I team di sicurezza informatica devono affrontare una realtà preoccupante: una volta che gli aggressori ottengono l'accesso iniziale a una rete, possono diffondersi ai sistemi critici in soli 18 minuti. Questa diffusione silenziosa, nota come movimento laterale, è diventata la caratteristica distintiva dei moderni attacchi informatici, che secondo il rapporto Global Cloud and Response Report 2025 di Illumio interesseranno quasi il 90% delle organizzazioni nel 2025.
La velocità e la furtività dei movimenti laterali mettono fondamentalmente in discussione gli approcci tradizionali alla sicurezza. Mentre le difese perimetrali si concentrano sull'impedire l'ingresso agli aggressori, i movimenti laterali presuppongono che questi siano già all'interno, dove sfruttano strumenti legittimi, abusano di protocolli affidabili e si muovono attraverso gli ambienti più velocemente di quanto la maggior parte dei team di sicurezza riesca a reagire. Comprendere e fermare questa tecnica non è solo importante, ma essenziale per sopravvivere nell'attuale panorama delle minacce, dove una violazione costa in media alle organizzazioni 4,44 milioni di dollari.
Il movimento laterale è la tecnica utilizzata dagli aggressori per navigare all'interno di una rete compromessa, accedendo a sistemi e risorse aggiuntivi pur mantenendo il loro attuale livello di privilegi. A differenza del movimento verticale, che mira ad ottenere privilegi più elevati, il movimento laterale si diffonde orizzontalmente nell'ambiente, consentendo agli aggressori di esplorare la rete, individuare dati preziosi e stabilire più punti di persistenza prima di eseguire i loro obiettivi finali.
Questa distinzione è importante perché il movimento laterale spesso sfugge ai tradizionali strumenti di sicurezza. Gli aggressori sfruttano credenziali legittime e strumenti di sistema nativi, facendo apparire le loro attività come normale traffico di rete. Il rapporto Illumio 2025 rivela che quasi il 90% delle organizzazioni ha subito una qualche forma di movimento laterale nell'ultimo anno, con un risultato medio di oltre 7 ore di downtime per ogni incidente: un tempo troppo lungo quando gli aggressori possono raggiungere rapidamente i sistemi critici.
L'impatto sul business va oltre i parametri tecnici. Ogni minuto di movimento laterale non rilevato aumenta il potenziale raggio d'azione di un attacco. Quello che inizia come una singola workstation compromessa può rapidamente trasformarsi in una compromissione a livello di dominio, nell'esfiltrazione di dati o nella crittografia completa tramite ransomware in tutta l'azienda. Questa progressione spiega perché l'implementazione zero trust efficace e di capacità proattive di ricerca delle minacce è diventata imprescindibile per i moderni programmi di sicurezza.
Il settore della sicurezza spesso confonde il movimento laterale con l'escalation dei privilegi, ma comprendere le loro differenze è fondamentale per una difesa efficace. Il movimento laterale rappresenta l'espansione orizzontale attraverso i sistemi utilizzando credenziali e autorizzazioni esistenti. Un aggressore che ha compromesso un utente standard su una workstation si sposta su altre workstation a cui quell'utente ha accesso, senza bisogno di elevazione.
L'escalation dei privilegi, al contrario, comporta un movimento verticale verso l'alto nella gerarchia delle autorizzazioni. Un aggressore sfrutta vulnerabilità o configurazioni errate per ottenere diritti di amministratore, privilegi di amministratore di dominio o accesso root. Queste tecniche spesso funzionano in tandem: gli aggressori si muovono lateralmente fino a trovare un sistema in cui è possibile l'escalation dei privilegi, quindi utilizzano tali privilegi elevati per muoversi lateralmente con maggiore libertà.
Si consideri la recente Volt Typhoon che ha preso di mira infrastrutture critiche. Gli autori dell'attacco hanno mantenuto l'accesso utente standard per mesi, muovendosi lateralmente attraverso dispositivi VPN e dispositivi di rete utilizzando credenziali legittime. Solo dopo aver identificato specifici obiettivi di alto valore hanno tentato l'escalation dei privilegi, dimostrando come gli aggressori pazienti diano la priorità alla furtività piuttosto che alla velocità.
Il movimento laterale moderno segue un modello prevedibile in tre fasi che i team di sicurezza devono comprendere per organizzare una difesa efficace. Gli aggressori iniziano con una ricognizione per mappare l'ambiente, procedono all'acquisizione delle credenziali, quindi eseguono il loro movimento utilizzando protocolli e strumenti legittimi. Questo approccio metodico consente loro di mimetizzarsi con la normale attività di rete mentre compromettono sistematicamente i sistemi di destinazione.
La sofisticatezza di questi attacchi si è evoluta in modo drammatico. Secondo recenti dati sulle violazioni, gli attacchi Living Off the Land LOTL) sono ora all'origine dell'84% delle violazioni gravi nel 2025, con gli aggressori che abbandonano sempre più spesso malware personalizzato malware favore degli strumenti di sistema integrati. Questo cambiamento rende il rilevamento esponenzialmente più difficile, poiché i team di sicurezza devono distinguere tra attività amministrative legittime e movimenti dannosi.
Comprendere ogni fase costituisce la base per sviluppare capacità di rilevamento e prevenzione. Le organizzazioni che implementano soluzioni di rilevamento e risposta alle minacce all'identità segnalano tempi di rilevamento significativamente più rapidi, in particolare se combinate con analisi comportamentali che definiscono i modelli di movimento normali.
Fase 1: Ricognizione e scoperta Gli aggressori iniziano mappando la topologia della rete, identificando sistemi, servizi e potenziali obiettivi. Enumerano gli oggetti Active Directory, eseguono la scansione delle porte aperte e raccolgono informazioni sul sistema utilizzando comandi come visualizzazione rete, nlteste cmdlet PowerShell. Questa fase genera in genere avvisi di sicurezza minimi, poiché questi strumenti hanno scopi amministrativi legittimi.
Fase 2: Dumping delle credenziali e materiale di autenticazione Una volta acquisite le conoscenze ambientali, gli aggressori si concentrano sull'ottenimento di credenziali aggiuntive. Estraggono gli hash delle password dalla memoria utilizzando tecniche come il dumping LSASS, raccolgono i ticket Kerberos o abusano dei meccanismi di archiviazione delle credenziali. Gli strumenti utilizzati vanno da Mimikatz (quando si utilizzano strumenti personalizzati) a utilità Windows legittime come procdump.exe per gli approcci LOTL. Le credenziali acquisite consentono il movimento senza causare errori di autenticazione.
