Attacchi invisibili, tempi di reazione ridotti a minuti e polizze assicurative sempre più esigenti: come il panorama delle minacce sta ridisegnando la sicurezza dei fornitori di servizi gestiti.
Autore: Redazione SecurityOpenLab
Per anni la domanda che un Managed Service Provider si è posto è stata: i miei clienti hanno bisogno di sicurezza avanzata? Oggi quella domanda è diventata: i miei clienti possono permettersi di farne a meno? E ovviamente la risposta è negativa. La soglia minima di sicurezza che un MSP deve garantire si è spostata sensibilmente in avanti, spinta dall’evoluzione delle tecniche di attacco, dalla velocità con cui gli attaccanti si muovono, e dalle crescenti pretese delle compagnie assicurative. Chi non si adegua diventa automaticamente l'anello debole della catena.
Sul fronte tecnico, il cambiamento maggiore è dato dall’assenza di malware, rimpiazzato sempre in maggior misura dalle tecniche living-off-the-land (LotL), che prevedono l’abuso di strumenti già presenti nell'ambiente target per passare indenni ai controlli di sicurezza delle soluzioni tradizionali. Un esempio lampante è quello di ToolShell: APT hanno sfruttato una vulnerabilità zero-day in Microsoft SharePoint e hanno usato esclusivamente strumenti nativi di Windows per entrare in rete, ottenere la persistenza, fare l’escalation di privilegi e distribuire ransomware tra cui varianti di LockBit, senza innescare gli allarmi tradizionali.
Secondo un'analisi di Bitdefender, su 700.000 incidenti di sicurezza, l'84% degli attacchi ad alta gravità sfrutta tecniche LotL. Dati simili sono contenuti nel CrowdStrike 2026 Global Threat Report, secondo cui gli attacchi malware-free rappresentano il 79% di tutte le detection, rispetto al 40% del 2019. Picus Security aggiunge che PowerShell compare nel 71% dei casi LotL documentati, e viene impiegato per scaricare payload, eseguire codice in memoria, disabilitare le difese e spostarsi lateralmente.
Il maggiore problema della difesa oggi è il tempo che i difensori hanno a disposizione per reagire. I numeri del sopraccitato report Crowdstrike sono allarmanti: l'intervallo tra la compromissione iniziale e il movimento laterale è sceso a 29 minuti nel 2025, con un'accelerazione del 65% rispetto all'anno precedente. Il breakout time (il tempo che un attaccante impiega a iniziare a muoversi lateralmente nella rete) ha raggiunto il minimo storico: nel caso del gruppo Curly Spider monitorato da CrowdStrike, bastano meno di quattro minuti dall'interazione iniziale di phishing per stabilire una backdoor persistente nella rete.
Sul fronte del dwell time, il Mandiant M-Trends 2026 rileva una mediana globale di 14 giorni (contro 11 giorni dell’edizione precedente), che segnala la crescente capacità di eludere le difese durante periodi più lunghi, specialmente negli attacchi di cyber espionage dove la mediana sale a 122 giorni. Per il ransomware operativo il quadro è opposto: Sophos documenta una mediana di 5 giorni nella prima metà del 2025, con casi in cui l'intera kill chain si completa in meno di 24 ore. Oltre il 50% delle distribuzioni ransomware avviene entro 24 ore dall'accesso iniziale, con il 10% entro cinque ore. La convergenza tra LotL e velocità si traduce in una drammatica contrazione dei tempi di risposta.
Calando il problema negli ambienti MSP, gli attacchi LotL spesso sfruttano RMM e strumenti di accesso remoto con cui l’MSP lavora sulle infrastrutture dei clienti. Un Managed Service Provider detiene accesso privilegiato a decine o centinaia di ambienti cliente: i suoi strumenti RMM e PSA sono per design i sistemi più potenti dell'intero stack, e per questo diventano il bersaglio di massimo rendimento per un attaccante.
Un recente report di Guardz certifica che l'abuso di strumenti RMM rappresenta la maggiore minaccia alla sicurezza degli endpoint, con il 26% di tutte le detection. Gli attaccanti sfruttano strumenti come ScreenConnect, AteraAgent e MeshAgent per ottenere accesso persistente non autorizzato. Il team di threat hunting di Guardz prevede che gli attacchi alla supply chain degli MSP si intensificheranno nella seconda metà del 2026, con attaccanti che impersoneranno infrastrutture RMM legittime.
In questo scenario, l’EDR ha un limite: rimane uno strumento fondamentale, ma non è più sufficiente perché gli alert devono essere investigati, validati, prioritizzati e trasformati in azioni concrete, 24 ore su 24, sette giorni su sette, su decine di ambienti cliente simultaneamente. La soluzione è pertanto l’affiancamento di EDR e MDR, nella misura in cui l’EDR fornisce visibilità, l’MDR aggiunge investigazione, risposta e competenza umana continua, per garantire la capacità di adattare la risposta in tempo reale, che è l’elemento che fa la differenza tra contenere un incidente e subirlo per intero.
Fino a qualche anno fa le compagnie di cyber insurance valutavano il rischio con questionari generici; nel 2026 il processo si è trasformato in un audit tecnico. L’antivirus tradizionale basato su firme non è più accettato, oggi la soglia minima è EDR con monitoring 24/7 su ogni endpoint e ogni server, con risposta misurabile in minuti. Chi non rispetta i requisiti vede aumenti di premio o viene dirottato su mercati surplus lines dove i premi triplicano.
Come documenta SeedPod Cyber, quello che le compagnie assicurative richiedono è la raccolta aggregata di log da endpoint, sistemi di autenticazione, firewall e piattaforme SaaS, con alert verificati 24 ore su 24 da un SOC interno o da un provider MDR. Per gli MSP specificamente, le compagnie esaminano se il contratto master di servizio definisce chiaramente la divisione delle responsabilità di sicurezza tra MSP e cliente. La presenza di un MDR può influenzare positivamente i premi riducendo fattori di rischio misurabili come dwell time, severità degli incidenti e costi di recovery. Gli assicuratori valutano la postura di rischio durante l'underwriting, e forti capacità di monitoring dimostrano ridotta esposizione. Secondo un’altra fonte, quasi una richiesta di risarcimento su quattro presentata nel 2024 è stata respinta per mancato rispetto dei requisiti di copertura.