Ogni attacco informatico di grande portata inizia allo stesso modo: con una fase di ricognizione. Prima che la violazione di Qantas Airways rendesse pubblici 5,7 milioni di dati dei clienti nell'ottobre 2025, gli autori dell'attacco hanno trascorso settimane a mappare l'infrastruttura di Salesforce. Prima che attori statali compromettessero F5 Networks e scatenassero la direttiva di emergenza della CISA, hanno condotto un'ampia ricognizione che ha permesso di identificare quali organizzazioni utilizzavano versioni vulnerabili e come massimizzare l'impatto.
Il panorama delle minacce è cambiato radicalmente. Gli aggressori ora sfruttano le vulnerabilità entro 22 minuti dalla loro divulgazione pubblica, avvalendosi di strumenti basati sull'intelligenza artificiale che raggiungono una precisione del 73% nella previsione zero-day prima ancora che vengano annunciati. Nel frattempo, l'80% delle campagne di ingegneria sociale utilizza l'intelligenza artificiale per un targeting sensibile al contesto, trasformando la ricognizione da un processo manuale a un'operazione automatizzata e intelligente che si adatta in tempo reale.
Per i team di sicurezza, comprendere la ricognizione non è facoltativo, ma essenziale per la sopravvivenza. Questa guida completa esamina il modo in cui gli autori delle minacce raccolgono informazioni, gli strumenti e le tecniche che utilizzano e, soprattutto, come le organizzazioni possono rilevare e difendersi da questi attacchi preliminari prima che si trasformino in violazioni su larga scala.
La ricognizione nel campo della sicurezza informatica è il processo che gli aggressori utilizzano per raccogliere informazioni su un bersaglio, sul suo personale, sui suoi sistemi, sulle sue applicazioni e sui servizi esposti, in modo da poter scegliere una via d’accesso e ridurre il rischio di essere scoperti. In pratica, la ricognizione consiste nel modo in cui gli aggressori rispondono a quattro domande prima di agire:
La fase di ricognizione è presente in ogni attacco informatico di una certa rilevanza, poiché aumenta le probabilità di successo degli aggressori. Li aiuta a scegliere l'identità giusta da assumere, il servizio esterno da sondare e il percorso più rapido per ottenere privilegi e accedere ai dati. Nella cyber kill chain, la ricognizione è solitamente considerata la prima fase, ma negli incidenti reali spesso prosegue anche dopo l'accesso iniziale, man mano che gli aggressori ampliano il raggio d'azione e mappano le relazioni di fiducia, specialmente nelle operazioni di minaccia persistente avanzata (APT) di lunga durata.
Dopo l'accesso iniziale, la fase di ricognizione passa spesso dalla raccolta di informazioni esterne alla mappatura dell'ambiente interno. Malware le attività manuali spesso procedono all'enumerazione di utenti, gruppi, condivisioni di rete, cloud e servizi collegati per capire quali risorse possono essere raggiunte e sfruttate in seguito. Ecco perché la ricognizione dovrebbe essere considerata una fase operativa attiva, non solo un lavoro preliminare. MITRE ATT&CK distingue inoltre la ricognizione come categoria tattica a sé stante (TA0043) poiché è ripetibile, misurabile e strettamente legata al successo a valle in molte tecniche di attacco informatico.
Per chi si occupa di sicurezza, la ricognizione rappresenta una delle migliori opportunità per individuare tempestivamente le intenzioni degli aggressori. Molti metodi di ricognizione lasciano tracce deboli ma correlate, ovvero schemi che, considerati singolarmente, sembrano innocui ma che assumono significato se osservati in sequenza, specialmente quando si manifestano su più identità, endpoint, servizi SaaS e attività di rete.
La ricognizione di rete è il processo di mappatura dell'infrastruttura di rete volto a identificare host attivi, servizi esposti, porte aperte, relazioni di fiducia e risorse raggiungibili. Può avvenire esternamente prima di una compromissione o internamente dopo l'accesso iniziale.
A livello esterno, gli aggressori ricorrono alla scansione e all'enumerazione per individuare i sistemi esposti a Internet. A livello interno, identità compromesse o malware Active Directory, cloud , condivisioni di file e percorsi di rete per determinare dove sia possibile il movimento laterale.
La ricognizione delle identità è un sottoinsieme fondamentale della ricognizione di rete. Gli aggressori interrogano le directory, individuano le appartenenze ai gruppi e identificano i percorsi di escalation dei privilegi per comprendere come sono strutturate le relazioni di fiducia. Poiché questa attività ricorre spesso a protocolli legittimi quali query LDAP, chiamate API o richieste alle directory SaaS, si confonde con le normali operazioni a meno che il comportamento non venga monitorato e correlato tra identità e sistemi.
La ricognizione di rete è importante perché mette in luce le vie di attacco. Anche quando endpoint non rilevano nulla di dannoso, i comportamenti a livello di rete, come modelli di connessione anomali o un'ampia enumerazione dei servizi, spesso rivelano le intenzioni sin dalle prime fasi.