Fase 3: Accesso ed esecuzione del movimento Muniti di credenziali valide, gli aggressori eseguono il loro movimento laterale utilizzando protocolli di accesso remoto legittimi. Stabiliscono sessioni RDP, creano attività pianificate tramite WMI o distribuiscono payload attraverso condivisioni amministrative SMB. Ogni movimento riuscito espande il loro punto d'appoggio, mantenendo l'apparenza di un'attività autorizzata.
Gli aggressori abusano costantemente di quattro protocolli principali per il movimento laterale, ciascuno dei quali offre vantaggi unici in termini di furtività e affidabilità:
Le condivisioni amministrative SMB/Windows (T1021.002) rimangono il vettore più diffuso, sfruttato nel 68% degli incidenti di movimento laterale. Gli aggressori sfruttano le condivisioni ADMIN$, C$ e IPC$ per distribuire payload, eseguire comandi in remoto ed esfiltrare dati. L'ubiquità del protocollo negli ambienti Windows fornisce una copertura perfetta per le attività dannose.
Il protocollo Remote Desktop Protocol (T1021.001) offre un accesso interattivo che imita il comportamento legittimo di un amministratore. Recenti campagne dimostrano che gli aggressori mantengono attive le sessioni RDP per settimane, utilizzandoli come canali primari di comando e controllo, mentre appaiono come normali amministrazioni remote.
Windows Management Instrumentation (T1047) offre potenti funzionalità di esecuzione remota attraverso un protocollo progettato per la gestione aziendale. Gli aggressori utilizzano WMI per creare processi, modificare chiavi di registro e stabilire persistenza, il tutto eludendo il rilevamento dei tradizionali antivirus.
PowerShell Remoting e WinRM (T1021.006) consentono sofisticati attacchi basati su script su più sistemi contemporaneamente. L'uso legittimo del protocollo nell'automazione aziendale rende particolarmente difficile il rilevamento, soprattutto quando gli aggressori utilizzano comandi codificati ed esecuzione in memoria.
La tabella seguente illustra come questi protocolli si riferiscono a specifiche tecniche di attacco e opportunità di rilevamento:
Il MITRE ATT&CK documenta nove tecniche primarie e 20 sottotecniche nell'ambito della tattica di movimento laterale (TA0008), fornendo una tassonomia completa dei comportamenti degli aggressori. La comprensione di queste tecniche consente ai team di sicurezza di creare regole di rilevamento mirate e di dare priorità agli investimenti difensivi sulla base dei modelli di minaccia effettivi.
Gli attacchi reali raramente utilizzano una sola tecnica in modo isolato. Gli autori delle minacce moderne combinano più metodi, adattando il loro approccio in base alle opportunità specifiche dell'ambiente e alle lacune difensive, come documentato nel MITRE ATT&CK . La proliferazione delle Living Off the Land ha reso questo compito particolarmente difficile, poiché PowerShell compare nel 71% degli attacchi LOTL secondo l'analisi delle violazioni del 2025.
MITRE ATT&CK completa MITRE ATT&CK per il movimento laterale rivela l'ampia gamma di tecniche a disposizione degli aggressori:
Gli attacchi Pass the Hash (T1550.002) meritano particolare attenzione, poiché aggirano completamente le tradizionali difese basate sulle password. Gli aggressori catturano gli hash delle password NTLM e li riproducono per autenticarsi senza conoscere la password effettiva. Questa tecnica rimane incredibilmente efficace in ambienti privi di un'adeguata igiene delle credenziali o in cui l'autenticazione NTLM non è stata limitata.
Pass the Ticket (T1550.003) rappresenta l'equivalente Kerberos, in cui gli aggressori rubano e riproducono i ticket Kerberos per impersonare utenti legittimi, spesso in combinazione con Kerberoasting per raccogliere le credenziali degli account di servizio. Le varianti Golden Ticket e Silver Ticket forniscono un accesso particolarmente persistente, talvolta sopravvivendo alle reimpostazioni delle password e alle misure correttive standard.
Living Off the Land rappresentano l'evoluzione del movimento laterale, eliminando la necessità di malware personalizzato malware l'uso improprio di strumenti di sistema legittimi. Questo approccio riduce drasticamente i tassi di rilevamento accelerando al contempo i tempi di attacco. I team di sicurezza segnalano che gli attacchi LOTL eludono il rilevamento tradizionale basato su firme nel 76% dei casi.
PowerShell domina il panorama LOTL, comparendo nel 71% di questi attacchi. Gli aggressori lo utilizzano per qualsiasi scopo, dalla ricognizione (Get-ADComputer, Get-ADUser) al credential dumping (Invoca Mimikatz) e l'esecuzione remota (Invoca comando, Entra in sessione PSSession). L'uso amministrativo legittimo del framework rende particolarmente difficile distinguere le attività dannose.
La riga di comando di Windows Management Instrumentation (WMIC) fornisce un altro potente vettore LOTL. Gli aggressori eseguono comandi come wmic /node:target process call create "cmd.exe" per generare processi remoti senza implementare strumenti aggiuntivi. La deprecazione dell'utilità in Windows 11 non ha eliminato la minaccia, poiché la maggior parte delle aziende utilizza ancora versioni precedenti di Windows.
PsExec e le sue varianti consentono l'esecuzione di comandi remoti tramite SMB, creando un servizio sul sistema di destinazione. Sebbene PsExec richieda l'implementazione, Windows include funzionalità simili tramite attività pianificate (schtasks), creazione di servizi (sc.exe) e la modifica del registro che consentono di ottenere gli stessi risultati senza strumenti esterni.
La sfida del rilevamento si moltiplica quando gli aggressori concatenano più tecniche LOTL. Una sequenza di attacco tipica potrebbe utilizzare PowerShell per la scoperta, WMI per il movimento laterale e attività pianificate per la persistenza, tutte attività che agli strumenti di sicurezza tradizionali appaiono come legittime attività amministrative.
Il panorama delle minacce per il periodo 2024-2025 dimostra come il movimento laterale si sia evoluto da una preoccupazione teorica a fattore primario di devastanti attacchi informatici. Attori statali, operatori di ransomware e criminali motivati da interessi finanziari sfruttano queste tecniche con crescente sofisticazione e rapidità.
