Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecniche di attacco

Come gli aggressori ottengono l'accesso iniziale in ambienti ibridi

12 novembre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Come gli aggressori ottengono l'accesso iniziale in ambienti ibridi

I team di sicurezza e i red team spesso affrontano le simulazioni delle minacce con complessi playbook ed elaborate kill chain. In pratica, però, gli aggressori non hanno bisogno di questo livello di sofisticazione. Quello che vediamo regolarmente è quanto sia ancora semplice entrare. Le intrusioni del mondo reale raramente seguono queste sequenze di script, ma sfruttano i frutti più facili: configurazioni deboli, credenziali trapelate e punti di accesso non monitorati.

L'accesso iniziale rimane la fase più semplice ed efficace di un'intrusione. Capire come gli aggressori colgono questa prima opportunità è ciò che separa le liste di controllo della prevenzione dalla vera resilienza.

La realtà moderna dell'accesso iniziale

Il vostro ambiente non è più un unico perimetro. Dovete proteggere una rete interconnessa di data center, piattaforme cloud , applicazioni SaaS ed endpoint remoti. Ognuno di questi è un punto di ingresso e gli avversari lo sanno.

L'accesso iniziale avviene in genere attraverso uno dei due percorsi:

  1. Sfruttamento tecnico: vulnerabilità non patchate, servizi esposti o asset mal configurati.
  2. Compromissione basata sull'identità: credenziali rubate o abusate, infostealers, scambi di SIM o configurazioni di federazione dannose.
Due vie di accesso: vulnerabilità tecniche e compromissioni basate sull'identità

Gli aggressori non hanno sempre bisogno di malware sofisticato o di zero-days. In molti casi, scoprono che le credenziali, i token o persino le chiavi VPN sono in vendita online. Esistono interi mercati clandestini in cui i "broker di accesso iniziale" commerciano punti di accesso verificati alle organizzazioni, rendendo più facile che mai per gli attori delle minacce saltare il duro lavoro di intrusione e saltare direttamente nel vostro ambiente.

Playbook del mondo reale: Come lo fanno gli attaccanti

Gli attaccanti riutilizzano ciò che funziona. Ecco alcuni scenari comuni che i team SOC dovrebbero riconoscere:

1. Misconfigurazioni opportunistiche

DC Healthlink è stato uno dei miei più grandi hack, e non era nemmeno un hack. non era nemmeno un hack. Era alla luce del sole. Non c'era nulla di complicato, era solo un secchio pubblico. Completamente aperto.
- IntelBroker*

Gli attori utilizzano motori di ricerca come SHODAN e cercano archivi di dati esposti pubblicamente o servizi cloud mal configurati. Una volta trovati, sfruttano le autorizzazioni deboli o le chiavi di accesso trapelate per ottenere il controllo di risorse che non avrebbero mai dovuto essere visibili.

Schermata di una ricerca in Shodan

2. Scorciatoie della catena di approvvigionamento

Il incidente Snowflake ha messo in luce un rischio crescente: gli aggressori utilizzano le credenziali rubate degli appaltatori, raccolte dagli infiltrati delle commodity, per raggiungere i dati aziendali. Anche se le vostre difese sono solide, il portatile del vostro partner può essere il vostro anello debole.

Rattoppo i dipendenti a casa tramite spearphishing e spearmishing e uso i loro laptop di lavoro, è così che hackero gli MSP. A volte infilo il loro coniuge, il che può essere più facile, per poi passare a loro.
- Ellyel8*

Un altro esempio è il recente exploit della catena di distribuzione NPMin cui i pacchetti avvelenati iniettavano codice dannoso direttamente negli ambienti di sviluppo. Il payload iniettato inizialmente aveva come obiettivo le transazioni di criptovalute, ma si è rapidamente trasformato in un worm auto-replicante, attualmente rintracciato come "Shai-Huludche è responsabile della compromissione di centinaia di pacchetti software.