La scansione è una sottocategoria della ricognizione. La ricognizione è il processo più ampio di raccolta di informazioni, mentre la scansione è un metodo tecnico utilizzato nell'ambito di tale processo.
Ogni operazione di scansione è una forma di ricognizione, ma non tutte le operazioni di ricognizione comportano una scansione. Concentrarsi esclusivamente sul rilevamento delle scansioni lascia notevoli punti ciechi, in particolare per quanto riguarda la raccolta passiva di informazioni e la mappatura basata sull'identità.
Comprendere la distinzione tra le diverse metodologie di ricognizione è fondamentale per costruire difese efficaci. Gli aggressori utilizzano tecniche diverse a seconda dei loro obiettivi, della tolleranza al rischio e delle caratteristiche del bersaglio, con campagne moderne che spesso combinano approcci multipli per una raccolta di informazioni completa.
La ricognizione passiva consiste nel raccogliere informazioni senza interagire direttamente con i sistemi di destinazione, rendendola praticamente impossibile da rilevare. Gli aggressori sfruttano le informazioni di intelligence open source (OSINT) provenienti da database pubblici, profili social, siti web aziendali e credenziali trapelate. Analizzano i record DNS, cercano pagine web memorizzate nella cache e scavano nei siti di networking professionale alla ricerca di organigrammi e informazioni sui dipendenti. La campagna di spionaggio cinese che ha preso di mira i clienti di SentinelOne da luglio 2024 a ottobre 2025 è un esempio di ricognizione passiva sofisticata, in cui gli autori delle minacce hanno trascorso mesi a mappare le relazioni della catena di fornitura attraverso contratti pubblici e annunci di partnership prima di identificare integrazioni di terze parti vulnerabili.
La ricognizione attiva richiede l'interazione diretta con i sistemi di destinazione, creando traffico di rete e registri che i difensori possono potenzialmente rilevare. Ciò include la scansione delle porte per identificare i servizi in esecuzione, la mappatura della rete per comprendere la topologia dell'infrastruttura e la scansione delle vulnerabilità per individuare i punti deboli sfruttabili. Le tecniche attive forniscono informazioni più dettagliate e accurate, ma comportano un rischio maggiore di essere rilevate. L'attacco informatico ai danni di F5 Networks nell'ottobre 2025 ha comportato un'ampia ricognizione attiva, con gli aggressori che hanno sistematicamente sondato i confini della rete per identificare la zero-day che avrebbero poi sfruttato.
La ricognizione tramite social engineering collega la raccolta di informazioni umane e tecniche. Gli aggressori ricercano i dipendenti attraverso i social media, creanophishing miratephishing ed effettuano chiamate pretestuose ai help desk. Con l'80% del social engineering ora potenziato dall'intelligenza artificiale, gli aggressori possono analizzare automaticamente migliaia di post sui social media per identificare interessi, relazioni e modelli di comunicazione che informano attacchi altamente personalizzati.
La ricognizione tecnica si concentra sui livelli dell'infrastruttura e delle applicazioni. Ciò include l'enumerazione DNS per individuare i sottodomini, l'analisi dei log di trasparenza dei certificati per identificare le risorse e l'individuazione cloud attraverso modelli di denominazione prevedibili. L'operazione Copperfield, la campagna durata 12 mesi che ha preso di mira le infrastrutture critiche del Medio Oriente, ha dimostrato una ricognizione tecnica avanzata utilizzando strumenti legittimi come SharpHound per la mappatura di Active Directory e DWAgent per l'accesso persistente, tecniche che sfruttano le risorse disponibili e che eludono i tradizionali sistemi di rilevamento delle minacce.
Il panorama delle minacce dell'ottobre 2025 rivela tre innovazioni rivoluzionarie nel campo della ricognizione. La ricognizione basata su browser ha rivoluzionato la scoperta delle reti interne, con strumenti basati su JavaScript che mappano oltre 1.000 host interni per sessione eludendo i controlli di rete. Queste tecniche sfruttano WebRTC per la scoperta degli IP interni e WebGL per il fingerprinting dei dispositivi, con il 67% della ricognizione dei browser che non viene rilevata dagli attuali strumenti di sicurezza.
La ricognizione basata sull'intelligenza artificiale rappresenta un salto esponenziale in termini di capacità. I modelli di apprendimento automatico ora prevedono zero-day con un'accuratezza del 73% analizzando i modelli di codice e i dati storici sugli exploit. L'elaborazione del linguaggio naturale genera automaticamente phishing sensibili al contesto, mentre la visione artificiale estrae informazioni da screenshot e documenti su larga scala. Il recente aumento dell'ingegneria sociale potenziata dall'intelligenza artificiale, che interessa l'80% delle campagne, dimostra l'impatto immediato di questa tecnologia.
