La cybersecurity ha sempre conservato una componente di ambiguità. Quando si verifica un attacco, la domanda sorge spontanea: chi c’è dietro? Una banda criminale, uno Stato-nazione o un insider malevolo? È un interrogativo che si presta bene ai titoli, perché individua subito un responsabile, ma la realtà è quasi sempre più complessa.

In seguito a un incidente, gli investigatori ricostruiscono le tracce nei log web, nei registri dei server e negli artefatti forensi, alla ricerca di elementi che rivelino il modus operandi degli aggressori.L’attribuzione si colloca oggi in una zona grigia: essenziale per le attività di intelligence, ma sempre più complessa da tradurre in valore concreto per l’organizzazione.

Anche le etichette assegnate ai gruppi di minaccia sono diventate più complesse e, in molti casi, meno affidabili. False flag, strumenti condivisi e tecniche di inganno potenziate dall’intelligenza artificiale rendono ancora più sfumati i confini tra gli attori, che peraltro si muovono con crescente facilità da un settore all’altro. Ne deriva un quadro che può sembrare completo, ma che spesso non mette in evidenza i collegamenti davvero rilevanti.

Per i difensori, estrarre TTP dai report sulle minacce è essenziale, ma costruire difese attorno a un APT nome anziché i comportamenti sottostanti, crea rischi inutili. Le etichette APT sono incoerenti, specifiche per il fornitore e spesso fuorvianti. Ciò che conta veramente sono le tattiche, le tecniche e le procedure che rivelano come opera un avversario. Affidarsi all'etichetta dell'ultimo report APT porta a punti ciechi; affidarsi alle TTP osservabili porta a difese resilienti e ripetibili.

Michael Freeman, Head of Threat Intelligence presso Armis

Una rincorsa imperfetta nell’era dell’intelligenza artificiale

Il fascino dell’attribuzione è comprensibile. Quando si verifica una violazione, l’istinto è quello di individuare subito il responsabile: uno Stato-nazione, un’organizzazione criminale o una minaccia interna. È una reazione naturale, che risponde al bisogno di dare un senso all’accaduto e costruisce una narrazione semplice per il racconto mediatico. Sul piano operativo, però, la realtà è molto meno lineare. Nell’era dell’intelligenza artificiale, gli attaccanti dispongono di strumenti sempre più efficaci per nascondere le proprie tracce e i difensori non possono più affidarsi ai modelli tradizionali di attribuzione per definire la strategia di sicurezza.

Gli avversari possono ora generare falsi indicatori su larga scala, imitando stili di programmazione, marcatori linguistici, famiglie di malware o infrastrutture comunemente associate ad altri gruppi di minacce. Le false flag non sono una novità; ciò che è cambiato è la velocità, l'automazione e il volume dell'attacco. Con l'AI, un attaccante può modificare un exploit, ruotare l'infrastruttura o riciclare gli strumenti in pochi secondi, consentendo allo stesso operatore di colpire un ospedale il lunedì e uno stabilimento di produzione il martedì utilizzando tecniche quasi identiche mascherate da firme diverse.

Eppure, molte organizzazioni non colgono mai queste sovrapposizioni, perché l’attribuzione, così come viene praticata oggi, è frammentata. Ogni fornitore assegna etichette - APT-X, APT-Y, UNC-Z - sulla base della propria telemetria. Un report può sostenere che un gruppo colpisca le università; un altro può descrivere lo stesso attore mentre prende di mira reti industriali. Entrambe le letture possono essere corrette e, allo stesso tempo, incomplete. Spesso il settore tende a scambiare la porzione di dati visibile per l’intero quadro.

Per chi si occupa di difesa, questa frammentazione rischia di generare un falso senso di sicurezza. Quando un fornitore definisce una campagna “specifica di un settore”, le organizzazioni esterne a quel comparto possono ritenere di non essere esposte, anche se utilizzano le stesse librerie software, appliance VPN, dispositivi IoT o apparecchiature medicali già compromessi altrove.

Il problema, quindi, non è l’attribuzione in sé, ma la sua natura parziale. Concentrarsi sui nomi dei gruppi, sulle etichette di settore o sugli identificativi assegnati dai singoli vendor significa ancorare la difesa all’elemento meno affidabile del quadro di intelligence. Ciò che conta davvero sono i comportamenti che si ripetono nel tempo: gli strumenti utilizzati, le vulnerabilità privilegiate, la sequenza delle azioni e le scorciatoie operative ricorrenti.

