Sono una persona che ragiona in modo semplice, quindi inizio in modo semplice.
Come leader della sicurezza, condividiamo tutti le stesse tre verità:
- Vogliamo che il nostro personale e il nostro marchio siano al sicuro.
- Il nostro dolore più grande è l'incertezza.
- Dobbiamo fermare le violazioni.
Ecco. Tre verità umane che tagliano il rumore delle slide dei fornitori, dei rapporti degli analisti e delle presentazioni dei prodotti.
Ma il problema è che le nostre reti moderne hanno superato i nostri vecchi modi di pensare.
La rete moderna = una gigantesca superficie di attacco
Una volta la "rete" era costituita da un centro dati e da alcuni uffici. Si aveva un perimetro. Si costruiva un fossato. Si gettava l'EDR sugli endpoint per tenere lontani gli aggressori.
Quel mondo è scomparso.
L'azienda moderna è ibrida, senza confini e con un'ampia gamma di attività:
- Centri dati e carichi di lavoro cloud .
- Piattaforme SaaS e strumenti di collaborazione.
- Lavoratori a distanza e SASE.
- IoT e OT che non sono mai stati costruiti pensando alla sicurezza.
Gli aggressori non guardano a questo caos e non vedono silos di endpoint, cloud o identità. Vedono un'unica, gigantesca superficie di attacco connessa. E hanno un obiettivo semplice: entrare nella vostra rete.
Il forcone degli attaccanti
Il bello è che gli aggressori non hanno bisogno di un arsenale sofisticato per riuscirci. Hanno imparato a padroneggiare le tre punte di quello che io chiamo il Forcone degli Attaccanti:
- Disattivare i controlli.
- Evitare le difese.
- Snobbate i vostri strumenti.
Ecco fatto. Con questo forcone, possono aggirare la prevenzione endpoint , eludere l'EDR e operare nell'ambiente ibrido senza essere individuati.
Se vi sembra drammatico, guardate i dati:
- Il 50% delle principali violazioni nel 2025 ha coinvolto attaccanti che hanno aggirato i controlli endpoint .
- Il 40% delle violazioni ha riguardato più domini: endpoint, rete, cloud e identità insieme.
- Secondo CrowdStrike, il tempo medio che intercorre tra l'infiltrazione e il movimento laterale è di 48 minuti.
Quindi, chiedo un'ovvietà: se gli aggressori possono disabilitare, evitare o ingannare il vostro EDR in meno di un'ora, siete davvero al sicuro?
Perché il segnale è cattivo
Se siete analisti SOC, conoscete già la risposta. Abbiamo investito in stack forti:
- Firewall, IDS/IPS sulla rete.
- IAM, PAM, MFA sull'identità.
- CASB, CSPM nel cloud.
- EPP, EDR sugli endpoint.
Tutti solidi. Tutto necessario. Ma anche... tutto silo. Ogni strumento genera avvisi. Ognuno aggiunge rumore. Gli analisti annegano nei falsi positivi. E il "segnale" di cui abbiamo bisogno per catturare gli attacchi reali viene insabbiato. Il risultato? L'incertezza.
Ci viene detto di pensare in termini di superfici di attacco multiple. Gli attaccanti non lo fanno. Pensano in termini di una sola. E se il loro obiettivo è entrare nella vostra rete e il loro percorso è ottenere un'identità, allora il nostro segnale di attacco non dovrebbe essere radicato nella rete + identità?
La sicurezza ha due facce
Ricordate la verità umana? Vogliamo la sicurezza. Ma la sicurezza ha due facce:
- Resilienza pre-compromissione: impedire agli aggressori di entrare. (Questo è l'EDR).
- Resilienza post-compromissione: fermare gli aggressori già entrati. (Si tratta di NDR e identità).
L'EDR è essenziale. Non c'è dubbio. Ma non è infallibile. Il forcone lo dimostra. L'NDR e i rilevamenti di identità coprono ciò che l'EDR non riesce a fare:
- Movimento laterale attraverso il traffico est-ovest.