La ricognizione della catena di approvvigionamento è emersa come vettore di attacco primario, con il 30% delle violazioni del 2025 che coinvolgono la raccolta di informazioni da parte di terzi. Gli aggressori mappano le relazioni con i fornitori, analizzano le dipendenze software e identificano le infrastrutture condivise per trovare l'anello più debole in ecosistemi complessi. Lo sfruttamento di N-able N-central che ha colpito oltre 100 clienti a valle è un esempio di come la ricognizione di un singolo fornitore possa compromettere l'intera catena di approvvigionamento.
Il moderno arsenale di ricognizione spazia da semplici utility a riga di comando a sofisticate piattaforme basate sull'intelligenza artificiale, ciascuna delle quali serve specifici obiettivi di raccolta di informazioni. Comprendere questi strumenti, e le loro firme di rilevamento, è essenziale per i team di sicurezza che difendono dagli attacchi preliminari.
Le piattaforme OSINT costituiscono la base della ricognizione passiva. Shodan, il "motore di ricerca per dispositivi connessi", indicizza milioni di sistemi connessi a Internet, rivelando database esposti, sistemi di controllo industriale e servizi configurati in modo errato. Maltego visualizza le relazioni tra le entità, trasformando dati disparati in grafici di intelligence utilizzabili. TheHarvester automatizza la ricerca di e-mail, sottodomini e dipendenti su più fonti. Google dorking sfrutta operatori di ricerca avanzati per scoprire documenti sensibili, credenziali esposte e file di configurazione pubblicati inavvertitamente online. Questi strumenti non richiedono accessi speciali o competenze sofisticate, rendendoli accessibili sia agli hacker dilettanti che agli attori statali.
Gli strumenti di ricognizione della rete forniscono informazioni dettagliate sull'infrastruttura attraverso sondaggi attivi. Nmap rimane il gold standard per la scansione delle porte e il rilevamento dei servizi, in grado di identificare sistemi operativi, applicazioni e vulnerabilità su intere reti. Masscan esegue scansioni su scala Internet, elaborando milioni di host in pochi minuti. ZMap è specializzato in indagini di rete su larga scala, consentendo agli aggressori di identificare i servizi vulnerabili nell'intero spazio IPv4. Questi strumenti hanno generato il traffico di scansione che ha preceduto la campagna di sfruttamento Sitecore CVE-2025-53690, che ha distribuito malware WEEPSTEEL malware sistemi di gestione dei contenuti vulnerabili.
La ricognizione DNS rivela superfici di attacco nascoste attraverso l'enumerazione dei sottodomini e i tentativi di trasferimento di zona. Gli aggressori utilizzano strumenti come DNSrecon, Sublist3r e Amass per scoprire sottodomini dimenticati, server di sviluppo e cloud . I log di trasparenza dei certificati forniscono un'altra fonte di informazioni, esponendo ogni certificato SSL emesso per un dominio. La vulnerabilità Azure Networking CVE-2025-54914, scoperta attraverso l'enumerazione sistematica del DNS cloud di Microsoft, dimostra come le informazioni DNS consentano uno sfruttamento mirato.
Cloud sfrutta la natura prevedibile cloud . Gli aggressori enumerano i bucket S3 tramite attacchi basati su elenchi di parole, individuano gli account di archiviazione Azure tramite modelli DNS e mappano Cloud Google Cloud tramite convenzioni di denominazione prevedibili. Le CLI Cloud , se configurate in modo errato, diventano esse stesse strumenti di ricognizione: la CLI AWS può enumerare i ruoli IAM e le funzioni Lambda quando le credenziali sono esposte. La Crimson Collective , che ha colpito oltre 200 organizzazioni, ha sfruttato queste tecniche per mappare interi cloud prima di lanciare gli attacchi.
Gli strumenti di ricognizione potenziati dall'intelligenza artificiale rappresentano l'avanguardia nella raccolta di informazioni. Queste piattaforme analizzano automaticamente dati non strutturati provenienti da diverse fonti, identificano modelli che sfuggirebbero all'occhio umano e adattano le loro tecniche in base alle risposte difensive. Durante l'operazione Copperfield, gli aggressori hanno utilizzato modelli di intelligenza artificiale che hanno appreso il comportamento normale della rete nel corso di mesi, consentendo loro di integrare le attività di ricognizione con il traffico legittimo. Gli algoritmi di apprendimento automatico ora prevedono quali dipendenti sono più suscettibili al social engineering sulla base dell'analisi dei dati pubblici, raggiungendo tassi di successo che il targeting manuale non potrebbe mai eguagliare.
Le tecniche Living-off-the-land (LotL) sono diventate il metodo di ricognizione preferito dagli hacker più sofisticati, con il 40% dei gruppi APT che integrerà completamente questi approcci entro la fine del 2024. PowerShell consente un'enumerazione estesa di Active Directory senza attivare avvisi antivirus. Le query WMI (Windows Management Instrumentation) rivelano le configurazioni di sistema, il software installato e le connessioni di rete. Strumenti integrati come netstat, arp e route forniscono funzionalità di mappatura della rete senza richiedere malware .
