Durante l’International Identity Management Day gli esperti hanno sottolineato come più del 67% degli attacchi ha origine dall’identità digitale compromessa. I dati più recenti evidenziano un cambio di paradigma: gli attaccanti non “forzano” più l’ingresso nei sistemi, ma accedono utilizzando credenziali legittime. Secondo l’ultimo Active Adversary Report presentato dall’azienda di cybersecurity Sophos, il 67,32% degli attacchi è causato da compromissioni di identità digitali.
Alcuni dati
In particolare, il 42,06% degli incidenti deriva da credenziali compromesse. Mentre tecniche come brute force (15,58%) e sfruttamento di vulnerabilità (16,04%) restano rilevanti ma non più predominanti. A essere maggiormente colpite sono le PMI, che rappresentano l’84% dei casi analizzati. Con una concentrazione significativa nei settori manifatturiero (19,82%), finanziario (8,93%) e costruzioni (8,62%).
Attacchi sempre più rapidi e invisibili all’identità digitale
Un elemento particolarmente critico è la velocità degli attacchi. I cybercriminali impiegano solo 3,4 ore per tentare l’accesso ad Active Directory, il 70% più rapidamente rispetto all’anno precedente. Il tempo medio di permanenza (dwell time) si attesta a soli 3 giorni, rendendo ancora più difficile individuare e contenere le minacce. Allo stesso tempo, queste intrusioni risultano sempre più difficili da rilevare, poiché sfruttano comportamenti apparentemente legittimi. L’uso di credenziali rubate e di tecniche di autenticazione abusiva consentono agli attaccanti di mimetizzarsi come utenti autorizzati.
MFA ancora insufficiente: un rischio evitabile
Nonostante la crescente consapevolezza, persistono lacune significative nelle misure di protezione. Nel 59% degli incidenti l’autenticazione multifattore (MFA) non era attiva o non era configurata correttamente. Inoltre, il phishing continua a crescere come vettore iniziale di attacco, passando dal 2,13% al 5,86% in un anno. Parallelamente, l’utilizzo diffuso di protocolli come RDP (presente nel 66% dei casi in ambito interno) e la presenza di sistemi obsoleti – con il 13% dei server Windows già fuori supporto – amplificano ulteriormente la superficie di rischio.
Il ruolo dell’identità digitale nella cybersecurity moderna
Victor Garcia, Field CISO Associate di Sophos
Il dato chiave è chiaro: oggi l’identità rappresenta il principale perimetro di sicurezza. Gli autori degli attacchi non hanno più bisogno di exploit sofisticati: accedono direttamente ai sistemi utilizzando credenziali valide. Quando un’identità viene compromessa, la fiducia viene concessa automaticamente. Questa evoluzione richiede un cambio di approccio.
Le organizzazioni devono andare oltre i controlli di accesso tradizionali e adottare modelli di verifica continua dell’identità, basati su contesto, comportamento e rischio. Questo significa monitorare le identità nel tempo, eliminare gli account inattivi,. Inoltre verificare eventuali compromissioni nel dark web e rafforzare la gestione degli accessi privilegiati.
Un nuovo approccio: prevenzione e visibilità in tempo reale
La crescente velocità degli attacchi riduce drasticamente i tempi di risposta. Gli aggressori ottengono privilegi elevati nel giro di poche ore. Per questo motivo, diventa essenziale adottare strategie proattive, come il principio del least privilege, la revoca rapida delle sessioni e una gestione rigorosa degli accessi.
Victor Garcia
In definitiva, l’identità è il vero ‘control plane’ della cybersecurity. Le organizzazioni che investiranno in sistemi di identità resilienti e in visibilità in tempo reale saranno in grado di difendersi efficacemente. Le altre continueranno a subire attacchi sempre più silenziosi, rapidi e difficili da individuare.