Volt Typhoon è un esempio lampante dei movimenti laterali moderni nella loro forma più pericolosa. Questo gruppo sponsorizzato dallo Stato cinese ha mantenuto la propria presenza nelle infrastrutture critiche degli Stati Uniti per oltre 300 giorni, utilizzando esclusivamente Living Off the Land . Si è mosso lateralmente attraverso dispositivi Fortinet e Cisco compromessi, ha abusato di strumenti Windows legittimi ed ha evitato il rilevamento imitando il normale comportamento amministrativo. Il suo approccio paziente, che a volte prevedeva settimane di attesa tra un movimento e l'altro, dimostra come le minacce persistenti avanzate privilegino la furtività rispetto alla velocità.
Il ransomware potenziato dall'intelligenza artificiale ha compresso i tempi di attacco a velocità prima impensabili. LockBit 4.0, rilevato all'inizio del 2025, raggiunge la crittografia completa della rete in soli 18 minuti dall'accesso iniziale. Questa variante di ransomware utilizza l'apprendimento automatico per identificare i percorsi di movimento laterale ottimali, sfrutta automaticamente le vulnerabilità scoperte e adatta le sue tecniche in base ai controlli di sicurezza rilevati. Questa evoluzione costringe le organizzazioni a ripensare i tempi di risposta e i requisiti di automazione.
La vulnerabilità Golden gMSA scoperta in Windows Server 2025 ha creato una tempesta perfetta per gli attacchi di movimento laterale. Gli aggressori che hanno compromesso un singolo sistema collegato al dominio potevano estrarre le credenziali dell'account di servizio gestito dal gruppo, garantendo un movimento laterale illimitato nell'intero dominio Active Directory. La patch di Microsoft dell'agosto 2025 ha risolto la vulnerabilità, ma non prima che diverse violazioni di alto profilo ne dimostrassero il potenziale devastante.
Il gruppo APT TheWizards ha introdotto un approccio innovativo attraverso attacchi SLAAC (Stateless Address Autoconfiguration) IPv6 in cloud ibridi. Sfruttando la configurazione automatica IPv6 nelle reti dual-stack, hanno aggirato i tradizionali controlli di sicurezza incentrati su IPv4 e si sono spostati lateralmente tra cloud locale e cloud senza essere rilevati. Questa tecnica evidenzia come i protocolli emergenti creino nuovi vettori di movimento laterale che le organizzazioni non sono preparate a difendere.
L'impatto finanziario delle violazioni rese possibili dal movimento laterale rimane grave nel 2025. Secondo il rapporto IBM Cost of Data Breach Report 2025, una violazione costa in media alle organizzazioni 4,44 milioni di dollari a livello globale. Questa cifra comprende i costi di risposta immediata, l'interruzione dell'attività, le sanzioni normative e il danno reputazionale a lungo termine.
Le organizzazioni sanitarie devono affrontare conseguenze particolarmente gravi, con costi di violazione nel settore che superano costantemente i 10 milioni di dollari secondo una ricerca IBM. L'attacco ransomware a Change Healthcare del febbraio 2024, che ha portato al pagamento di un riscatto di 22 milioni di dollari, è iniziato con il furto di credenziali che hanno consentito il movimento laterale attraverso reti sanitarie interconnesse. L'attacco ha interrotto l'elaborazione delle prescrizioni per milioni di pazienti e ha evidenziato l'impatto a cascata del movimento laterale in settori critici.
I servizi finanziari registrano le velocità di movimento laterale più elevate, con gli aggressori che raggiungono obiettivi di alto valore in media in 31 minuti. Il CrowdStrike Global Threat Report attribuisce questa velocità alla forte dipendenza del settore dai sistemi interconnessi e all'alto valore dei dati finanziari che stimolano l'innovazione degli aggressori.
Il settore manifatturiero e le infrastrutture critiche devono affrontare sfide uniche derivanti dal movimento laterale negli ambienti di tecnologia operativa (OT). La convergenza delle reti IT e OT crea percorsi di movimento laterale che cinque anni fa non esistevano. Una workstation compromessa può ora fornire un percorso verso i sistemi di produzione, con potenziali conseguenze che vanno dal furto di proprietà intellettuale a danni fisici e incidenti di sicurezza.
Una difesa efficace contro i movimenti laterali richiede un approccio multilivello che combini prevenzione proattiva, rilevamento in tempo reale e capacità di risposta rapida agli incidenti. Le organizzazioni che implementano strategie complete segnalano di rilevare i movimenti laterali con una rapidità superiore del 73% rispetto a quelle che si affidano alla tradizionale sicurezza incentrata sul perimetro.
La chiave sta nell'accettare il compromesso, ovvero nell'accettare che gli aggressori otterranno l'accesso iniziale e nel costruire difese che limitino la loro capacità di diffusione. Questa filosofia è alla base di approcci moderni come la microsegmentazione, che limita drasticamente la propagazione degli attacchi creando confini di sicurezza granulari tra i carichi di lavoro. In combinazione con le capacità di rilevamento e risposta della rete e una corretta correlazione degli eventi, le organizzazioni possono rilevare e contenere i movimenti laterali prima che si verifichino danni significativi.
Gli eventi di sicurezza di Windows forniscono una telemetria avanzata per rilevare i movimenti laterali, ma la maggior parte delle organizzazioni non riesce a implementare regole di correlazione adeguate. I quattro ID evento critici per il rilevamento dei movimenti laterali creano un modello che, se analizzato nel suo insieme, rivela il comportamento degli aggressori:
L'ID evento 4624 (Accesso riuscito) indica quando un utente esegue l'autenticazione a un sistema. Il tipo di accesso 3 (accesso di rete) e il tipo 10 (interattivo remoto) sono particolarmente rilevanti per il rilevamento dei movimenti laterali. Cercate modelli di accessi sequenziali di tipo 3 su più sistemi in brevi intervalli di tempo, in particolare da account di servizio o in orari insoliti.
L'ID evento 4625 (accesso non riuscito) rivela tentativi di ricognizione e password spraying. Più eventi 4625 seguiti da un evento 4624 riuscito indicano spesso un tentativo di indovinare le credenziali. Prestare particolare attenzione ai modelli di errore su più sistemi provenienti da un'unica fonte, che suggeriscono tentativi automatizzati di movimento laterale.
L'ID evento 4648 (Utilizzo esplicito delle credenziali) viene generato quando un processo utilizza credenziali esplicite diverse da quelle dell'utente che ha effettuato l'accesso. Questo evento è fondamentale per rilevare gli attacchi Pass the Hash e Overpass-the-Hash. La correlazione con gli eventi di creazione dei processi (4688) rivela quando strumenti legittimi vengono utilizzati in modo improprio per il furto di credenziali.