L'efficacia della ricognizione LotL risiede nella sua invisibilità: questi strumenti generano un traffico amministrativo normale che si confonde con le operazioni legittime. SharpHound, ampiamente utilizzato nell'operazione Copperfield, sfrutta le query LDAP standard per mappare le relazioni di Active Directory. Earthworm crea tunnel di rete utilizzando protocolli comuni. DWAgent fornisce accesso remoto attraverso un software di supporto remoto apparentemente innocuo. Gli strumenti di sicurezza tradizionali faticano a distinguere l'uso dannoso dall'amministrazione legittima, con il 78% della ricognizione LotL che elude il rilevamento basato sulle firme. Le organizzazioni devono implementare analisi comportamentali e rilevamento delle anomalie per identificare modelli sospetti nell'uso altrimenti normale degli strumenti.
È più facile comprendere il processo di ricognizione osservandolo in sequenza. Nelle intrusioni reali, gli aggressori non passano direttamente allo sfruttamento delle vulnerabilità, ma prima individuano ciò che è accessibile, ciò che è esposto e quali identità o servizi consentiranno loro di muoversi con il minimo ostacolo.
Gli esempi seguenti sono classificati in base alla rilevabilità, per riflettere i diversi modi in cui i difensori devono implementare le misure di sicurezza e reagire.
La ricognizione passiva raccoglie informazioni senza interagire direttamente con i sistemi di destinazione. Potresti non notarla nei tuoi log, ma i suoi risultati si manifestano in seguito sotto forma di phishing altamente mirati, analisi precise dei servizi o abuso di identità senza tracce.
Tra gli esempi più comuni figurano:
La ricognizione attiva comporta un'interazione diretta con le infrastrutture o i servizi. Tende a generare dati di telemetria, soprattutto quando gli aggressori effettuano enumerazioni su larga scala o ripetute.
Tra gli esempi più comuni figurano:
Il modo più rapido per comprendere appieno il concetto di ricognizione è osservare come si inserisce nella catena di attacco, in particolare dopo l'accesso iniziale, quando malware un operatore inizia a mappare l'ambiente per decidere quali azioni intraprendere successivamente.
La ricognizione automatizzata consiste nell'uso di strumenti basati su script, bot e sistemi di intelligenza artificiale per raccogliere informazioni su sistemi, identità e infrastrutture alla velocità delle macchine. Anziché sondare manualmente un obiettivo, gli aggressori ricorrono all'automazione per eseguire scansioni, enumerazioni e mappature degli ambienti su larga scala.
L'automazione trasforma la ricognizione da un processo di individuazione lento a un'operazione industrializzata. È possibile analizzare migliaia di indirizzi IP, domini, identità e API in pochi minuti, riducendo lo sforzo richiesto agli autori degli attacchi e aumentando al contempo la copertura e la precisione.
La ricognizione automatizzata comprende in genere:
La ricognizione basata sull'intelligenza artificiale rappresenta la prossima fase evolutiva dell'automazione. Anziché eseguire script predefiniti, i modelli di intelligenza artificiale analizzano i modelli, adattano le tecniche e stabiliscono le priorità degli obiettivi in modo dinamico.
I sistemi di apprendimento automatico sono in grado di:
Negli scenari post-accesso, gli strumenti assistiti dall'intelligenza artificiale sono in grado di analizzare i dati telemetrici, le strutture delle directory e le relazioni di fiducia per individuare i percorsi ottimali per il movimento laterale. Ciò trasforma la ricognizione da una mappatura passiva a un processo decisionale adattivo.
Poiché le attività di ricognizione basate sull'intelligenza artificiale utilizzano spesso protocolli legittimi e si confondono con il traffico normale, per individuarle è necessario stabilire un modello di riferimento comportamentale piuttosto che ricorrere al confronto delle firme.
La ricognizione automatizzata segue schemi prevedibili anche quando viene eseguita alla velocità di una macchina. Sebbene le singole azioni possano sembrare di routine, come una query su una directory o una richiesta DNS, l'automazione introduce una portata, una ripetitività e una coerenza tali da generare segnali comportamentali rilevabili. Le tecniche riportate di seguito illustrano ciò che gli aggressori tendono ad automatizzare, perché ciò accresce il loro vantaggio e quali aspetti i difensori dovrebbero monitorare per individuare tempestivamente le loro intenzioni.
L'IA generativa ha introdotto un nuovo livello di accelerazione, consentendo agli hacker di individuare gli obiettivi, generare script di attacco e creare contenuti di ingegneria sociale convincenti in pochi secondi. Ciò che un tempo richiedeva competenze tecniche e un lavoro manuale può ora essere facilitato, o interamente orchestrato, dai modelli linguistici di grandi dimensioni.
