Per il Global Incident Response Report 2026 di Palo Alto, i cyberattacchi sfruttano l’intelligenza artificiale per velocizzare gli attacchi, approfittando delle debolezze relative alle identità e della complessità aziendale. L’analisi effettuata dalla Unit 42 di Palo Alto ha preso in esame oltre 750 incidenti di alto profilo, rivelando come gli avversari stiano sfruttando l’AI durante l’intero ciclo di vita dell’attacco, accelerandone la velocità di 4 volte nell’ultimo anno. Anche la complessità aziendale sta giocando a loro favore. Infatti le debolezze legate alle identità sono state sfruttate nell’89% dei casi analizzati, mentre l’87% dei cyberattacchi ha coinvolto più superfici di attacco.
Cyberattacchi – Necessario ridurre la complessità
Sam Rubin, SVP di Unit 42 Consulting & Threat Intelligence, Palo Alto Networks La complessità aziendale è diventata il più grande vantaggio degli avversari. Si tratta di un rischio aggravato dal fatto che gli attaccanti prendono sempre più di mira le credenziali, utilizzando agenti AI autonomi. Questi sono in grado di collegare identità umane e macchina per lanciare azioni indipendenti. Al fine di mitigare queste minacce, le organizzazioni devono ridurre la complessità e adottare un approccio basato su piattaforma unificata, che elimini senza compromessi la fiducia implicita.
Come l’intelligenza artificiale cambia il panorama degli attacchi
I risultati principali del Global Incident Response Report 2026 evidenziano che:
L’AI rende gli attacchi più veloci. Poiché gli attori delle minacce sfruttano sempre più AI e automazione avanzata, il tempo che intercorre tra accesso iniziale ed esfiltrazione dei dati si è drasticamente ridotto a soli 72 minuti negli attacchi più rapidi. Vale a dire un incremento di velocità di 4 volte nell’ultimo anno.
Cresce la complessità degli attacchi. l’87% degli eventi si estende su due o più superfici di attacco, combinando attività tra endpoint, cloud, piattaforme SaaS e sistemi di identità. Unit 42 ha tracciato attività contemporanee su ben 10 fronti diversi.
L’identità guida l’accesso iniziale. Il 65% degli accessi iniziali deriva da tecniche basate su identità, quali ingegneria sociale e abuso di credenziali. Mentre le vulnerabilità rappresentano l’accesso iniziale nel 22% di tutti gli attacchi.
Il browser è il principale campo di battaglia. Il 48% degli attacchi coinvolge il browser, riflettendo come sessioni web di routine vengano trasformate in strumenti per raccogliere credenziali e aggirare i controlli locali.
Aumentano gli attacchi alla supply chain SaaS. Gli attacchi che coinvolgono applicazioni SaaS di terze parti sono aumentati di 3,8 volte dal 2022, il 23% di tutti gli attacchi, con gli attori delle minacce che abusano di token OAuth e chiavi API per il movimento laterale.
Cyberattacchi – Colmare le lacune critiche nella difesa
Unit 42 collega il 90% delle violazioni dei dati a configurazioni errate o lacune di sicurezza, con complessità, scarsa visibilità e fiducia eccessiva che agiscono come fattori abilitanti sistemici degli attacchi. Per far fronte all’accelerazione del ciclo di vita degli attacchi, il report raccomanda ai difensori di superare la sicurezza perimetrale tradizionale e adottare un approccio basato su una piattaforma unificata che possa:
Operare a velocità macchina. Fornire ai SOC (Security Operations Center) la possibilità, tramite AI e automazione, di rilevare e contenere attacchi ad alta velocità in minuti, anziché ore.
Proteggere la pipeline build. Incorporare la sicurezza direttamente nel ciclo di vita dello sviluppo di software e AI, per bloccare le vulnerabilità prima che raggiungano il cloud.
Modernizzare la difesa delle identità. Centralizzare la gestione delle identità umane, macchina e agentiche, per colmare le lacune di governance e fermare gli exploit basati su credenziali.
Proteggere l’interfaccia umana. Utilizzare tecnologia del browser sicuro e gestione attiva dell’esposizione per difendere lo spazio di lavoro moderno e i dispositivi non gestiti.
Eliminare la fiducia implicita. Adottare un approccio Zero Trust per verificare continuamente ogni interazione, neutralizzando la capacità di un attaccante di muoversi lateralmente.
