L’evoluzione del cybercrime sta comprimendo il margine di manovra dei team di sicurezza, soprattutto nella fase di breakout, ossia l’intervallo tra il primo accesso a un sistema e l’inizio del movimento laterale nella rete aziendale. Oggi questo tempo oggi si misura in minuti e non più in ore o giorni, con casi documentati in cui gli attaccanti sono riusciti a esfiltrare dati in pochi minuti dall’intrusione iniziale.

L’accelerazione è il risultato di un uso sistematico di automazione e AI da parte dei threat actor, che potenziano tattiche già note invece di introdurre tecniche completamente nuove. Le campagne di phishing mirato e di furto delle credenziali sfruttano password deboli o riutilizzate, l’assenza di autenticazione multifattore e perfino attacchi di vishing  per ottenere il reset delle credenziali e permettere così agli attaccanti di entrare in possesso di combinazioni di username e password legittimi. Parallelamente, aumentano gli exploit su dispositivi di frontiera come le soluzioni VPN o di gestione dei dispositivi, spesso colpiti con vulnerabilità zero‑day che permettono di aggirare gli strumenti di difesa interni.

Un altro tassello è l’intensificazione della fase di ricognizione, in cui i cyber criminali combinano tecniche di open source intelligence e strumenti di AI per mappare la struttura organizzativa dell’azienda target, i processi interni, i privilegi degli account e l’architettura IT. Queste informazioni vengono poi usate per costruire scenari di social engineering credibili e per identificare percorsi di attacco ottimali all’interno delle reti. L’automazione entra anche nella fase successiva all’intrusione, con script creati con il supporto dell’AI per abusare  di strumenti legittimi di amministrazione (living off the land) e persino per generare nuovo malware.

Questa velocità espone i limiti di un modello di difesa basato su analisi manuali e interventi umani a posteriori, che rischiano di arrivare troppo tardi quando il movimento laterale è già in corso. Il quadro che emerge è quello di una sicurezza informatica che deve spostarsi su un approccio preventivo e di risposta automatizzata, con particolare enfasi sulla riduzione del tempo che intercorre tra rilevazione, decisione e contenimento.

Questo è il contesto individuato da ESET, che dev’essere affrontato con piattaforme XDR e servizi gestiti di detection and response che facciano uso di AI. Le attività fondamentali, infatti, sono la correlazione di eventi, la riduzione del rumore di allarme e l’avvio automatico di azioni di contenimento dove necessario. XDR garantisce la capacità di avere una visibilità unificata su endpoint, rete, cloud, dispositivi perimetrali e sistemi di identit, per colmare i vuoti tra soluzioni verticali e team che lavorano a compatimenti stagni. Integrando questi strumenti con sistemi di orchestrazione e gestione degli eventi di sicurezza, i SOC possono dedicare più tempo ad attività a valore come il threat hunting.

A completare l’impostazione preventiva interviene un insieme di misure che vanno dalla micro‑segmentazione alla gestione rigorosa dei privilegi, fino a modelli di accesso di tipo Zero Trust. Policy di identità basate su credenziali forti, gestori di password e meccanismi di autenticazione multifattore resistenti al phishing riducono l’efficacia delle campagne di furto delle credenziali. Ultimo ma non meno importante, danno un importante contributo alla  detection la sorveglianza continua di social media e dark web per individuare informazioni esposte su dipendenti e organizzazioni, così come l’analisi del comportamento di script e processi in memoria e l’uso di sandbox cloud per file sospetti.