Guarda nel video qui sotto come l'IA generativa elimina i tempi di attesa nelle fasi di ricognizione e preparazione, consentendo agli aggressori di passare dalla ricerca iniziale all'esecuzione con un notevole risparmio di tempo.
La ricognizione non è più una fase preliminare lenta e facilmente individuabile. Si tratta invece di un processo rapido e iterativo, guidato dall'automazione e dall'assistenza dell'intelligenza artificiale. Per individuarla occorre mettere in relazione i comportamenti tra identità, endpoint, attività di rete e cloud , non limitarsi a singoli avvisi isolati.
Il rilevamento delle attività di ricognizione richiede il riconoscimento di modelli, non solo di firme. Molte attività di ricognizione sembrano innocue se considerate singolarmente, ma assumono significato se messe in relazione tra sistemi, identità e nel tempo.
Tra le principali strategie difensive figurano:
Poiché le attività di ricognizione possono verificarsi sia prima che dopo l'accesso iniziale, la visibilità deve estendersi agli ambienti di rete, di identità, cloud e SaaS.
I programmi efficaci misurano:
Finestre di rilevamento brevi riducono il vantaggio dell'autore dell'attacco.
I programmi avanzati si basano su un'attività di ricognizione continua. Essi combinano il monitoraggio comportamentale, la ricerca proattiva delle minacce e l'autovalutazione periodica per individuare le vulnerabilità prima che lo facciano gli aggressori.
Il rilevamento a più livelli su reti, identità e cloud migliora la chiarezza dei segnali iniziali e consente un contenimento più rapido prima che lo sfruttamento del vulnerabilità si aggravi.
Per misurare l'efficacia del rilevamento delle ricognizioni sono necessari parametri specifici. Il tempo medio di rilevamento (MTTD) delle ricognizioni dovrebbe essere misurato in ore, non in giorni: i 22 minuti necessari per rendere un'arma operativa richiedono un rilevamento rapido. I tassi di falsi positivi devono bilanciare la sicurezza con l'efficienza operativa; un numero eccessivo di avvisi causa affaticamento, mentre un numero insufficiente non consente di individuare le minacce reali. Le lacune nella copertura rivelano i punti ciechi: se il 67% delle ricognizioni dei browser non viene rilevato, le organizzazioni sanno dove concentrare i propri sforzi di miglioramento. Tracciate il rapporto tra tentativi di ricognizione rilevati e riusciti, la percentuale di interazioni con honeypot investigate e il tempo che intercorre tra il rilevamento della ricognizione e la risposta all'incidente. Questi parametri consentono un miglioramento continuo e dimostrano il valore del programma di sicurezza.
Una difesa efficace contro le attività di ricognizione richiede un programma completo che combini tecnologia, processi e persone. Iniziate con un'autovalutazione continua: conducete regolarmente attività di ricognizione all'interno della vostra organizzazione per identificare le vulnerabilità prima che lo facciano gli aggressori. Integrate le informazioni sulle minacce per comprendere le tendenze e le tecniche di ricognizione attuali. Implementate difese a più livelli che affrontino la ricognizione passiva e attiva, gli approcci tecnici e di ingegneria sociale. Formate i team di sicurezza per riconoscere gli indicatori di ricognizione e rispondere in modo appropriato. Stabilite procedure di escalation chiare per quando viene rilevata una ricognizione. Soprattutto, ipotizzate una violazione: progettate difese che limitino il valore della ricognizione anche se la raccolta iniziale di informazioni ha successo. Le organizzazioni che implementano programmi completi di difesa dalla ricognizione segnalano una riduzione del 60% delle violazioni riuscite, dimostrando il valore di fermare gli attacchi nella loro fase iniziale.
I programmi di successo sottolineano anche l'importanza della ricerca delle minacce e della risposta proattiva agli incidenti. Anziché attendere gli avvisi, analisti esperti cercano attivamente indicatori di ricognizione nei registri e nel traffico di rete. Indagano sulle anomalie che i sistemi automatizzati non rilevano e mettono in correlazione eventi disparati che potrebbero indicare una ricognizione paziente e di basso profilo. Questo elemento umano rimane fondamentale: mentre l'intelligenza artificiale migliora le capacità di rilevamento, l'intuizione e l'esperienza umana spesso identificano ricognizioni sofisticate che sfuggono al rilevamento automatico.
MITRE ATT&CK la ricognizione come una categoria tattica (TA0043), che comprende tecniche quali la scansione attiva, la raccolta di informazioni sull'identità delle vittime e la ricerca di siti web o domini accessibili. Queste tecniche sono osservabili e possono essere associate direttamente ai controlli di rilevamento.
Nella catena di attacco informatico, la ricognizione costituisce la Fase 1. Interrompere questa fase riduce la probabilità che l'accesso iniziale, l'escalation dei privilegi e l'esfiltrazione dei dati abbiano esito positivo.