3. Dirottamento dell'identità e scambio di SIM

Gruppi come Scattered Spider sfruttano la fiducia delle persone. Prendono di mira i dipendenti tramite phishing via SMS e social engineering, clonano i numeri di telefono e resettano i token MFA. Da lì, le regole delle caselle di posta elettronica e l'abuso della fiducia federata danno loro la possibilità di persistere. Questi gruppi cercano anche di "reclutare" dipendenti/insider e pagano per ottenere le loro credenziali.

Scattered Lapsus$ Hunters fa annunci su Telegram per acquistare l'accesso iniziale e reclutare addetti ai lavori

4. Furtività dello Stato-nazione

Campagne come Volt Typhoon si basano su strumenti incorporati e su tattiche di "vivere sulla terraferma".. Catturano gli hives del registro, cancellano i log e utilizzano PowerShell per rimanere invisibili all'interno del traffico legittimo, aggirando la maggior parte delle difese endpoint.

Perché la prevenzione da sola non è sufficiente

I controlli preventivi (MFA, patching, EDR) sono fondamentali, ma nessuno è infallibile. Gli endpoint non sono gestiti, le credenziali vengono riutilizzate e i registri possono essere manomessi. Gli aggressori spesso disabilitano o evitano del tutto gli agenti. Una volta che un attaccante riesce a entrare, la domanda diventa: È possibile vedere cosa farà in seguito?

Schermata dello strumento EDR Freeze su GitHub

I team SOC hanno bisogno di una visibilità che non si basi solo sugli endpoint o sull'integrità dei registri. È qui che entra in gioco la telemetria della rete e dell'identità.

Come si presenta un rilevamento efficace

Il rilevamento deve essere incentrato sul comportamento, non sulle firme. Non è sempre possibile fermare un'intrusione, ma è possibile identificare le azioni dell'attaccante prima che si verifichino danni reali.

Ecco i principi fondamentali:

  • Visibilità senza agenti: Distribuite sensori che osservano il traffico anche dove l'EDR non è presente: dispositivi remoti, asset non gestiti o sistemi legacy.
  • Contesto dell'identità: Correlare gli eventi di autenticazione con i flussi di rete. Un accesso legittimo da una nuova area geografica o da un nuovo dispositivo non dovrebbe passare inosservato.
  • Analisi comportamentale: Traccia le azioni come la creazione di regole per le caselle di posta, l'escalation dei privilegi o le modifiche alla fiducia federata.
  • Conservazione delle prove: Presupporre che i registri possano essere cancellati; utilizzare la cattura passiva dei pacchetti e la telemetria di rete che gli aggressori non possono alterare.
  • Triage e prioritizzazione dell'intelligenza artificiale: Rilevamento automatico dei modelli di movimento laterale e delle catene di comportamenti ad alto rischio.

Come la piattaforma Vectra AI di Vectra AI rafforza il rilevamento

La PiattaformaVectra AI offre un rilevamento agentless su tutti i livelli di rete e identità, fornendo una visibilità che gli aggressori non possono eludere. Analizza continuamente il traffico ibrido, da quello on-premise a quello cloud e SaaS, e lo mette in relazione con i comportamenti delle identità per rilevare minacce come l'abuso di credenziali, il tunneling e l'escalation dei privilegi.

L'analisi guidata dall'intelligenza artificiale elimina il rumore degli avvisi, facendo emergere i comportamenti veramente importanti, in modo che il SOC possa rispondere più rapidamente e con sicurezza. Invece di affidarsi ai registri che l'aggressore potrebbe aver cancellato, si ottiene una visione persistente di ciò che sta realmente accadendo nel vostro ambiente.

I vostri prossimi passi

Non potete controllare tutte le credenziali o i laptop dei partner, ma potete controllare la vostra capacità di vedere il comportamento degli aggressori.

Per vedere come il rilevamento agentless rivela queste intrusioni in fase iniziale, guardate la prima sessione dell'Attack Lab sull'Accesso iniziale e iscrivetevi ai prossimi episodi su Persistenza e Movimento laterale. Oppure partecipate a una demo autoguidata della piattaforma Vectra AI ed esplorate come rileva il comportamento degli aggressori nel vostro ambiente ibrido.

---

*Citazione dal libro di Vinny Troia "Grey Area: La raccolta di dati nel Dark Web e il futuro dell'OSINT".

DOMANDE FREQUENTI