- Abuso di credenziali nei servizi cloud .
- Precursori di ransomware nei dispositivi IoT e non gestiti.
- Comportamenti anomali che non fanno scattare la firma, ma che gridano "aggressore".
Non è teoria. I CISO del settore sanitario lo hanno fatto per proteggere la sicurezza dei pazienti. I rivenditori lo hanno fatto per proteggere i POS e l'IoT. I produttori lo hanno fatto per difendere le catene di approvvigionamento. I risultati? Visibilità che non avevano. Riduzione del rumore che non potevano immaginare. E velocità di cui avevano disperatamente bisogno.
Il segnale post-compromesso in velocità è tutto
Perché c'è un'altra brutta verità: i difensori sono lenti. Le ricerche dimostrano che i difensori impiegano in media 292 giorni per identificare e contenere un attacco. Nel frattempo, gli aggressori hanno bisogno di meno di un'ora per muoversi lateralmente. Perché? Perché la velocità è difficile.
- Ricerca.
- Monitor.
- Correlare.
- Triage.
- Allarme.
- Escalation.
- Indagare.
- Rispondere.
I sistemi basati su regole non riescono a tenere il passo. Gli analisti non riescono a scalare. Il carico di lavoro è schiacciante. Solo l'intelligenza artificiale rende possibile la velocità, automatizzando la correlazione, il triage e la prioritizzazione. Trasformando il rumore in narrazione. Fornendo agli analisti un segnale di attacco alla velocità con cui operano gli aggressori.
Il CISO lungimirante
Quindi eccoci qui. Reti moderne, attacchi moderni, problemi moderni.
I CISO lungimiranti non acquistano altri strumenti da lanciare contro il muro. Stanno modificando le fondamenta della loro strategia di resilienza:
- Da segnali isolati a segnali unificati di rete e identità.
- Dalla prevenzione statica all'assunzione di compromessi.
- Dalle regole e dal rumore all'intelligenza artificiale comportamentale che offre chiarezza e velocità.
Perché per fermare le violazioni non basta più una prevenzione perfetta. Si tratta di rilevare e rispondere in modo resiliente una volta che gli aggressori sono entrati.
Il mio pensiero semplice
Ho detto che sono un pensatore semplice, quindi finiamola con la semplicità. Siamo umani. Vogliamo sicurezza. Proviamo dolore nell'incertezza. Abbiamo bisogno di fermare le violazioni. La nostra capacità di essere resilienti si riduce a 3 cose: Copertura + Chiarezza + Controllo.
- Copertura: Rete + Identità + Cloud + Endpoint insieme.
- Chiarezza: segnale di attacco radicato nella rete e nell'identità, non in strumenti isolati.
- Controllo: Velocità guidata dall'intelligenza artificiale che ribalta il vantaggio degli attaccanti.
Ecco come i CISO lungimiranti stanno neutralizzando il forcone degli attaccanti.
Pensiero finale: Perché la sicurezza delle reti e delle identità è il futuro
La rete moderna è senza confini. Il forcone degli attaccanti è semplice ma letale. L'EDR da solo non basta. Quindi chiedetevi: il vostro segnale di attacco è radicato dove gli aggressori operano effettivamente: nella rete e con un'identità? Perché è lì che risiedono la sicurezza, la certezza e la resilienza.
Fonti:
- Presentazione di Gartner SRM London: L'EDR non basta - Costruire la resilienza agli attacchi moderni con la rete e l'identità
- Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto - dati sulle violazioni e sui fallimenti della protezione endpoint
- CrowdStrike 2025 Global Threat Report - media di 48 minuti dall'infiltrazione al movimento laterale
- Vectra AI, Stato del rilevamento e della risposta alle minacce - Il dilemma dei difensori (2024, 2023) - Punti dolenti, incertezza e sfide di chiarezza del segnale per gli analisti SOC