Le violazioni non sono più artigianali. Nell’Annual Threat Report di SentinelOne, i team SentinelLABS e Wayfinder descrivono un cybercrime che sta industrializzando ogni fase dell’attacco, sfruttando il disallineamento strutturale tra sicurezza e operatività per muoversi con continuità tra identità, pipeline di sviluppo ed edge. Le tecniche offensive puntano oggi a insinuarsi nei processi fidati, mentre l’automazione consente agli attaccanti di comprimere in millisecondi attività come scansioni di vulnerabilità, raccolta di credenziali e movimenti laterali, spesso prima che le difese possano reagire.

Uno dei filoni centrali messi in luce dall’Annual Threat Report è il paradosso delle identità: le organizzazioni non sono mai state così ricche di dati su utenti, ruoli, permessi, posture di rischio e segnali di autenticazione, ma le intrusioni basate sulle identità restano tra le più difficili da individuare. Il motivo è che le identità non vivono più solo all’interno del dominio tradizionale dell’azienda, ormai si estendono tra applicazioni SaaS, infrastrutture cloud, ambienti ibridi e nuovi agenti autonomi che operano con credenziali proprie, moltiplicando i punti di esposizione.

In questo contesto, un singolo account può aprire l’accesso a decine di sistemi diversi, spesso con livelli di privilegio variabili a seconda del contesto in cui viene utilizzato. Gli attaccanti lo sanno bene e sfruttano l’arsenale ormai consolidato di token rubati, campagne di phishing mirate, sfruttamento di account compromessi o riutilizzati, che diventano gli strumenti per operare dall’interno delle reti target con credenziali valide. Questo significa che l’intrusione non passa più necessariamente per un exploit clamoroso, ma più probabilmente da una sessione “normale” che viene lentamente piegata a scopi malevoli.

È qui che, secondo il report, serve un cambio netto di approccio: bisogna trattare l’identità come un perimetro dinamico, da osservare nel tempo, e non come un semplice badge da verificare al momento dell’accesso. Questo significa estendere il controllo oltre il login, seguire il comportamento delle identità lungo l’intero ciclo di vita delle sessioni, delle API e delle interazioni tra servizi, alla ricerca di deviazioni rispetto alla baseline attesa.

Per molte organizzazioni questo si traduce nella necessità di ripensare sia la telemetria sia i flussi operativi. In questa visione, infatti, la raccolta di log non basta se non è accompagnata dalla capacità di correlare eventi nel tempo e nello spazio, individuare deviazioni dai pattern “normali” per un determinato utente o servizio, e tradurre questi insight in decisioni rapide: che vanno dall’innalzamento del livello di verifica fino alla revoca selettiva di token per le sessioni sospette. E all’interno di questo spazio un  disallineamento tra sicurezza e operatività può diventare letale perché sistemi progettati per facilitare l’accesso ovunque e in qualsiasi momento rischiano di offrire agli attaccanti un piano inclinato perfetto, se non governati con la stessa cura sul versante difensivo.

CI/CD nel mirino: la supply chain del software come vettore

Un secondo asse di criticità delineato nell’Annual Threat Report riguarda gli attacchi lungo la pipeline di sviluppo. Invece di concentrarsi unicamente sugli ambienti di produzione, gli attaccanti hanno iniziato a prendere di mira in modo sistematico le pipeline CI/CD e i flussi DevOps che orchestrano la creazione, il test e la distribuzione del software aziendale. L’obiettivo è innestarsi nel cuore dei processi di sviluppo per sfruttarne in maniera costante la velocità e la ripetibilità a proprio vantaggio.

Operatori nordcoreani hanno presentato oltre 1.000 candidature con circa 360 false identità per infiltrarsi in aziende tech occidentali nel 2025

Compromettendo i sistemi di build e le pipeline di integrazione, gli attaccanti possono introdurre codice malevolo direttamente negli artefatti software, manipolare componenti, inserire backdoor difficili da individuare con i test tradizionali. Parallelamente, questi ambienti spesso custodiscono segreti sensibili come chiavi, token, credenziali di servizio, configurazioni, che possono essere estratti prima che il software venga distribuito. Il tutto avviene all’interno di processi percepiti come affidabili, protetti da policy interne e da automatismi che, paradossalmente, finiscono per amplificare la portata di una singola compromissione.

Il report sottolinea che la detection in questi casi richiede un salto di qualità nella visibilità. Oltre a monitorare il runtime o il comportamento delle applicazioni in produzione, occorre una vista sull’intero ciclo di vita dello sviluppo software, dai repository di codice sorgente fino ai deployment finali. La capacità di correlare eventi nel tempo (un commit sospetto, una modifica alle pipeline, un cambio nelle dipendenze, un artefatto che si comporta in modo anomalo una volta distribuito) diventa essenziale per ricostruire il filo di una compromissione.