L'ID evento 4769 (Richiesta ticket servizio Kerberos) aiuta a identificare gli attacchi Pass the Ticket e l'utilizzo di Golden Ticket. Le richieste di ticket di servizio insolite, in particolare per servizi con privilegi elevati o provenienti da sistemi che in genere non le richiedono, richiedono un'indagine.
I seguenti modelli di correlazione indicano un probabile movimento laterale:
La segmentazione della rete si è evoluta ben oltre la tradizionale separazione VLAN, diventando un elemento fondamentale nella prevenzione dei movimenti laterali. I moderni approcci di microsegmentazione creano confini di sicurezza granulari attorno ai singoli carichi di lavoro, limitando drasticamente la propagazione degli attacchi anche dopo la compromissione iniziale.
I principi Zero Trust Access (ZTNA) eliminano la fiducia implicita tra i segmenti di rete. Ogni connessione richiede una verifica esplicita, indipendentemente dalla rete di origine o dall'autenticazione precedente. Questo approccio impedisce agli aggressori di sfruttare le credenziali compromesse per muoversi lateralmente senza restrizioni, costringendoli ad autenticarsi ad ogni confine.
I perimetri definiti dal software (SDP) creano micro-tunnel dinamici e crittografati tra utenti autorizzati e risorse specifiche. A differenza dei tradizionali approcci VPN che forniscono un ampio accesso alla rete, gli SDP limitano la connettività esattamente a ciò che è necessario per le funzioni aziendali. Questa granularità impedisce agli aggressori di esplorare la rete anche con credenziali valide.
Le migliori pratiche di implementazione per una segmentazione efficace includono l'identificazione delle risorse critiche e la creazione di zone di protezione attorno ad esse, l'implementazione di un rigoroso filtraggio del traffico est-ovest tra i segmenti e l'implementazione di controlli basati sull'identità che tengano conto del contesto dell'utente, del dispositivo e dell'applicazione. Le organizzazioni dovrebbero inoltre monitorare il traffico tra i segmenti per individuare eventuali anomalie e testare regolarmente l'efficacia della segmentazione attraverso test di penetrazione.
I vantaggi economici della microsegmentazione sono evidenti: le organizzazioni segnalano un ROI significativo grazie alla riduzione dei costi delle violazioni e all'aumento dell'efficienza operativa. Limitando i movimenti laterali e riducendo il raggio d'azione degli attacchi, gli investimenti nella microsegmentazione offrono sicurezza e valore aziendale misurabili.
Il rilevamento moderno richiede una combinazione di tecnologie incentrate su endpoint, rete e identità che lavorino in sinergia. Nessuno strumento è in grado di fornire una visibilità completa sui movimenti laterali, ma le piattaforme integrate che correlano i segnali su più domini raggiungono i tassi di rilevamento più elevati.
Le soluzioni Endpoint and Response (EDR) offrono una visibilità approfondita sull'esecuzione dei processi, l'accesso ai file e le modifiche al registro sui singoli sistemi. Le piattaforme EDR avanzate utilizzano l'analisi comportamentale per identificare modelli sospetti come un utilizzo insolito di PowerShell, l'iniezione di processi o tentativi di dumping delle credenziali. L'integrazione con le informazioni sulle minacce consente il rilevamento di strumenti e tecniche di movimento laterale noti.
Le tecnologie NDR (Network Detection and Response) analizzano il traffico di rete alla ricerca di indicatori di movimento laterale. I modelli di machine learning definiscono i modelli di comunicazione normali e segnalano anomalie quali traffico SMB insolito, connessioni RDP inattese o comportamenti sospetti degli account di servizio. L'NDR eccelle nel rilevare attacchi LOTL che potrebbero eludere endpoint .
Le piattaforme Extended Detection and Response (XDR) mettono in correlazione i segnali provenienti da endpoint, reti e cloud per identificare complessi modelli di movimento laterale. Combinando dati telemetrici provenienti da più fonti, le piattaforme XDR sono in grado di rilevare attacchi multistadio che i singoli strumenti potrebbero non individuare. L'approccio basato su piattaforma riduce inoltre il sovraccarico di avvisi, mettendo in correlazione eventi correlati in incidenti unificati.
Il rilevamento e la risposta alle minacce all'identità (ITDR) rappresenta la categoria più recente, incentrata specificamente sugli attacchi basati sull'identità. Queste soluzioni monitorano i flussi di autenticazione, rilevano gli abusi delle credenziali e identificano i tentativi di escalation dei privilegi che consentono il movimento laterale. Dato che l'80% delle violazioni coinvolge credenziali compromesse, l'ITDR colma una lacuna critica nello stack di rilevamento.
Cloud introducono vettori di movimento laterale unici che i controlli di sicurezza tradizionali non sono stati progettati per affrontare. Il modello di responsabilità condivisa, l'infrastruttura dinamica e l'architettura basata su API creano opportunità per gli aggressori di muoversi lateralmente in modi impossibili negli ambienti on-premise. Gli attacchi di movimento laterale basati su container sono aumentati in modo significativo, evidenziando l'urgenza di difese cloud.
I livelli di astrazione cloud , dall'infrastruttura alla piattaforma fino ai servizi software, presentano ciascuno rischi distinti di movimento laterale. Gli aggressori sfruttano le configurazioni errate, abusano degli account di servizio e sfruttano proprio l'automazione che rende cloud . Comprendere queste tecniche cloud è essenziale per proteggere le moderne architetture cloud .
Le fughe dai container rappresentano la forma più diretta di movimento laterale negli ambienti containerizzati. Gli aggressori sfruttano le vulnerabilità nei runtime dei container, nei sottosistemi del kernel o nelle piattaforme di orchestrazione per sfuggire all'isolamento dei container. La MITRE ATT&CK T1611 documenta vari metodi di fuga, dallo sfruttamento di container privilegiati all'abuso dei file system host montati.
I cluster Kubernetes sono esposti a rischi aggiuntivi dovuti all'uso improprio dei token degli account di servizio. Ogni pod riceve per impostazione predefinita un token dell'account di servizio, che fornisce l'accesso all'API che gli aggressori possono sfruttare per la ricognizione e il movimento laterale. La compromissione di un singolo pod con autorizzazioni eccessive può consentire l'accesso a tutto il cluster tramite l'API Kubernetes.
Il recente aumento degli attacchi sidecar container dimostra l'evoluzione delle tecniche utilizzate. Gli aggressori compromettono un container in un pod e utilizzano risorse condivise come volumi o spazi dei nomi di rete per accedere ai container vicini. Questo movimento laterale avviene all'interno dello stesso pod, spesso eludendo il rilevamento basato sulla rete.