Finché l'attribuzione non collegherà questi modelli comportamentali tra fornitori, settori e fonti di dati diversi, continuerà a oscurare gli schemi più importanti e a creare pericolosi punti ciechi per chi si occupa della sicurezza.

Dall'attribuzione all'anticipazione

Nel dominio cyber, l’attribuzione resterà probabilmente sempre in parte opaca, ed è un dato con cui bisogna convivere. Avere una certezza assoluta su chi stia attaccando raramente è indispensabile per impostare una difesa efficace. Che si tratti di uno Stato-nazione, di un gruppo cybercriminale o di un attore proxy, l’impatto sull’organizzazione non cambia. La vera sfida non è assegnare un nome a ogni avversario, ma comprenderne il modo di operare.

È qui che l'attribuzione apporta un valore reale: non come un'etichetta, ma come una mappa comportamentale.

Concentrandosi su modelli e strumenti preferiti, riutilizzo di malware, catene di exploit, strategie di pivot, logica di targeting, tempistiche e errori che gli operatori ripetono costantemente, i team di intelligence possono costruire un quadro molto più accurato delle minacce emergenti. Questi profili comportamentali trascendono le etichette dei fornitori e i confini di settore, consentendo ai difensori di anticipare l'evoluzione delle campagne anziché limitarsi a reagire ai punti in cui hanno colpito.

Quando l'attribuzione si concentra sul comportamento anziché sul nome, si pongono le basi per un vero e proprio sistema di allerta precoce. Trasforma osservazioni disparate in un quadro coerente delle tecniche utilizzate dagli hacker, collegando incidenti di settori diversi che altrimenti sembrerebbero non correlati.

Per rendere queste informazioni utilizzabili, le organizzazioni necessitano di una visibilità completa sul proprio patrimonio digitale, che comprende ogni dispositivo, applicazione e percorso di comunicazione in ambito IT, OT, IoT e risorse non gestite. In un'era in cui gli avversari utilizzano l'intelligenza artificiale come arma per automatizzare la ricognizione e lo sviluppo di exploit, chi si occupa della difesa deve individuare ogni potenziale punto di accesso e comprendere il contesto di ciascuna risorsa: la sua funzione, la sua importanza, il suo comportamento in condizioni normali e le sue connessioni.

In questo contesto, i difensori possono collegare le anomalie interne ai modelli di minaccia esterni, individuando quando una tattica, tecnica e procedura (TTP) familiare riemerge nel proprio ambiente. L'intelligenza artificiale e l'apprendimento automatico amplificano questa capacità, correlando miliardi di punti dati, rilevando i segnali premonitori più sottili degli attacchi e mettendo in luce le deviazioni molto prima che si manifestino come incidenti.

Il risultato è un modello di difesa anticipatoria, che apprende dal comportamento dell'attaccante e agisce prima che gli avversari prendano il sopravvento.

Questo approccio si allinea con la moderna gestione dell'esposizione informatica. Il monitoraggio continuo, la visibilità contestuale e l'intelligence a livello di sensore trasformano la sicurezza da semplice risposta agli incidenti a resilienza proattiva. Per i leader aziendali, il valore è evidente: rilevamento più rapido, riduzione dei tempi di inattività, minimizzazione delle interruzioni operative e tutela della fiducia dei clienti.

Dalla ricerca del responsabile alla resilienza

L’attenzione del settore verso il “chi è stato” continuerà ad avere un valore per l’intelligence e per le forze dell’ordine. Per chi si occupa di difesa, però, la priorità reale è un’altra: la resilienza operativa.

L'attribzione è ancora importante, ma solo quando favorisce la comprensione. E la comprensione è importante solo quando spinge all'azione.

L’obiettivo non è inseguire i colpevoli, ma anticiparne i comportamenti. I sistemi di allerta precoce e la visibilità continua, supportati dall’intelligenza artificiale, forniscono ai difensori il tempo e la chiarezza necessari per intervenire prima che gli attacchi si concretizzino.

Quando l'attribuzione si basa su analisi comportamentali piuttosto che su nomi APT definiti dai fornitori, rafforza la strategia difensiva rivelando come gli avversari si adattano, cambiano strategia e ricompaiono in diversi settori. Riduce i punti ciechi. Chiarisce il rischio.

In definitiva, il valore dell'attribuzione non sta nel nominare l'avversario, ma nel comprenderlo abbastanza a fondo da poter impedire ciò che verrà dopo.