Risponde Sean Nikkel, Team Lead, Cyber Intelligence Fusion Cell di Bitdefender
Autore: Redazione SecurityOpenLab
In quanto membri dell'Unione Europea, le aziende italiane sono sempre state esposte a minacce, più recentemente a causa di fattori geopolitici o di attacchi diffusi che sfruttano le vulnerabilità di dispositivi di rete e applicazioni web di uso comune. In questo scenario, le aziende che rivestono un ruolo strategico o esercitano un’influenza politica ed economica significativa rappresentano obiettivi privilegiati per gli hacker operanti nel cyberspazio.
Dall'invasione russa dell'Ucraina nel 2022, gruppi di “hacktivisti” con orientamenti politici, come NoName, hanno sferrato regolarmente attacchi DDoS (Distributed Denial of Service) contro enti governativi italiani e di altri paesi alleati della NATO. A queste campagne si affiancano le più tradizionali attività di cyber spionaggio, che continuano a rappresentare una minaccia costante e quotidiana per aziende pubbliche e private.
Accanto alle minacce riconducibili ad attori legati agli stati-nazione, i gruppi criminali continuano a sfruttare vulnerabilità critiche per compromettere sistemi e infrastrutture. Il numero delle vulnerabilità rese pubbliche e degli exploit disponibili cresce costantemente di anno in anno, mentre la capacità delle aziende di implementare tempestivamente le necessarie misure correttive fatica a tenere il passo.
L'Italia non è immune a queste campagne criminali. Il Paese si colloca stabilmente tra i dieci più colpiti al mondo dagli attacchi ransomware e tra i primi cinque in Europa per impatto di questa minaccia. A risultare particolarmente esposte sono le piccole e medie imprese, spesso dotate di risorse economiche limitate e di team IT sottodimensionati, condizioni che le rendono bersagli privilegiati per gli hacker.
Sebbene le minacce riconducibili alla criminalità organizzata e a stati-nazione siano una costante, alcuni dei rischi più concreti hanno origine all’interno delle stesse aziende e nei comportamenti dei loro utenti. Il phishing continua a essere uno dei vettori di attacco più efficaci, con hacker che perfezionano costantemente nuove tecniche per indurre le vittime a scaricare malware o a divulgare le proprie credenziali di accesso. Queste tattiche di social engineering alimentano un ecosistema criminale sempre più strutturato: i malware sottraggono informazioni che spaziano dalle password ai token di sessione, successivamente rivenduti nei mercati clandestini, mentre i download dannosi possono offrire agli hacker un accesso iniziale alla rete o favorire la propagazione del malware. Le credenziali compromesse rappresentano spesso un elemento cruciale nella catena di attacco, consentendo l’accesso ad account interni, privilegi amministrativi o specifiche applicazioni aziendali. La presenza di software vulnerabile contribuisce ad aggravare ulteriormente il problema. Le PMI che operano con team più ridotti, risorse limitate o policy di sicurezza non adeguatamente strutturate risultano particolarmente esposte e, di conseguenza, figurano regolarmente tra gli obiettivi privilegiati delle campagne ransomware.
Per una piccola o media impresa, l'obiettivo non è eliminare ogni singola vulnerabilità, ma rendere la propria azienda un bersaglio molto più difficile da colpire rispetto alle migliaia di altre aziende che gli hacker possono raggiungere.
La buona notizia è che la maggior parte degli attacchi andati a buon fine nel 2026 continua a fare leva sulle medesime debolezze operative. Si tratta di criticità ben note che, proprio perché ricorrenti, rappresentano le aree alle quali è più opportuno dare priorità. In particolare, le principali categorie di vulnerabilità riguardano la presenza di sistemi esposti a Internet privi delle necessarie patch, controlli dell'identità, l'assegnazione di privilegi eccessivi agli utenti, la mancanza di visibilità, pratiche di backup inadeguate e, infine, architetture di rete eccessivamente piatte.
