>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

Il ciclo delle patch è superato, serve un approccio moderno alla sicurezza

L’AI accelera la scoperta e lo sfruttamento delle vulnerabilità: le patch non bastano più. La difesa deve ridurre l’esposizione e proteggere alla velocità dell’attaccante.

Il ciclo delle patch è superato, serve un approccio moderno alla sicurezza
Tecnologie/Scenari

L’AI di frontiera sta riducendo il tempo tra la scoperta di una vulnerabilità e il suo sfruttamento, rendendo il ciclo delle patch troppo lento per rimanere la misura principale della difesa.

La vera sfida per i CISO è ridurre l’esposizione su persone, fornitori e flussi di lavoro digitali mentre gli attaccanti si muovono più velocemente della remediation.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Il vantaggio ora è nell’affidarsi a piattaforme che combinano velocità, contesto, precisione e scala, estendendo la protezione in un’ampia rete prima che gli attacchi si diffondano.

Il cambiamento

Per anni, i responsabili della sicurezza hanno trattato gli zero-day come una corsa strutturata su quattro tappe: scoperta, divulgazione, patch e contenimento. Non era un sistema perfetto, ma era almeno gestibile, perché scoperta e weaponization non avanzavano alla stessa velocità.

E non era solo una questione di infrastruttura. In passato, alcuni degli attacchi più devastanti alle imprese sfruttavano vulnerabilità nascoste nei formati di file più comuni, veicolate tramite email e strumenti di collaborazione. Ciò che limitava quel tipo di attacco era la difficoltà di individuare falle sfruttabili.

Sumit Dhawan, CEO, Proofpoint

L’AI di frontiera, come Claude Mythos di Anthropic, cambia radicalmente questa equazione e rende la scoperta degli zero-day più rapida, scalabile ed economicamente conveniente per gli attaccanti. Il risultato non consiste semplicemente in un maggior numero di vulnerabilità, ma in una compressione strutturale del tempo che intercorre tra il momento in cui una falla viene individuata e quello in cui viene trasformata in un’arma contro gli utenti.

Questo è il cambiamento che i responsabili della sicurezza devono comprendere adesso.

Non si tratta più di decidere chi riesca a identificare le falle per primo, ma di chi sia in grado di ridurre l’esposizione mentre i difensori sono ancora in fase di recupero. In questo scenario, il vantaggio non è di chi dispone del feed di vulnerabilità più ricco, ma della piattaforma capace di rilevare, apprendere ed estendere la protezione su scala di rete prima che gli attacchi si diffondano.

Il vecchio sistema di sicurezza non regge più il passo

I responsabili della sicurezza vivono già in questo divario - la finestra temporale che si apre tra il momento in cui una minaccia viene trasformata in un’arma e quello in cui le difese riescono a reagire. La questione non è se esista, ma per quanto tempo l’azienda resti esposta al suo interno. La domanda del consiglio di amministrazione, che ci si dovrebbe già porre in partenza, non sarà “quanto velocemente riusciamo a fare le patch?”, ma “quanto siamo protetti mentre le stiamo ancora applicando?”.

Le architetture di sicurezza tradizionali sono state costruite attorno ai tempi dell’impresa: ogni fase del ciclo, dalla divulgazione responsabile al deployment della patch, richiede tempo per sua natura. La weaponization, invece, può avvenire in poche ore. Le patch rimangono essenziali, ma non sono più sufficienti come controllo primario in un mondo in cui gli attaccanti si muovono più velocemente di quanto i difensori riescano a rimediare. Se l’architettura presuppone che la patch arrivi prima della campagna, allora è già in ritardo.

Il vero problema è l’esposizione, non la visibilità

Gran parte della conversazione attuale sulle minacce accelerate dall’AI si è concentrata sulla vulnerability intelligence: chi ha accesso a cosa, e con quale rapidità.

La visibilità conta, ma l’esposizione conta ancor di più.

