

Non è necessario conoscere tutti i prodotti di sicurezza informatica disponibili sul mercato. È necessario comprendere il comportamento degli aggressori, quindi chiedere ai fornitori come rilevano e rispondono a tale comportamento:

  • Cosa rileva la tua soluzione dopo l'accesso iniziale?
  • Come si identifica il movimento laterale se le credenziali sono valide?
  • Cosa succede se il token di sessione di un utente viene dirottato in un'applicazione SaaS?
  • Il vostro prodotto è in grado di rilevare comportamenti su più livelli ( cloud, identità e rete) o solo su uno?
  • Quali capacità di rilevamento e risposta offrite quando i log non sono disponibili?

Se la risposta sembra più un allarme, o se la soluzione dipende interamente dalla prevenzione e dai registri, hai la tua risposta. Non stai parlando con qualcuno che può aiutarti quando il danno è già stato fatto.

Cosa serve dopo un compromesso (e come individuarlo)

Quando si verifica un compromesso, e succederà, il fattore chiave di differenziazione è la visibilità. Non la visibilità sulla telemetria grezza, ma la visibilità sul comportamento degli aggressori, ricomposta attraverso diversi ambienti. Cercate soluzioni in grado di:

  • Rileva l'attività senza fare affidamento su agenti o registri
  • Identificare comportamenti quali ricognizione, abuso di credenziali e persistenza
  • Correlare ciò che accade a livello di identità, rete e cloud
  • Fornire un triage che riduca il rumore, anziché aumentarlo
  • Mostra l'intero percorso dell'attacco, non solo eventi isolati

Si tratta di funzionalità che non possono essere simulate. Potrete verificarle in una demo. Potrete percepirle nel modo in cui il prodotto spiega cosa succede durante un incidente. E potrete vedere la differenza tra un sistema che mostra la telemetria e una piattaforma che mostra l'intento.

Non si tratta di "se". Si tratta di "cosa succederà dopo".

La maggior parte dei fornitori continua a vendervi la speranza che riuscirete a prevenire la violazione. Ma gli aggressori non cercano più di entrare con la forza. Stanno effettuando il login. Stanno sfruttando la fiducia. Sono già dentro.

Ciò che conta ora non è se li hai fermati all'ingresso, ma se vedi cosa fanno una volta entrati.

Questa è la domanda che ogni acquirente dovrebbe porsi.

Se siete curiosi di sapere come si sviluppano le minacce moderne e come il rilevamento basato sul comportamento reale riveli ciò che gli strumenti di prevenzione trascurano, abbiamo creato un'esperienza autoguidata che potete esplorare in pochi minuti. Nessun modulo da compilare. Nessuna telefonata. Solo una visione chiara di come si presenta effettivamente un rilevamento efficace delle minacce.

Domande frequenti