Gli attacchi alla catena di approvvigionamento tramite immagini container compromesse consentono capacità di movimento laterale preposizionate. Le immagini dannose contenenti backdoor o miner di criptovalute si diffondono automaticamente man mano che le organizzazioni le distribuiscono nella loro infrastruttura. L'incidente di Docker Hub del dicembre 2024, in cui migliaia di immagini contenevano malware nascosto, esemplifica questo rischio.
Gli account Cloud e le identità gestite forniscono potenti vettori di movimento laterale quando vengono compromessi. In AWS, gli aggressori abusano dell'assunzione di ruoli IAM per passare da un account all'altro e da un servizio all'altro. Un'istanza EC2 compromessa con un ruolo associato può accedere a qualsiasi risorsa consentita da tale ruolo, potenzialmente estendendosi a più account AWS in organizzazioni complesse.
I principali servizi Azure sono soggetti ad abusi simili. Gli aggressori che compromettono un'applicazione con un principale di servizio possono utilizzare le sue autorizzazioni per accedere alle risorse Azure, enumerare la directory e potenzialmente passare ad altri abbonamenti. La natura programmatica dell'autenticazione dei principali di servizio rende difficile il rilevamento, poiché questa attività appare identica all'automazione legittima.
Il concatenamento delle funzioni serverless crea sottili percorsi di movimento laterale. Gli aggressori compromettono una funzione Lambda o Azure Function, quindi utilizzano il suo contesto di esecuzione per richiamare altre funzioni, accedere ai database o interagire con i servizi di archiviazione. La natura effimera dell'esecuzione serverless complica le attività di analisi forense e rilevamento.
Gli attacchi SLAAC IPv6 del gruppo APT TheWizards in cloud ibridi dimostrano come le vulnerabilità a livello di protocollo consentano il movimento laterale. Sfruttando la configurazione automatica IPv6 nelle reti dual-stack che collegano cloud locale e cloud , hanno aggirato i controlli di sicurezza incentrati sul traffico IPv4. Questa tecnica evidenzia come cloud possa creare vettori di movimento laterale imprevisti.
L'evoluzione degli attacchi con movimento laterale richiede difese altrettanto evolute. Le organizzazioni che implementano approcci moderni come zero trust segnalano una riduzione del 67% degli attacchi riusciti, dimostrando l'efficacia dell'ipotesi di violazione e dell'eliminazione della fiducia implicita. Queste strategie non si concentrano sulla prevenzione della compromissione iniziale, ma sul contenimento del suo impatto.
La convergenza di più tecnologie difensive — microsegmentazione, rilevamento basato sull'intelligenza artificiale e sicurezza incentrata sull'identità — crea una difesa approfondita che vanifica gli obiettivi degli aggressori. I quadri normativi impongono sempre più spesso questi controlli, con PCI DSS v4.0 che richiede esplicitamente la convalida della segmentazione della rete e la direttiva NIS2 che sottolinea la resilienza contro i movimenti laterali.
Investire nella difesa contro i movimenti laterali offre rendimenti misurabili. Oltre a ridurre il numero di attacchi riusciti, le organizzazioni che implementano zero trust complete hanno registrato costi di violazione significativamente inferiori. Una ricerca condotta da IBM nel 2021 ha dimostrato che le organizzazioni con zero trust maturo zero trust 1,76 milioni di dollari rispetto a quelle che non zero trust . La combinazione di una ridotta frequenza degli incidenti e di un impatto minimo in caso di violazioni giustifica l'investimento in approcci difensivi moderni.
Zero trust elimina il concetto di reti interne affidabili, richiedendo una verifica continua per ogni connessione indipendentemente dalla fonte. Questo approccio contrasta direttamente il movimento laterale rimuovendo la fiducia implicita sfruttata dagli aggressori. Le organizzazioni che implementano zero trust miglioramenti significativi nella loro posizione di sicurezza, con alcune che raggiungono una riduzione del 90% degli incidenti di movimento laterale.
Il framework NIST SP 800-207 fornisce una guida completa per zero trust . I principi chiave includono la verifica esplicita di ogni transazione, l'applicazione dell'accesso con privilegi minimi e l'ipotesi di violazione in tutte le decisioni relative alla sicurezza. Questi principi affrontano direttamente le condizioni che consentono il movimento laterale.
Le capacità di rilevamento basate sull'intelligenza artificiale sono notevolmente maturate e i modelli di apprendimento automatico sono ora in grado di identificare sottili anomalie comportamentali che indicano movimenti laterali. Questi sistemi stabiliscono una linea di base del comportamento normale degli utenti e delle entità, quindi rilevano le deviazioni che potrebbero indicare una compromissione. A differenza del rilevamento basato sulle firme, gli approcci basati sull'intelligenza artificiale sono in grado di identificare nuove tecniche di attacco e Living Off the Land .
La crescita del mercato della microsegmentazione fino a raggiungere i 52,08 miliardi di dollari entro il 2030 riflette la sua efficacia nel prevenire i movimenti laterali. Le moderne piattaforme di microsegmentazione utilizzano l'identità, gli attributi del carico di lavoro e le dipendenze delle applicazioni per creare politiche di sicurezza dinamiche. Questo approccio va oltre i confini statici della rete per creare difese adattive che si regolano in base al rischio e al contesto.
Vectra AI il rilevamento dei movimenti laterali attraverso Attack Signal Intelligence™, una metodologia che si concentra sui comportamenti degli aggressori piuttosto che sulle firme o sui modelli noti. Questo approccio riconosce che, mentre gli strumenti e le tecniche evolvono, i comportamenti fondamentali richiesti per i movimenti laterali rimangono costanti.
La piattaforma mette in correlazione i segnali deboli provenienti da reti, endpoint e identità per identificare modelli di movimento laterale che i singoli avvisi potrebbero non rilevare. Analizzando le relazioni tra le entità e i loro normali modelli di comunicazione, Attack Signal Intelligence comportamenti anomali indicativi di movimento laterale, anche quando gli aggressori utilizzano strumenti e protocolli legittimi.
Questo approccio comportamentale si rivela particolarmente efficace contro Living Off the Land che eludono i sistemi di rilevamento tradizionali. Anziché cercare strumenti o comandi specifici, la piattaforma identifica i risultati dei movimenti laterali: utilizzo insolito degli account, modelli di accesso al sistema atipici e flussi di dati anomali. Questa metodologia consente di rilevare tecniche di movimento laterale sia note che sconosciute, garantendo resilienza contro metodi di attacco in continua evoluzione.