La realtà è che molti degli attacchi più efficaci non iniziano ancora con un exploit tecnico, ma dalle persone. Social engineering, furto di credenziali e phishing mirato restano i principali punti di ingresso, e l’AI li rende più convincenti, scalabili e adattivi. Allo stesso tempo, la diffusione di agenti AI e flussi di lavoro automatizzati sta ampliando la superficie di attacco in nuovi modi, creando ulteriori percorsi attraverso cui gli attaccanti possono sfruttare fiducia, identità e accessi.

Gli attacchi continueranno anche a emergere dall’ecosistema molto più esteso di fornitori, partner, appaltatori e service provider da cui le imprese dipendono ogni giorno, parte della superficie di attacco aziendale.

La vera domanda è se la protezione raggiunge tutti questi punti di ingresso e se si muove abbastanza velocemente da chiudere il divario prima che quegli attacchi arrivino agli utenti.

Protezione alla velocità dell’attaccante

Nel vecchio modello, ci si aspettava che ogni azienda si difendesse sostanzialmente da sola, supportata da strumenti, feed ed expertise interni.

Nel nuovo modello, nessuna riesce ad apprendere abbastanza velocemente in autonomia, e la protezione deve operare in modo sinergico su tutta la rete.

Il vantaggio andrà a chi è in grado di apprendere dalle minacce nuove ed estendere la protezione in una rete solida e in più rapida crescita di quanto ogni singola azienda possa fare da sola.

Ora si tratta di velocità, contesto e scala. Man mano che la finestra tra scoperta e sfruttamento si restringe, il vantaggio si sposta dalla semplice conoscenza delle minacce alla capacità di agire su di esse più velocemente di quanto gli attaccanti riescano ad “armarle”.

In fase di valutazione della postura di sicurezza attuale, è necessario chiedere direttamente al provider “quanto tempo passa dalla segnalazione di uno zero-day alla protezione dei clienti?” E “quante aziende condividono segnali di minaccia nella tua rete?” Le risposte confermeranno se la protezione opera sul tempo del ciclo di patch o su quello dell’attaccante.

Un sistema è quello della remediation. Rimane essenziale, disciplinato, governato.

L’altro è quello della protezione adattiva. Deve operare alla velocità della weaponization.

Se l’architettura non riesce a ridurre l’esposizione nel divario tra scoperta e deployment della patch, l’azienda vive nella finestra dell’attaccante.

È qui che la strategia di sicurezza deve evolversi, tanto che in futuro non si vincerà con strumenti isolati, analisi in ritardo o architetture costruite su cicli aziendali statici, ma con piattaforme che combinano prevenzione, precisione e propagazione attraverso una rete ampia di segnali reali.

Questa è l’architettura necessaria per la nuova era.

Il momento di agire è adesso

L’imperativo immediato è chiaro: precisione contro le minacce nuove, protezione che si amplifica, e un’architettura progettata sul ritmo dell’attaccante, non delle patch. Man mano che l’infrastruttura si rafforza, la pressione degli attacchi si sposterà nuovamente verso persone, dati e agenti autonomi e questo non fa che alzare la posta in gioco per ogni responsabile della sicurezza.

Oggi, i CISO devono rispondere a una domanda diversa rispetto anche solo a un anno fa: non solo quanto velocemente si è in grado di applicare una patch, ma quanto efficacemente si possa ridurre l’esposizione mentre il mercato è ancora in fase di recupero e quale sia la velocità e la scala della rete che ci protegge in quel divario.

Per restare all’avanguardia, i responsabili della sicurezza hanno bisogno di una protezione che operi alla velocità dell’attaccante, di un contesto aggiornato in modo continuo, di una precisione di cui ci si possa fidare su scala, e una rete abbastanza ampia da far sì che le difese si rafforzino ad ogni campagna osservata da qualsiasi cliente. In questo contesto, il vantaggio andrà alle aziende protette da piattaforme che apprendono rapidamente ed estendono la protezione in modo capillare attraverso i dati di rete prima che della diffusione degli attacchi.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.0 - 4.6.4