.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Anthropic ha rilasciato il Claude Mythos Preview a un ristretto gruppo di partner e ha informato il governo degli Stati Uniti prima del lancio. Il modello è in grado di identificare vulnerabilità precedentemente sconosciute su tutti i principali sistemi operativi e browser web e di generare codice di exploit funzionante su richiesta. Le comunicazioni pubbliche parlano di migliaia di vulnerabilità zero-day individuate e di un tasso di successo nello sviluppo di exploit pari al 72,4%, inclusi difetti rimasti nascosti in piena vista per decenni.
Anche la reazione è stata insolita. Il Segretario al Tesoro degli Stati Uniti, Scott Bessent, e il Presidente della Federal Reserve, Jerome Powell, hanno convocato i CEO delle principali banche statunitensi. Pochi giorni dopo, sono emerse notizie secondo cui un gruppo non autorizzato avrebbe ottenuto accesso a Mythos tramite l’ambiente di un fornitore terzo. La capacità è ormai diffusa. Il contenimento è incerto.
Per Sophos, questo non è uno scenario ipotetico. Il team X-Ops ha recentemente utilizzato un agente AI di ultima generazione all’interno di una propria rete come esercitazione di red teaming. Utilizzando modelli avanzati pre-Mythos con competenze sviluppate internamente, l’agente ha ridotto il tempo di ricognizione su Active Directory da tre giorni a tre ore e ha prodotto 23 risultati operativi, tra cui percorsi critici di escalation fino a Domain Admin, partendo da un singolo account privo di privilegi. Come ha scritto il CISO di Sophos, Ross McKerchar: «Se questo è ciò che i modelli attuali possono fare, con un’orchestrazione attenta, immaginate cosa potrebbe accadere quando la prossima generazione di AI verrà puntata contro il vostro perimetro da qualcuno che non è dalla vostra parte».
Il post di approfondimento di Mark Loman, “AI finds the vulnerabilities, but exploiting them is a different problem”, spiega perché la scoperta delle vulnerabilità e il loro sfruttamento siano due problemi distinti, oltre alle ragioni architetturali per cui Sophos Endpoint si colloca nel punto strategico della vostra infrastruttura di sicurezza.
La superficie di attacco è cambiata da un giorno all’altro. Sophos Endpoint è stato progettato proprio per questo.
Le vulnerabilità software non sono una novità. La corsa agli armamenti tra ricercatori, fornitori e attaccanti esiste da quando esiste il software.
Ciò che è nuovo è la velocità con cui questa corsa può essere condotta, e da chi. Il Sophos Active Adversary Report 2026 (661 casi di incident response e MDR gestiti da X-Ops) ha rilevato che lo sfruttamento delle vulnerabilità rappresenta il 16% degli accessi iniziali, con un tempo medio di permanenza degli attaccanti ridotto a tre giorni.
L’AI non ha solo aumentato il volume degli attacchi: ha drasticamente ridotto il tempo di reazione. Quando un modello genera un exploit funzionante a partire da una vulnerabilità appena scoperta prima ancora che la maggior parte delle organizzazioni avvii i processi di change control, i cicli di patch tradizionali diventano un limite più che una difesa.
Tre fattori cambiano nell’era dell’AI: velocità, scala e accesso. La scoperta e la “weaponization” che richiedevano settimane ora avvengono in ore o minuti. Lo stesso modello può essere applicato contemporaneamente a centinaia di target. Capacità che prima richiedevano competenze avanzate sono ora accessibili tramite un semplice prompt.
Ci sono però aspetti che non cambiano. Per trasformare una vulnerabilità in una compromissione, un attaccante deve comunque corrompere la memoria in un modo specifico, reindirizzare l’esecuzione, elevare i privilegi, eludere i controlli comportamentali o interagire con il sistema operativo tramite sequenze costruite ad hoc. Esistono milioni di vulnerabilità, ma le tecniche per sfruttarle sono poche decine. È proprio questa asimmetria che Sophos Endpoint sfrutta a vantaggio della difesa.
Sophos Endpoint: bloccare la tecnica, non inseguire la firma
Sophos Endpoint adotta un approccio diverso rispetto agli strumenti basati su firme o solo su analisi comportamentale. Invece di cercare di riconoscere ogni nuova minaccia dopo che appare, monitora le tecniche fondamentali che un attaccante deve utilizzare per rendere efficace qualsiasi exploit.