Il panorama dei movimenti laterali subirà una trasformazione significativa nei prossimi 12-24 mesi, poiché sia gli aggressori che i difensori sfrutteranno le tecnologie emergenti. L'intelligenza artificiale sta rivoluzionando sia le capacità di attacco che quelle di difesa, con strumenti di attacco basati sul machine learning che identificano e sfruttano automaticamente le opportunità di movimento laterale, mentre l'IA difensiva diventa sempre più sofisticata nel rilevamento comportamentale.
La proliferazione dei dispositivi IoT e di edge computing espande esponenzialmente la superficie di attacco. Ogni dispositivo connesso rappresenta un potenziale punto di snodo per il movimento laterale, in particolare negli ambienti manifatturieri e sanitari dove continua la convergenza IT/OT. Gartner prevede che entro il 2026 il 60% delle organizzazioni subirà movimenti laterali attraverso dispositivi IoT, rispetto al 15% del 2024. Le organizzazioni devono estendere le loro difese contro i movimenti laterali per includere questi endpoint non tradizionali.
La crittografia resistente alla tecnologia quantistica rivoluzionerà l'autenticazione e il movimento laterale in modi sorprendenti. Mentre le organizzazioni si preparano alle minacce del quantum computing implementando nuovi standard crittografici, il periodo di transizione crea vulnerabilità. Gli aggressori stanno già raccogliendo credenziali crittografate per la futura decrittografia e l'ambiente crittografico misto durante la migrazione introdurrà nuovi vettori di movimento laterale attraverso attacchi di downgrade del protocollo.
La pressione normativa continua ad aumentare, con la direttiva NIS2 dell'UE e i prossimi requisiti federali statunitensi che affrontano esplicitamente la prevenzione dei movimenti laterali. Le organizzazioni rischiano multe fino al 2% del fatturato globale per una segmentazione della rete e controlli dei movimenti laterali inadeguati. L'attenzione normativa si sposta dalla conformità di base alla dimostrazione della resilienza contro sofisticati attacchi di movimento laterale.
La sicurezza della catena di approvvigionamento emerge come un vettore critico di movimento laterale, in particolare attraverso le dipendenze software e le integrazioni di terze parti. Le proiezioni per il 2025 indicano che il 40% delle violazioni comporterà un movimento laterale attraverso le connessioni della catena di approvvigionamento. Le organizzazioni devono estendere zero trust per includere l'accesso dei fornitori e implementare una segmentazione rigorosa tra le connessioni di terze parti e l'infrastruttura centrale.
Le priorità di investimento per i prossimi 24 mesi dovrebbero concentrarsi sui controlli di sicurezza incentrati sull'identità, poiché l'80% dei movimenti laterali sfrutta credenziali compromesse. Le organizzazioni dovrebbero dare priorità all'autenticazione senza password, alla verifica continua dell'identità e alla gestione degli accessi privilegiati. Inoltre, le capacità di risposta automatizzata diventano essenziali poiché la velocità degli attacchi continua ad accelerare e i tempi di risposta umani non sono più sufficienti per contenere i movimenti laterali.
Il movimento laterale si è evoluto da una curiosità tecnica alla sfida determinante della moderna sicurezza informatica. Le statistiche dipingono un quadro chiaro: quasi il 90% delle organizzazioni deve affrontare questa minaccia, gli attacchi possono diffondersi in meno di un'ora e la violazione media costa 4,44 milioni di dollari a livello globale. Tuttavia, questi numeri raccontano solo una parte della storia. Il vero impatto risiede nel cambiamento fondamentale che il movimento laterale rappresenta: dal prevenire le violazioni al presumere la compromissione e limitare i danni.
Le tecniche e gli strumenti continueranno ad evolversi, ma i principi di una difesa efficace rimangono costanti. Le organizzazioni devono adottare zero trust che eliminino la fiducia implicita, implementare la microsegmentazione per limitare la propagazione degli attacchi e implementare sistemi di rilevamento comportamentale che identifichino gli attacchi indipendentemente dagli strumenti utilizzati. La comprovata riduzione degli attacchi riusciti e la significativa diminuzione dei costi delle violazioni dimostrano che questi investimenti offrono rendimenti misurabili.
I responsabili della sicurezza si trovano di fronte a una scelta chiara: continuare a rincorrere aggressori sempre più sofisticati o ripensare radicalmente la propria architettura di sicurezza per un mondo in cui il movimento laterale non è solo possibile, ma probabile. Le organizzazioni che avranno successo saranno quelle che accetteranno questa realtà e costruiranno difese resilienti in grado di contenere e rilevare il movimento laterale prima che si verifichino danni catastrofici.
Sei pronto a trasformare il tuo approccio al rilevamento dei movimenti laterali? Scopri come Attack Signal Intelligence Vectra AI Attack Signal Intelligence identificare e bloccare i movimenti laterali nel tuo ambiente, indipendentemente dalle tecniche utilizzate dagli aggressori.
Il movimento laterale e l'escalation dei privilegi hanno scopi diversi nella catena di attacco, anche se spesso gli aggressori li combinano per ottenere il massimo impatto. Il movimento laterale comporta la diffusione orizzontale attraverso i sistemi mantenendo lo stesso livello di privilegi, come un utente normale che accede a più workstation dove dispone di autorizzazioni standard. L'obiettivo dell'aggressore è l'esplorazione, la persistenza e il raggiungimento di dati preziosi senza attivare gli allarmi di sicurezza che potrebbero essere causati dai tentativi di elevazione.
L'escalation dei privilegi, al contrario, comporta un movimento verticale verso l'alto nella gerarchia delle autorizzazioni. Un aggressore sfrutta vulnerabilità, configurazioni errate o credenziali rubate per ottenere l'accesso a livello di amministratore, root o di sistema. Questa elevazione avviene su un singolo sistema e fornisce all'aggressore capacità che prima non possedeva.
Queste tecniche agiscono in modo sinergico negli attacchi reali. Gli aggressori in genere si muovono lateralmente con credenziali utente standard fino a quando non trovano un sistema vulnerabile all'escalation dei privilegi. Una volta ottenuti privilegi elevati, possono muoversi lateralmente con maggiore libertà e accedere a sistemi più sensibili. Volt Typhoon ha esemplificato questo modello, mantenendo l'accesso a livello utente per mesi mentre si muoveva lateralmente, aumentando i privilegi solo quando obiettivi specifici richiedevano l'accesso amministrativo. Comprendere questa relazione aiuta i team di sicurezza a riconoscere che difendersi da una sola tecnica non è sufficiente: una sicurezza completa richiede di affrontare sia i percorsi di movimento laterali che quelli verticali.
