Mantenere un modello di monitoraggio del traffico tradizionale, basato sull'analisi dei pacchetti, sul rilevamento delle anomalie e sull'ispezione dei confini, è uno spreco di tempo prezioso per il team IT. Questo perché vengono sviluppate sempre più tecniche avanzate per eludere il rilevamento da parte dei sistemi classici, sfruttando vulnerabilità che rimangono invisibili agli strumenti di sicurezza basati esclusivamente sul traffico di rete.
Infatti, il 72% degli intervistati in un sondaggio globale del World Economic Forum 2025 ha segnalato un aumento dei rischi informatici aziendali, a dimostrazione di come le minacce si evolvano per eludere le difese tradizionali. Inoltre, gli attacchi fileless hanno 10 volte maggiore rispetto ai tradizionali attacchi malware basati su file.
I criminali informatici non procedono più per tentativi ed errori. Oggi agiscono con precisione e non lasciano traccia. Utilizzano ampiamente attacchi fileless, sfruttano strumenti di sistema legittimi come PowerShell e WMI per eseguire comandi dannosi senza destare sospetti e si muovono lateralmente nella rete silenziosamente, come se fossero già presenti nell'ambiente.
Questo tipo di offensiva è intenzionalmente progettato per apparire legittimo: il traffico non desta sospetti, gli strumenti non sono sconosciuti e gli eventi non seguono schemi di minaccia comuni. In questo scenario, secondo il rapporto del World Economic Forum 2025, il 66% delle organizzazioni ritiene che l'intelligenza artificiale avrà l'impatto più significativo sulla sicurezza informatica , sia per la difesa che per gli attacchi, riflettendo un cambiamento di paradigma.
Le soluzioni tradizionali, come firewall, IDS e semplici sistemi di correlazione, non riescono a fornire la protezione necessaria, soprattutto perché il 47% delle organizzazioni cita come principale preoccupazione i progressi avversariali alimentati dall'intelligenza artificiale generativa. Inoltre, il 54% delle grandi organizzazioni indica le vulnerabilità della supply chain come il principale ostacolo alla resilienza informatica, complicando ulteriormente la sfida.
Il ruolo della visibilità granulare
In questo scenario, la visibilità granulare emerge come requisito fondamentale per una strategia di sicurezza informatica efficace. Si riferisce alla capacità di osservare, in modo contestualizzato e continuo, il comportamento di endpoint, utenti, processi, flussi interni e attività tra sistemi.
Questo approccio richiede l'utilizzo di tecnologie più avanzate, come EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) e NDR (Network Detection and Response). Questi strumenti raccolgono dati di telemetria a vari livelli, dalla rete all'endpoint, e applicano analisi comportamentale, intelligenza artificiale e correlazione degli eventi per rilevare minacce che passerebbero inosservate in ambienti monitorati solo in base al volume di traffico.
Tecniche che sfruttano l'invisibilità
Tra le tattiche più comuni utilizzate negli attacchi stealth ci sono:
- Tunneling DNS, incapsulamento dei dati in query DNS apparentemente normali;
- Steganografia digitale, ovvero l'occultamento di comandi dannosi all'interno di file immagine, audio o video;
- I canali di comando e controllo (C2) crittografati garantiscono una comunicazione sicura tra il malware e i suoi controllori, rendendo difficile l'intercettazione.
- Queste tecniche non solo aggirano i sistemi tradizionali, ma sfruttano anche le falle nella correlazione tra i livelli di sicurezza. Il traffico può sembrare pulito, ma la vera attività è nascosta dietro operazioni legittime o schemi crittografati.
Monitoraggio intelligente e contestuale
Per affrontare questo tipo di minaccia, è essenziale che l'analisi vada oltre gli indicatori di compromissione (IoC) e inizi a considerare gli indicatori di comportamento (IoB). Ciò significa monitorare non solo "cosa" è stato consultato o trasmesso, ma anche "come", "quando", "da chi" e "in quale contesto" una determinata azione si è verificata.
Inoltre, l'integrazione tra diverse fonti di dati, come registri di autenticazione, esecuzioni di comandi, movimenti laterali e chiamate API, consente di rilevare anche le più piccole deviazioni e di rispondere in modo più rapido e preciso agli incidenti.
Cosa significa tutto questo?
La crescente sofisticazione degli attacchi informatici richiede un'urgente rivalutazione delle pratiche di difesa digitale. Il monitoraggio del traffico è ancora necessario, ma non può più essere l'unico pilastro della protezione. Una visibilità granulare, con analisi continua, contestuale e correlata, diventa essenziale per rilevare e mitigare le minacce invisibili.
Investire in tecnologie di rilevamento avanzate e strategie che tengano conto del comportamento reale dei sistemi è, oggi, l'unico modo efficace per affrontare avversari che sanno nascondersi alla vista.