Questa capacità affonda le radici in HitmanPro.Alert, la tecnologia anti-exploit acquisita da Sophos nel 2015 e integrata nell’endpoint agent. Si basa su un principio semplice e solido: il numero di tecniche di exploit è limitato, e limitarle rende molto più difficile sfruttare una vulnerabilità, indipendentemente dal fatto che sia nota, sconosciuta o generata da un’AI pochi minuti prima.
Oggi, oltre 60 mitigazioni proprietarie sono attive di default su ogni processo protetto. Operano in tempo reale sull’endpoint, senza dipendere da query al cloud o aggiornamenti di firme, e senza necessità di configurazioni specifiche per applicazione.
Se domani emergesse un nuovo zero-day, generato da Mythos o da qualsiasi altro modello, la domanda non è se Sophos lo abbia già visto. La vera domanda è se l’exploit possa funzionare senza utilizzare le tecniche che Sophos Endpoint blocca. Nella maggior parte dei casi realistici, la risposta è no.
Cosa fa la prevenzione degli exploit
Sophos Endpoint integra oltre 60 mitigazioni distribuite lungo tutte le fasi della catena di exploit. Ecco una panoramica sintetica:
Mitigazioni della corruzione della memoria
La maggior parte degli exploit moderni si basa sulla corruzione della memoria. Sophos Endpoint protegge da tecniche come stack pivoting, heap spraying e return-oriented programming. Anche vulnerabilità mai identificate vengono comunque bloccate.
Controllo del flusso di codice ed esecuzione
Dopo la corruzione della memoria, l’exploit deve eseguire codice malevolo. Sophos Endpoint applica protezioni su heap dinamico, indirizzi di importazione e validazione delle librerie, interrompendo la catena di attacco.
Hardening di browser e documenti
Browser e lettori di documenti rappresentano una delle principali superfici di attacco. Sophos Endpoint rafforza la sicurezza di browser, plug-in, Office e PDF reader, anche contro tecniche di installazione silenziosa.
Protezione credenziali e post-exploit
Anche dopo l’esecuzione del codice, l’attaccante deve muoversi: escalation, furto di credenziali, lateral movement. Sophos Endpoint blocca queste attività con protezioni specifiche. Oggi gli attaccanti raggiungono Active Directory in media in 3 ore e 24 minuti: l’AI accelera la scoperta, ma i movimenti restano gli stessi.
Protezione ransomware
CryptoGuard rileva comportamenti di cifratura non autorizzata e ripristina i file. Con attacchi sempre più rapidi, questa difesa diventa ancora più cruciale.
Perché altri strumenti endpoint faticano
Molti prodotti non sono progettati per fermare exploit in modo nativo.
Approccio basato sulla detection
Molti strumenti rilevano e poi analizzano. Con uno zero-day AI, quando scatta l’allarme l’attacco è già avvenuto. Sophos Endpoint interviene durante l’esecuzione.
Protezioni dipendenti dalla configurazione
Alcuni prodotti richiedono attivazioni manuali o configurazioni per applicazione. Questo limita l’efficacia. Sophos abilita tutto di default.
Falsi positivi e disattivazioni
Protezioni troppo invasive vengono spesso disattivate. Sophos consente esclusioni granulari senza compromettere l’intero sistema.
Quattro domande da fare al tuo vendor
- La prevenzione degli exploit è attiva di default su tutti i processi?
- Da quanto tempo è testata su larga scala?
- Copre anche le fasi post-exploit (credenziali, escalation, ransomware)?
- Le eccezioni sono granulari o indeboliscono tutto il sistema?
Se le risposte sono vaghe o condizionate, la protezione non è adeguata.
Difesa a più livelli
Sophos Endpoint è la prima linea, ma non l’unica:
- Deep learning per malware noti e sconosciuti
- Adaptive Attack Protection che rafforza automaticamente la sicurezza
- Synchronized Security tra endpoint, firewall, identità ed email
- Sophos MDR con monitoraggio 24/7 e analisti esperti
Cosa fare ora
- Verificare che la prevenzione exploit sia attiva su tutti gli endpoint
- Accelerare le patch, senza dipendere solo da esse
- Integrare competenze umane (SOC o MDR)
In sintesi
Mythos non è un’anticipazione: è il nuovo standard. L’AI scoprirà vulnerabilità più velocemente di quanto possano essere corrette.
Sophos Endpoint è stato progettato per questo scenario: non per adattarsi, ma per affrontarlo fin dall’inizio. Le tecniche restano le stesse, anche se le vulnerabilità cambiano. Ed è su questo principio che si basa l’architettura, con oltre 60 mitigazioni attive di default.
Gli attaccanti stanno evolvendo. La tua protezione endpoint dovrebbe essere già un passo avanti.