Tra le vulnerabilità più diffuse e critiche emerse di recente figurano quelle che interessano i principali sistemi di sicurezza perimetrale, come VPN, gateway, firewall e dispositivi analoghi. In alcuni casi, lo sfruttamento di queste debolezze ha consentito agli attaccanti di esporre completamente le reti aziendali, ricorrendo anche a tecniche relativamente semplici. Analoghi rischi riguardano le applicazioni web, l'infrastruttura server e gli ambienti di virtualizzazione, inclusi gli hypervisor, la cui violazione può generare impatti significativi e diffusi sull'intera organizzazione. La maggior parte degli incidenti di sicurezza più rilevanti trae origine dalla violazione di uno o più di questi elementi; di conseguenza, le strategie di difesa multilivello dovrebbero attribuire priorità alla loro protezione, al monitoraggio continuo e alla tempestiva gestione delle vulnerabilità.
Il denominatore comune è che, mentre il tempo disponibile per sfruttare le vulnerabilità si riduce progressivamente - complice l’evoluzione delle capacità degli hacker e il crescente utilizzo dell’intelligenza artificiale - i tempi necessari per applicare le patch o mitigare i rischi continuano a rappresentare una criticità per aziende di ogni dimensione.
L’aggiornamento dei sistemi, infatti, raramente è un processo lineare: modifiche non adeguatamente testate possono compromettere la disponibilità dei servizi o incidere negativamente sulla produttività. Le grandi imprese possono contare su team dedicati che gestiscono cicli di patching articolati su giorni, settimane o mesi. Al contrario, nelle PMI questa attività ricade spesso su una singola risorsa o su fornitori esterni già impegnati su più fronti, con conseguenti ritardi nell’esecuzione. Una vulnerabilità zero-day critica senza patch o soluzione alternativa disponibile, che si verifica tra un ciclo di patch e l'altro, crea un rischio reale per qualsiasi azienda con un'infrastruttura che si interfaccia con l'esterno.
La principale difficoltà deriva dal fatto che le PMI dispongono generalmente di team ridotti e con competenze trasversali, chiamati a gestire simultaneamente vulnerabilità critiche, attacchi su larga scala e tempi limitati per l’implementazione delle misure di mitigazione, oltre a tutte le altre responsabilità legate all’IT e alla sicurezza.
In molti casi, l’intero ambito IT è affidato a una sola persona o a un piccolo gruppo, rendendo essenziale ottimizzare al massimo sia il tempo sia le risorse disponibili.
Un inventario accurato delle risorse elimina i punti ciechi, fornendo al team una visione chiara di ciò che è installato e delle dipendenze esistenti all'interno dell'ecosistema. Le analisi periodiche delle vulnerabilità consentono di distinguere ciò che richiede un intervento immediato da ciò che può attendere, e dovrebbero guidare la definizione delle priorità nell'applicazione delle patch. Quando vengono resi noti una vulnerabilità grave e il relativo exploit, la conoscenza del proprio ambiente è fondamentale per prendere la decisione più appropriata in merito al rischio: applicare la patch, ignorare il rischio o implementare una soluzione alternativa. Le informazioni sulle minacce, gli avvisi dei fornitori e i rapporti open source possono supportare tali decisioni. I benchmark suggeriti raccomandano l'applicazione delle patch entro 72 ore o meno in caso di exploit attivo e la risoluzione delle vulnerabilità meno critiche entro una o quattro settimane dalla divulgazione.
La definizione di procedure operative per questi scenari consente di strutturare situazioni che altrimenti rischierebbero di degenerare nel caos. Le lezioni apprese da incidenti reali, simulazioni e test di penetrazione contribuiscono a migliorare progressivamente la capacità di risposta a ogni nuova minaccia.
L’adozione di soluzioni di rilevamento sugli endpoint estese all’intera rete garantisce ai responsabili della sicurezza visibilità e capacità di intervento, anche in contesti con team ridotti, mentre una corretta segmentazione della rete limita la possibilità di movimento degli attaccanti.
Inoltre, le soluzioni di protezione degli endpoint possono evidenziare anomalie e comportamenti sospetti riconducibili a utenti malevoli o software non autorizzato, risultando fondamentali per identificare aggressori che sfruttano tecniche LoTL (Living-off-the-Land) per nascondersi all’interno del traffico di rete legittimo.
Infine, disporre di un piano di risposta agli incidenti ben documentato assicura che, in caso di violazione, ruoli e responsabilità siano chiaramente definiti, i requisiti legali e normativi siano pienamente compresi, le procedure di backup siano già operative e le attività di ripristino possano essere avviate senza ritardi.