L'associazione della copertura dei sistemi di rilevamento a questi framework consente ai team di sicurezza di:
Il settore della sicurezza ha risposto alle crescenti minacce di ricognizione con tecnologie difensive innovative che sfruttano l'intelligenza artificiale, architetture cloud e piattaforme di rilevamento integrate. Queste soluzioni affrontano la velocità, la portata e la sofisticazione delle moderne campagne di ricognizione.
Le piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale analizzano miliardi di eventi ogni giorno, identificando modelli di ricognizione invisibili agli analisti umani. Questi sistemi stabiliscono linee guida comportamentali per utenti, sistemi e reti, quindi identificano le deviazioni che indicano una potenziale ricognizione. Correlano segnali deboli provenienti da più fonti di dati (un login non riuscito qui, una query insolita al database là) per rivelare attività coordinate di raccolta di informazioni. I modelli di apprendimento automatico migliorano continuamente, imparando sia dai rilevamenti riusciti che dagli attacchi mancati per migliorare le prestazioni future.
Le piattaforme di rilevamento e risposta estesi (XDR) unificano la visibilità su endpoint, reti e cloud , fondamentale per rilevare attività di ricognizione che interessano più superfici di attacco. L'XDR correla gli indicatori di ricognizione tra strumenti di sicurezza tradizionalmente isolati, rivelando attacchi che i singoli strumenti non riescono a individuare. Ad esempio, l'XDR potrebbe correlare la ricognizione dei social media dei dipendenti (rilevata dall'intelligence sulle minacce) conphishing successiviphishing (rilevati dalla sicurezza della posta elettronica) e l'accesso VPN insolito (rilevato dalla gestione delle identità), rivelando un attacco coordinato che gli strumenti isolati tratterebbero come incidenti separati.
Le soluzioni di sicurezza Cloud affrontano le sfide specifiche della cloud . Forniscono visibilità in tempo reale sulle chiamate API, analizzano i log cloud alla ricerca di tentativi di enumerazione e rilevano modelli di accesso insoliti incloud . Queste piattaforme comprendono le tecniche di ricognizione cloud, come l'enumerazione dei bucket e l'abuso dei servizi di metadati, fornendo una protezione che gli strumenti di sicurezza tradizionali non sono in grado di offrire.
I servizi di rilevamento e risposta gestiti forniscono competenze che molte organizzazioni non possiedono internamente. Questi servizi combinano tecnologie avanzate con analisti umani che comprendono gli indicatori di ricognizione e sono in grado di indagare sulle attività sospette. Forniscono un monitoraggio 24 ore su 24, 7 giorni su 7, garantendo che i tentativi di ricognizione al di fuori dell'orario di lavoro non passino inosservati.
La piattaforma Vectra affronta la difesa dalla ricognizione attraverso Attack Signal Intelligence™, concentrandosi sui comportamenti degli aggressori piuttosto che sulle firme o sui modelli noti. Questa metodologia identifica le attività di ricognizione analizzando il modo in cui si discostano dalle normali operazioni, indipendentemente dal fatto che gli aggressori utilizzino zero-day , tecniche living-off-the-land o strumenti potenziati dall'intelligenza artificiale. La piattaforma correla i segnali deboli in ambienti ibridi, dall'Active Directory on-premise ai cloud , rivelando campagne di ricognizione pazienti che gli strumenti tradizionali non riescono a individuare. Comprendendo le intenzioni degli aggressori piuttosto che solo le tecniche, Vectra AI i nuovi metodi di ricognizione non appena emergono, fornendo una difesa adattiva contro le minacce in continua evoluzione. Questo approccio comportamentale si è dimostrato particolarmente efficace contro la ricognizione basata su browser e il social engineering potenziato dall'intelligenza artificiale, rilevando modelli che gli strumenti basati sulle firme non sono in grado di identificare.
Il panorama della ricognizione subirà una trasformazione radicale nei prossimi 12-24 mesi, guidata dai progressi tecnologici e dall'evoluzione delle motivazioni degli aggressori. I team di sicurezza devono prepararsi ad affrontare minacce che non esistono ancora, ma i cui contorni sono già visibili.
Entro la fine del 2026, la ricognizione sarà prevalentemente guidata dall'intelligenza artificiale. Le statistiche attuali mostrano che l'80% delle campagne di ingegneria sociale utilizza già l'intelligenza artificiale, ma questo è solo l'inizio. L'intelligenza artificiale di nuova generazione condurrà campagne di ricognizione autonome che si adatteranno in tempo reale in base alle risposte difensive. Questi sistemi analizzeranno contemporaneamente milioni di punti dati, identificheranno modelli che gli esseri umani non sono in grado di percepire e genereranno strategie di attacco ottimizzate per obiettivi specifici.
