Nel 2026 le organizzazioni continueranno a trasformare la propria infrastruttura attraverso una costante adozione del cloud, una continua richiesta di remote working e una forte esternalizzazione di molti servizi, quali per esempio il SOC. Questo trend comporterà un aumento degli attacchi diretti alle credenziali, che risulta ancora il metodo più efficace e semplice per ottenere accesso. Vedo perciò una conferma frustrante su ciò che conosciamo bene: phishing, furto di credenziali ed errori interni. Troppe aziende dipendono ancora dalla difesa perimetrale, dalla prevention e da un approccio tradizionale alla sicurezza delle identità.

Il cambio di paradigma sarà possibile solo grazie ad una maturità strategica, poiché la sicurezza a più livelli deve essere applicata a tutta l’infrastruttura comprese le identità,adottandocosìun approccio Identity-centric. Rafforzare la protezione delle identità è cruciale ma non si dovrà trascurare l’analisi comportamentale di tutte le credenziali degli utenti, degli amministratori, delle macchine ed ovviamente quelle agentiche.

In merito alle nuove minacce, in Vectra ci aspettiamo un’evoluzione continua nel modo in cui operano le imprese criminali informatiche, in particolare tra i gruppi di ransomware e di estorsione. Questi gruppi operano come vere e proprie aziende, anche se ovviamente non etiche e sono in forte evoluzione. Quando uno di loro sparisce, i suoi affiliati spesso trovano facilmente un’altra occupazione presso un gruppo diverso.

Tracciarli è estremamente difficile perché sono numerosi, condividono tecniche e cambiano costantemente il modo in cui ottengono l’accesso o si muovono. In Vectra stiamo vedendo anche un numero crescente di gruppi di estorsione che non hanno nemmeno più bisogno di usare il ransomware. Un gruppo può violare un’azienda, rubare dati sensibili e venderli, mentre un altro gruppo può successivamente acquistare quei dati per attaccare di nuovo la stessa vittima.

Questi threat actor non seguono un unico processo di attacco, bensì combinano tecniche diverse in base all’obiettivo, il che rende difficile attribuire e interrompere le loro attività. La vera sfida per chi protegge e difende è che gran parte di questa attività si confonde perfettamente con il traffico legittimo. Le aziende hanno bisogno di capacità di rilevamento invisibili agli attaccanti e senza agenti, un rilevamento basato sui comportamenti, in grado di individuare questi attori già nelle fasi iniziali.