Questo approccio comporta anche una ridefinizione dei ruoli, poiché la sicurezza non può restare confinata a valle, a ridosso dell’ambiente di esercizio, ma dev’essere incorporata come requisito dei flussi di sviluppo e integrazione continua. Il disallineamento tra la velocità del DevOps e i tempi della security tradizionale crea lo spazio in cui gli attaccanti industrializzati prosperano, approfittando del fatto che il ciclo di release è ottimizzato per l’efficienza, ma non per la resilienza.

L’edge come primo gradino dell’attacco

Il terzo fronte evidenziato dall’Annual Threat Report è quello di un perimetro sempre più sfumato, in cui l’edge si impone come superficie di attacco primaria. Dispositivi edge di ogni tipo, come per esempio appliance di rete, sistemi in sedi periferiche, apparati OT e IoT industriali, gateway e device remoti, diventano l’obiettivo iniziale di campagne che mirano a compromissioni più ampie. In molti casi, rappresentano il primo passo in catene d’attacco che, una volta stabilita una presenza periferica, cercano percorsi verso i sistemi core.

Questi asset soffrono spesso di problemi condivisi: hardware obsoleto che fatica a reggere i cicli di patching, firmware non aggiornati, configurazioni eterogenee difficili da standardizzare, gestione frammentata. Per l’attaccante industrializzato queste sono proprio le condizioni ideali. Per questo ritorna il tema della visibilità: l’edge viene spesso trattato come una periferia tecnica in cui il logging è minimo, i dati non sempre vengono centralizzati e la correlazione con gli eventi core è limitata. Il risultato è una serie di punti ciechi che rendono complesso riconoscere tempestivamente un abuso di credenziali, un movimento laterale o un tentativo di escalation iniziato da un device apparentemente marginale.

Come proteggersi

Il report richiama la necessità di un ritorno disciplinato alle basi di sicurezza, reinterpretate in chiave moderna. Dismettere hardware obsoleto diventa una misura di riduzione del rischio; centralizzare i log in una piattaforma in grado di correlare eventi provenienti da edge, cloud e datacenter diventa un requisito di detection; implementare una segmentazione di rete che isoli livelli critici e riduca i movimenti laterali è il passo successivo. Infine, l’adozione sistematica di autenticazione multifattore su tutti i punti di accesso remoto (spesso trascurati in favore dei soli accessi centrali) è una misura fondamentale per trattare l’edge come un’area ad alto rischio che richiede controlli proporzionati.

Questa revisione richiede inventari accurati, piani di sostituzione pianificata dell’hardware, coordinamento tra IT, sicurezza e operation, oltre a una revisione dei processi di gestione dei privilegi su apparati spesso amministrati da team diversi dal SOC.

A collegare le tre dimensioni di cui abbiamo parlato è l’automazione. Il report ribadisce che il vero moltiplicatore è l’automazione avanzata, che costituisce la spina dorsale operativa delle campagne moderne. Gli attaccanti orchestrano workflow automatizzati che gestiscono in sequenza e su larga scala attività come la scansione di vulnerabilità, la raccolta di credenziali, il tentativo di exploit, la persistenza e i movimenti laterali, spesso in archi temporali che si misurano in millisecondi.

L’automazione consente agli attaccanti di standardizzare playbook offensivi, combinarli con tecniche di social engineering e con l’uso di agenti intelligenti laddove serve maggiore adattabilità, riducendo il costo marginale di ogni nuovo tentativo. Questo tipo di efficienza si traduce in una maggiore probabilità di trovare un punto debole sfruttabile. La difesa efficace richiede policy di risposta altrettanto automatizzate, che agiscano sulle minacce ad alta confidenza, trasformando la detection in azione concreta e tempestiva. Non si tratta più di un’opzione avanzata, ma di un requisito operativo per restare in partita contro campagne che si muovono in tempi troppo rapidi per un processo decisionale interamente manuale.

Di conseguenza, la difesa efficace passa attraverso motori in grado di isolare un endpoint, revocare token sospetti, disabilitare account compromessi, applicare regole di contenimento a livello di rete e cloud in modo automatizzato, entro limiti prefissati. In assenza di questa automazione della risposta, avverte il report, il SOC resta strutturalmente indietro e anche la migliore telemetria finisce per produrre più allarmi, senza ridurre davvero la superficie di attacco.

Ciò non significa cedere il controllo alle macchine, ma definire un perimetro chiaro in cui l’automazione può agire in sicurezza, lasciando alle persone il compito di gestire i casi ambigui, le indagini profonde e le decisioni strategiche.