I modelli di apprendimento automatico raggiungeranno un'accuratezza quasi perfetta nella previsione zero-day , passando dall'attuale 73% a oltre il 90% entro 18 mesi. Gli aggressori utilizzeranno l'intelligenza artificiale per analizzare i commit del codice, identificare le aree di interesse dei ricercatori di sicurezza e prevedere quali vulnerabilità saranno scoperte e quando. Questa capacità predittiva consentirà agli aggressori di preparare gli exploit prima ancora che le vulnerabilità vengano divulgate.
L'elaborazione del linguaggio naturale rivoluzionerà la ricognizione nell'ambito dell'ingegneria sociale. L'intelligenza artificiale analizzerà anni di comunicazioni dei dipendenti per comprendere stili di scrittura, relazioni e modelli di comunicazione. Genererà e-mail indistinguibili dai messaggi legittimi, le invierà con tempistiche perfette in base ai modelli comportamentali e adatterà i contenuti in base alle risposte dei destinatari. La difesa contro la ricognizione potenziata dall'intelligenza artificiale richiederà un sistema di rilevamento altrettanto sofisticato basato sull'intelligenza artificiale.
Sebbene i computer quantistici pratici siano ancora lontani anni luce, gli autori delle minacce stanno già conducendo ricognizioni in preparazione. Le campagne "raccogli ora, decodifica dopo" raccolgono dati crittografati per la futura decodifica quantistica. Le organizzazioni devono presumere che le comunicazioni attualmente sicure diventeranno leggibili entro 5-10 anni e adeguare di conseguenza la loro difesa contro le ricognizioni.
Il quantum computing rivoluzionerà anche la ricognizione stessa. Gli algoritmi quantistici potrebbero violare l'attuale crittografia in pochi minuti, esponendo enormi quantità di informazioni precedentemente protette. L'analisi di rete che attualmente richiede settimane potrebbe avvenire in pochi secondi. Le organizzazioni devono iniziare subito a implementare una crittografia resistente al quantum per proteggersi dalla ricognizione futura.
L'esplosione dei dispositivi IoT crea opportunità di ricognizione senza precedenti. Entro il 2027, le organizzazioni implementeranno miliardi di dispositivi IoT, ciascuno dei quali sarà un potenziale obiettivo di ricognizione. Questi dispositivi spesso mancano di controlli di sicurezza, utilizzano credenziali predefinite e comunicano su canali non crittografati. Gli aggressori svilupperanno strumenti di ricognizione specializzati per gli ambienti IoT, mappando le relazioni tra i dispositivi e identificando i punti di accesso vulnerabili.
L'edge computing distribuisce l'elaborazione su numerose sedi, complicando la difesa dalla ricognizione. La tradizionale sicurezza basata sul perimetro diventa insignificante quando l'elaborazione avviene ovunque. Le organizzazioni avranno bisogno di nuovi approcci per rilevare la ricognizione su infrastrutture edge distribuite.
L'automazione difensiva sarà pari all'automazione offensiva. Le piattaforme di sicurezza basate sull'intelligenza artificiale condurranno una ricognizione continua, identificando le vulnerabilità prima degli aggressori. Regoleranno automaticamente le difese in base alla ricognizione rilevata, implementando una sicurezza adattiva che evolve con le minacce. Le tecnologie di inganno utilizzeranno l'intelligenza artificiale per creare honeypot dinamici che si adattano per ingannare specifici strumenti di ricognizione.
Gli analisti della sicurezza umana passeranno dal rilevamento alla strategia. Mentre l'IA si occuperà del rilevamento di routine, gli esseri umani si concentreranno sulla comprensione delle motivazioni degli aggressori, sulla previsione delle tendenze future in materia di ricognizione e sulla progettazione di strategie difensive. Questa collaborazione uomo-macchina sarà essenziale per difendersi dalla ricognizione basata sull'IA.
I governi di tutto il mondo implementeranno nuove normative relative alle attività di ricognizione. Prevediamo l'introduzione di obblighi di segnalazione delle attività di ricognizione, simili alle attuali notifiche di violazione. Verranno definiti standard di settore per le capacità di rilevamento delle attività di ricognizione e le organizzazioni saranno tenute a dimostrare l'adozione di misure difensive specifiche. Le polizze assicurative contro i rischi informatici modificheranno i premi in base al grado di maturità delle difese contro le attività di ricognizione, incentivando investimenti proattivi nella sicurezza.
Il settore della sicurezza svilupperà nuove categorie di strumenti di difesa dalla ricognizione. L'intelligence sulle minacce di ricognizione diventerà un mercato distinto, fornendo informazioni in tempo reale sulle campagne di ricognizione in corso. Le piattaforme di ricognizione come servizio aiuteranno le organizzazioni a testare le loro difese. La collaborazione nel settore aumenterà, con le organizzazioni che condivideranno gli indicatori di ricognizione per consentire una difesa collettiva.