La velocità dei movimenti laterali ha subito una drastica accelerazione con la recente evoluzione degli attacchi. I dati attuali relativi al periodo 2024-2025 mostrano che il movimento laterale medio avviene in 48 minuti dal compromesso iniziale, mentre gli attacchi più veloci osservati raggiungono la piena propagazione della rete in soli 18 minuti. Il ransomware LockBit 4.0, potenziato con funzionalità di intelligenza artificiale, ha dimostrato questa estrema velocità passando dall'accesso iniziale alla crittografia completa della rete in meno di 20 minuti durante diversi incidenti verificatisi nel 2025.
Questi tempi variano notevolmente in base a diversi fattori. La sofisticatezza e la preparazione dell'autore dell'attacco giocano un ruolo cruciale: gli attori statali come Volt Typhoon agiscono in modo lento e deliberato nel corso di mesi per evitare di essere individuati, mentre i gruppi di ransomware danno priorità alla velocità rispetto alla furtività. Anche l'architettura di rete influisce sulla velocità: le reti piatte con una segmentazione minima consentono movimenti rapidi, mentre gli ambienti adeguatamente segmentati con zero trust possono rallentare o arrestare completamente la propagazione.
La maturità della sicurezza dell'ambiente di destinazione costituisce la variabile più significativa. Le organizzazioni con solidi controlli dell'identità, segmentazione della rete e rilevamento comportamentale possono estendere i tempi di movimento laterale da minuti a ore o giorni, garantendo un tempo di risposta cruciale. Al contrario, gli ambienti con privilegi eccessivi, sistemi non aggiornati e scarsa visibilità consentono movimenti quasi istantanei. La regola 1-10-60 di CrowdStrike fornisce un quadro pratico: rilevare le intrusioni entro 1 minuto, comprendere la minaccia entro 10 minuti e rispondere entro 60 minuti per stare al passo con le moderne velocità di movimento laterale.
Gli aggressori si affidano costantemente a diverse tecniche collaudate di movimento laterale che sfruttano le funzionalità e i protocolli legittimi di Windows. Pass the Hash (T1550.002) rimane incredibilmente efficace, consentendo agli aggressori di autenticarsi utilizzando hash NTLM rubati senza conoscere le password effettive. Questa tecnica compare in oltre il 60% dei casi di compromissione dei domini perché aggira i tradizionali controlli delle password e funziona anche con password complesse e sicure.
L'abuso del protocollo Remote Desktop Protocol (T1021.001) fornisce un accesso interattivo che imita perfettamente l'attività legittima dell'amministratore. Gli aggressori sfruttano l'RDP sia per il movimento laterale che per l'accesso persistente, spesso mantenendo le sessioni per settimane mentre appaiono come una normale amministrazione remota. L'ubiquità del protocollo negli ambienti aziendali e la difficoltà di distinguere l'uso dannoso da quello legittimo lo rendono un vettore attraente.
Living Off the Land dominano i movimenti laterali moderni, con PowerShell che compare nel 71% degli attacchi LOTL. Gli aggressori utilizzano strumenti nativi di Windows come WMI, attività pianificate e creazione di servizi per spostarsi tra i sistemi senza distribuire malware personalizzato. Queste tecniche eludono gli antivirus tradizionali e rendono difficile l'analisi forense, poiché gli strumenti stessi sono legittimi. La combinazione di PowerShell remoting con strumenti come PsExec o WMI offre potenti e flessibili capacità di movimento laterale che si adattano ai controlli difensivi. I team di sicurezza devono concentrarsi sul rilevamento dei modelli comportamentali piuttosto che su strumenti specifici, poiché gli aggressori evolvono continuamente le loro tecniche mantenendo gli stessi approcci fondamentali.
Cloud sono esposti a rischi di movimento laterale unici e in continua evoluzione, che differiscono in modo significativo dagli attacchi tradizionali on-premise. Le fughe dai container rappresentano un vettore primario, con gli aggressori che sfruttano le vulnerabilità nei runtime dei container o nelle piattaforme di orchestrazione per superare i confini di isolamento. L'aumento del 34% degli attacchi di movimento laterale basati su container nel 2025 dimostra come gli aggressori si siano adattati alle architetture cloud. Gli ambienti Kubernetes sono esposti a un rischio particolare dovuto all'abuso dei token degli account di servizio, in cui la compromissione di un singolo pod con autorizzazioni eccessive consente il movimento laterale a livello di cluster attraverso l'API Kubernetes.
L'abuso degli account Cloud e delle identità gestite crea potenti percorsi di movimento laterale tra cloud . In AWS, gli aggressori sfruttano il concatenamento dei ruoli IAM per passare da un account all'altro e da un servizio all'altro, sfruttando le relazioni di fiducia che consentono cloud . I soggetti di servizio Azure offrono opportunità simili, con applicazioni compromesse che utilizzano le autorizzazioni loro assegnate per accedere alle risorse di tutte le sottoscrizioni. La natura programmatica di queste identità rende difficile il rilevamento, poiché le attività dannose appaiono identiche all'automazione legittima.
Le architetture serverless introducono sottili vettori di movimento laterale attraverso il concatenamento di funzioni e trigger basati sugli eventi. Gli aggressori compromettono una funzione Lambda o Azure Function, quindi utilizzano il suo contesto di esecuzione per richiamare altre funzioni, accedere ai database o manipolare i servizi di archiviazione. La natura effimera dell'esecuzione serverless complica il rilevamento e l'analisi forense.cloud aggravano queste sfide, poiché gli aggressori sfruttano la connettività tra i cloud per spostarsi lateralmente tra diversi provider, spesso aggirando i controlli di sicurezza incentrati sullecloud .
Gli ID evento di Windows forniscono dati telemetrici fondamentali per rilevare i movimenti laterali, ma per un rilevamento efficace è necessario correlare più eventi anziché generare avvisi su singoli ID. L'ID evento 4624 (Accesso riuscito) costituisce la base del rilevamento dei movimenti laterali, in particolare gli eventi di tipo 3 (accesso alla rete) e di tipo 10 (interattivo remoto). Gli accessi sequenziali di tipo 3 su più sistemi in pochi minuti, specialmente da account di servizio o fuori orario, indicano chiaramente un movimento laterale. Se combinati con l'analisi dell'IP di origine e i modelli di utilizzo degli account, gli eventi 4624 rivelano i percorsi di movimento degli aggressori attraverso la rete.
