Tre incidenti gravi al giorno, il 44% degli accessi via exploit pubblici, SOC che usano metà dei dati disponibili. La fotografia di un anno di minacce reali attraverso MDR, IR e SOC Consulting.
Autore: Redazione SecurityOpenLab
Nel 2025 sono stati rilevati in media tre incidenti di gravità elevata al giorno; il 44% degli attacchi reali inizia con lo sfruttamento di vulnerabilità in applicazioni esposte su Internet; metà delle falle identificate negli interventi di Incident Response porta all'esecuzione di codice remoto, in alcuni casi senza autenticazione; la copertura media delle regole di correlazione nei SOC analizzati è del 43%. I dati emergono dal report Anatomia del mondo digitale di Kaspersky Security Services 2026, costruito sulle statistiche degli incidenti rilevati attraverso i servizi proprietari di Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment e SOC Consulting. Il periodo di riferimento è tutto il 2025 e la base di osservazione è globale.
I settori più colpiti da incidenti di gravità elevata sono il pubblico (19%), l'industria (17%) e l'IT (15%), con quest'ultimo che ha superato il settore finanziario nella classifica dei bersagli più appetibili; i ricercatori lo attribuiscono al crescente interesse degli avversari per gli attacchi alla supply chain e allo sfruttamento delle relazioni di fiducia tra fornitori IT e loro clienti.
In generale, la percentuale di incidenti di gravità elevata sul totale è scesa al 3,8% nel 2025, contro il 14,3% del 2021. Il calo riflette il miglioramento dei meccanismi difensivi specificamente orientati agli attacchi condotti da esseri umani, fra cui protezione degli endpoint più efficace, threat hunting strutturato, tempi di risposta più rapidi. Il tempo medio di rilevamento e segnalazione si è ridotto del 22% per gli incidenti gravi (da 53,9 a 42,1 minuti rispetto al 2024) e del 21% per quelli di media gravità.
Il rovescio della medaglia è quello che il report definisce effetto flooding: la quota combinata di incidenti di media e bassa gravità ha superato il 96% del totale, per via degli attacchi malware automatizzati e delle minacce di volume. All’atto pratica, significa che le imprese si trovano a gestire simultaneamente un maggiore carico di minacce di basso livello e minacce avanzate che riescono a superare i filtri automatizzati.
Che cosa innesca gli incidenti gravi? Le attività APT e le esercitazioni di Red Teaming autorizzate dai clienti rappresentano quasi il 47% dei casi. Il social engineering si colloca al terzo posto con oltre il 15% e la sua persistenza indica che i controlli tecnici da soli non riescono a mitigare il fattore umano, tanto che phishing e pretexting rimangono vettori di accesso iniziale affidabili. Gli attacchi malware senza coinvolgimento umano attivo pesano per l'11%, mentre le violazioni gravi dei criteri di sicurezza (oltre il 13%) indicano che configurazioni errate e azioni non autorizzate continuano a rappresentare un rischio rilevante.
Le statistiche sui vettori iniziali mostrano una classifica stabile da sette anni: exploit di applicazioni rivolte al pubblico (43,7%), sfruttamento di account validi (25,4%), rapporto di fiducia (15,5%). La novità è proprio l’ingresso in top 3 di quest’ultimo elemento: gli attaccanti compromettono prima i sistemi di fornitori di servizi IT (spesso piccole aziende prive di competenze specifiche in cybersecurity), e poi sfruttano l'accesso remoto che questi hanno sui sistemi dei loro clienti.
La durata degli attacchi per i clienti privi di MDR varia notevolmente: oltre la metà degli incidenti dura meno di un giorno; il 33% è di lunga durata, con una permanenza media dell'attaccante nella rete di 108 giorni prima del rilevamento. La risposta agli incidenti richiede rispettivamente 20 ore per gli attacchi rapidi e 100 ore per quelli prolungati. Il rapporto tra danno e velocità di rilevamento è diretto: le organizzazioni che identificano gli avversari prima che l'attacco si dispieghi completamente evitano i danni più pesanti (file criptati, esfiltrazione, compromissione di Active Directory).
Le vulnerabilità più diffuse negli interventi IR del 2025 sono in larga parte già note da anni, per le quali sono già disponibili Proof of Concept pubblicati su piattaforme aperte e che non richiedono condizioni complesse per l'esecuzione. Metà delle falle identificate porta all'esecuzione di codice remoto, in alcuni casi senza autenticazione. La finestra tra divulgazione e sfruttamento attivo rimane il problema centrale.
Nelle indagini IR, in quasi tutti i casi gli attaccanti utilizzano strumenti legittimi in qualche fase dell'attacco. Mimikatz (14,3%) e PowerShell (8,1%) sono i più frequenti; seguono PsExec (7,5%) e AnyDesk (7,5%). Il ricorso massiccio ai cosiddetti LOLBin (strumenti del sistema operativo preinstallati) riduce al minimo il rischio di rilevamento basato sulla reputazione dei file, perché il codice eseguito è firmato.
Il capitolo dedicato all'efficacia dei SOC è di particolare interesse. La copertura media delle regole di correlazione sulle origini dati disponibili è del 43%: nella migliore delle ipotesi, i SOC sfruttano circa la metà dei dati a disposizione per il rilevamento delle minacce. Le origini sistematicamente trascurate sono la telemetria di rete, i database e i server web. Il report identifica tre categorie di SOC: quelli che sviluppano autonomamente le regole di rilevamento (circa il 40%, con 200-2.000 regole SIEM/XDR attive e copertura di sviluppo personalizzato tra l'80% e il 100%); quelli che seguono i pacchetti del fornitore senza personalizzazione (circa il 50%, con una media di 650 regole e solo il 25% di personalizzazione); quelli che si affidano prevalentemente all'EDR (circa il 10%).
I tre problemi più comuni riscontrati nei progetti di consulenza SOC sono la copertura dell'infrastruttura mancante o degradata nel tempo rispetto al perimetro originale definito in fase di progettazione; la mancanza di regole di rilevamento per le origini dati disponibili; e l'utilizzo di regole predefinite del fornitore senza personalizzazione, con conseguente aumento dei falsi positivi e lacune specifiche sull'infrastruttura reale.
Nel 2025, quasi il 18,6% degli incidenti rilevati nei progetti Compromise Assessment è stato individuato manualmente, a conferma che l'automazione da sola non basta: la ricerca attiva delle minacce (threat hunting) mantiene un ruolo insostituibile, in particolare per le compromissioni che hanno superato i controlli automatici e sono rimaste latenti nella rete.