È proprio grazie alla fase di ricognizione che gli attacchi moderni acquisiscono precisione e portata. Prima di procedere allo sfruttamento delle vulnerabilità, gli aggressori riducono l'incertezza mappando l'infrastruttura, le identità e le relazioni di fiducia.
Per i difensori, questa fase rappresenta un'opportunità strategica. L'individuazione tempestiva delle attività di ricognizione blocca lo svolgimento dell'attacco prima che le credenziali vengano utilizzate in modo improprio o che si acceda ai dati.
Le organizzazioni che monitorano i modelli di rete, i comportamenti degli utenti e l'esposizione dell'ecosistema migliorano la propria capacità di individuare tempestivamente le intenzioni e ridurre il rischio complessivo di attacchi.
Nella sicurezza informatica, la ricognizione è la fase di raccolta di informazioni che precede un attacco, durante la quale gli aggressori raccolgono dati su sistemi, identità, reti e servizi esposti al fine di individuare i punti deboli e pianificare lo sfruttamento delle vulnerabilità. Ciò riduce l'incertezza e aumenta la precisione dell'attacco.
La ricognizione può avvenire prima dell'accesso iniziale (mappatura esterna e OSINT) o dopo la compromissione (enumerazione interna di identità, ruoli e percorsi di rete). È formalmente definita nel MITRE ATT&CK categoria tattica TA0043.
La fase di ricognizione è la prima fase del ciclo di vita di un attacco informatico, durante la quale gli aggressori raccolgono informazioni prima di tentare lo sfruttamento.
Nella catena di attacco informatico, la ricognizione precede l'accesso iniziale. Tuttavia, nelle intrusioni moderne, la ricognizione spesso prosegue anche dopo l'accesso, poiché gli aggressori ampliano il proprio campo visivo, mappano le relazioni di fiducia e individuano i percorsi per il movimento laterale.
Un attacco di ricognizione è un'operazione di raccolta di informazioni volta a individuare vulnerabilità, servizi esposti, identità o configurazioni errate che possano essere sfruttate in seguito.
Può comportare tecniche passive (OSINT, analisi dei certificati, profilazione dei dipendenti) o sondaggi attivi (scansione delle porte, enumerazione dei servizi, query sulle directory). L'obiettivo dell'attacco è la preparazione, non un'interruzione immediata.
La ricognizione di rete è il processo di mappatura dell'infrastruttura volto a identificare host attivi, servizi esposti, porte aperte, relazioni di fiducia e risorse raggiungibili.
A livello esterno, gli aggressori eseguono scansioni dei sistemi esposti a Internet. A livello interno, identità compromesse o malware Active Directory, cloud e le condivisioni di rete per individuare i percorsi di movimento laterale.
La scansione è una sottocategoria della ricognizione. La ricognizione è il processo più ampio di raccolta di informazioni, mentre la scansione è un metodo tecnico che ne fa parte.
La ricognizione può essere passiva o attiva. La scansione è sempre attiva e genera traffico rilevabile. Concentrarsi esclusivamente sul rilevamento delle scansioni lascia dei punti ciechi riguardo alla ricognizione basata sull'identità e sull'OSINT.
Tra gli esempi più comuni di attacchi di ricognizione figurano:
Queste attività riducono le incertezze prima dell'inizio dello sfruttamento.
La durata della ricognizione varia a seconda della sofisticatezza dell'autore dell'attacco e dell'obiettivo perseguito.
Le campagne automatizzate possono effettuare attività di ricognizione in pochi minuti prima di passare all'azione. Le operazioni mirate o condotte da Stati-nazione possono invece svolgere attività di ricognizione per settimane o mesi prima di agire.
Le organizzazioni dovrebbero considerare la ricognizione come un processo continuo piuttosto che come un evento isolato.
Una ricognizione puramente passiva che utilizza fonti pubbliche non può essere rilevata direttamente, poiché non interagisce con i sistemi di destinazione.
Tuttavia, le organizzazioni possono ridurre la propria esposizione e ricorrere a metodi di rilevamento indiretti, quali honeytokens, monitoraggio delle informazioni sulle minacce e rilevamento delle anomalie, per individuare casi di abuso di identità a valle derivanti dalla raccolta passiva di informazioni.
La legalità delle attività di ricognizione dipende dal metodo utilizzato e dalla giurisdizione.
La raccolta passiva di informazioni da fonti pubbliche è generalmente legale. Le attività di sondaggio attivo, la scansione delle porte e l'interazione non autorizzata con i sistemi spesso violano le leggi in materia di uso improprio dei computer o di frode quando vengono effettuate senza autorizzazione.
Le organizzazioni che effettuano test di sicurezza devono ottenere un'autorizzazione esplicita.
Le organizzazioni prevengono gli attacchi di ricognizione riducendo la propria esposizione e individuando tempestivamente comportamenti anomali di enumerazione.
Tra i controlli efficaci figurano:
La diagnosi precoce riduce il rischio di un attacco riuscito.