L'ID evento 4625 (Accesso non riuscito) rivela attività di ricognizione e tentativi di indovinare le credenziali che spesso precedono il movimento laterale riuscito. Eventi multipli 4625 seguiti da un 4624 riuscito indicano tentativi di password spraying o brute force. Il modello di errori su più sistemi di destinazione da un'unica fonte suggerisce in particolare l'uso di strumenti automatizzati di movimento laterale. L'ID evento 4648 (utilizzo esplicito delle credenziali) si rivela prezioso per rilevare il Pass the Hash e il furto di credenziali, attivandosi quando i processi utilizzano credenziali diverse da quelle dell'utente che ha effettuato l'accesso.
L'ID evento 4769 (Richiesta ticket servizio Kerberos) aiuta a identificare gli attacchi Pass the Ticket e l'utilizzo di Golden Ticket. Richieste di ticket di servizio insolite, in particolare per servizi con privilegi elevati da sistemi che in genere non li richiedono, richiedono un'indagine immediata. Un rilevamento efficace richiede regole di correlazione che combinino questi eventi con l'analisi del traffico di rete e gli eventi di creazione di processi (4688). Ad esempio, gli eventi 4648 seguiti immediatamente da eventi di tipo 3 4624 suggeriscono fortemente attacchi Pass the Hash, mentre modelli insoliti di eventi 4769 combinati con la creazione di servizi potrebbero indicare attacchi Silver Ticket.
Zero trust trasforma radicalmente la sicurezza della rete eliminando la fiducia implicita che consente il movimento laterale. La sicurezza tradizionale basata sul perimetro presuppone che gli utenti e i dispositivi all'interno della rete siano affidabili, consentendo un ampio accesso una volta autenticati. Zero trust questo presupposto, richiedendo una verifica continua per ogni connessione, indipendentemente dalla posizione della fonte o dall'autenticazione precedente. Questo approccio contrasta direttamente il movimento laterale costringendo gli aggressori ad autenticarsi ad ogni passo, aumentando notevolmente il rischio di essere scoperti.
L'implementazione dei zero trust crea molteplici barriere al movimento laterale. La microsegmentazione divide la rete in zone granulari con controlli di accesso rigorosi tra loro, limitando la capacità di un aggressore di diffondersi anche con credenziali valide. Le politiche basate sull'identità garantiscono che l'accesso non dipenda solo dalle credenziali, ma anche dal comportamento dell'utente, dallo stato di salute del dispositivo e da fattori contestuali come la posizione e l'ora. L'accesso con privilegi minimi garantisce che gli utenti e le applicazioni accedano solo alle risorse essenziali per la loro funzione, riducendo la superficie di attacco disponibile per il movimento laterale.
I risultati ottenuti nel mondo reale dimostrano l'efficacia zero trust contro i movimenti laterali. Le organizzazioni che implementano zero trust complete segnalano una riduzione del 67% degli attacchi riusciti e del 90% degli incidenti di movimento laterale. L'approccio si rivela particolarmente efficace contro Living Off the Land che abusano di strumenti legittimi, poiché l'analisi comportamentale rileva modelli di utilizzo anomali indipendentemente dagli strumenti utilizzati. Quando si verificano violazioni, zero trust riducono significativamente i costi delle violazioni limitando il raggio d'azione e impedendo agli aggressori di raggiungere le risorse critiche.
Le conseguenze finanziarie delle violazioni abilitate dal movimento laterale rimangono gravi nel 2025, con il rapporto IBM sul costo delle violazioni dei dati che mostra un costo medio globale delle violazioni pari a 4,44 milioni di dollari. Le organizzazioni che subiscono attacchi di movimento laterale devono affrontare costi aggiuntivi dovuti alla maggiore velocità degli attacchi e alle tecniche più sofisticate che ampliano la portata della violazione prima che venga rilevata. I costi comprendono la risposta immediata all'incidente, l'interruzione dell'attività durante il ripristino, le sanzioni normative, le spese legali e il danno reputazionale a lungo termine che influisce sull'acquisizione e la fidelizzazione dei clienti.
Gli impatti specifici del settore variano notevolmente in base alla sensibilità dei dati e ai requisiti normativi. Le organizzazioni sanitarie devono affrontare costi particolarmente elevati, con costi di violazione nel settore che superano costantemente i 10 milioni di dollari secondo una ricerca IBM. L'attacco ransomware a Change Healthcare ne è un esempio, con un riscatto pagato di 22 milioni di dollari e un'enorme interruzione operativa che ha colpito milioni di pazienti. I servizi finanziari subiscono gli attacchi laterali più rapidi, che raggiungono i sistemi critici in media in 31 minuti, portando a controlli normativi e sanzioni di conformità che spesso superano i costi diretti delle violazioni.
Il ritorno sull'investimento per la prevenzione dei movimenti laterali si rivela convincente in tutti i settori. Le organizzazioni che implementano strategie di prevenzione complete, tra cui zero trust e la microsegmentazione, registrano un ROI significativo grazie alla riduzione dei costi delle violazioni e ai miglioramenti operativi. Oltre a prevenire completamente le violazioni, questi controlli riducono i costi degli incidenti quando si verificano violazioni, limitando la diffusione degli attacchi. Il rilevamento e il contenimento più rapidi riducono al minimo le interruzioni dell'attività, mentre le organizzazioni beneficiano anche del vantaggio competitivo di una comprovata resilienza della sicurezza, poiché i clienti valutano sempre più spesso la posizione di sicurezza nelle decisioni di selezione dei fornitori.
La ricerca delle minacce consiste nella ricerca proattiva delle minacce informatiche che eludono le misure di sicurezza esistenti, compresi i segni di movimento laterale. I ricercatori di minacce esperti sono in grado di identificare indicatori sottili di compromissione, contribuendo a scoprire e affrontare i movimenti furtivi degli aggressori all'interno della rete.
Le organizzazioni possono migliorare le proprie difese investendo in strumenti avanzati di sicurezza informatica, adottando una strategia di sicurezza olistica che includa valutazioni periodiche della sicurezza, informazioni sulle minacce, endpoint solida endpoint e promuovendo una cultura della consapevolezza della sicurezza tra tutti i dipendenti.
Gli sviluppi futuri potrebbero includere progressi nelle tecnologie di intelligenza artificiale e apprendimento automatico per un migliore rilevamento delle attività anomale, una più ampia adozione dei zero trust e una maggiore condivisione delle informazioni sulle minacce tra le organizzazioni per identificare e mitigare in modo più efficace le tattiche di movimento laterale.