.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Il Sophos Active Adversary Report 2026 offre uno sguardo basato su evidenze concrete su come operano oggi gli attaccanti in ambienti reali, attingendo alle analisi degli incidenti gestiti dai team Sophos Emergency Incident Response e Sophos Managed Detection and Response (MDR).
Queste evidenze forniscono alle organizzazioni una visione pratica delle tecniche di attacco più frequentemente associate a incidenti ad alto impatto. Comprendere cosa fanno realmente gli avversari negli attacchi reali consente alle aziende di rafforzare le difese e ridurre in modo significativo il proprio rischio cyber.
I principali risultati
- L’identità è oggi il principale vettore di attacco: il 67% delle intrusioni ha avuto inizio con credenziali compromesse o altre tecniche legate all’identità.
- AZIONE: Ridurre il rischio di compromissione delle credenziali e implementare difese in grado di rilevare e rispondere agli attacchi basati sull’identità.
- I criminali del ransomware si muovono più rapidamente e colpiscono quando i difensori non stanno guardando, distribuendo ransomware ed esfiltrando dati soprattutto di notte e nei fine settimana.
- AZIONE: Garantire una copertura delle operazioni di sicurezza 24/7 per rilevare e neutralizzare gli attacchi in qualsiasi momento, collaborando con specialisti esterni se necessario.
- Le vulnerabilità dei firewall restano un punto di ingresso ad alto impatto, con attaccanti che sfruttano frequentemente falle come la vulnerabilità critica di Improper Access Control in SonicWall SonicOS e prendono di mira dispositivi non aggiornati o configurati in modo errato.
- AZIONE: Ridurre l’esposizione dei dispositivi di edge, dando priorità al patching tempestivo e al rafforzamento delle configurazioni di sicurezza.
- Active Directory (AD) continua a essere un obiettivo prioritario, con attaccanti che oggi raggiungono AD in media in sole 3 ore e 24 minuti.
- AZIONE: Assicurarsi di poter rilevare e rispondere ai tentativi di attacco contro AD prima che vengano sfruttati.
- La mancanza di telemetria affidabile rappresenta una delle maggiori criticità per i difensori, generando “zone cieche” che rendono più difficile tracciare gli attacchi o identificare indicatori precoci di compromissione.
- AZIONE: Sfruttare la telemetria di sicurezza proveniente da più fonti e conservare i log per un periodo adeguato, così da migliorare capacità di rilevamento, indagine e risposta agli incidenti.
Proseguite nella lettura per approfondire e scoprire le misure pratiche per ridurre l’esposizione alle minacce più diffuse nel mondo reale.
L’identità è la nuova prima linea della cybersecurity
Gli attacchi basati sull’identità dominano il panorama delle minacce: il 67% degli incidenti analizzati ha avuto origine da attacchi brute force, phishing, furto di token di autenticazione, abuso di relazioni fidate o altre tecniche di compromissione delle credenziali.
Le credenziali utilizzate vengono spesso ottenute tramite leak nel dark web a seguito di precedenti violazioni, campagne di phishing o tecniche di keylogging. In molti casi, tuttavia, le vittime non riescono mai a determinare come le proprie credenziali siano state originariamente sottratte.
Una volta in grado di impersonare un utente legittimo, gli attaccanti possono muoversi silenziosamente all’interno dell’ambiente, distribuire ransomware, sottrarre dati e persino mettere in atto frodi di tipo Business Email Compromise (BEC).
Passi concreti per fermare gli attacchi basati sull’identità
Per ridurre il rischio, le organizzazioni dovrebbero innanzitutto applicare l’autenticazione multi-fattore (MFA) ovunque, in particolare sugli account con privilegi amministrativi o accesso remoto.
Successivamente, è fondamentale adottare buone pratiche di igiene dell’identità e mantenere una visibilità continua sull’uso delle credenziali nell’intero ambiente IT. Ciò significa monitorare l’origine dei login, verificare eventuali cambiamenti anomali nei livelli di privilegio e controllare che le attività siano coerenti con i comportamenti abituali di utenti e sistemi.
Per contrastare gli attacchi brute force, è consigliabile impostare una soglia di tentativi di accesso falliti oltre la quale l’account viene bloccato o viene richiesto l’MFA.
Inoltre, le aziende dovrebbero effettuare revisioni periodiche degli accessi per revocare privilegi non necessari o eccessivi, individuare identità inattive e verificare regolarmente i processi di gestione del ciclo di vita delle identità (creazione, modifica e dismissione).
È essenziale rilevare quando le credenziali vengono abusate, non solo quando vengono utilizzate, così da contenere tempestivamente comportamenti malevoli. Autenticazione robusta, monitoraggio continuo e rilevamento rapido dell’abuso delle credenziali costituiscono la base di una sicurezza efficace dell’identità.
Prevenire gli attacchi basati sull’identità: come può aiutare Sophos
Sophos Managed Detection and Response (MDR) utilizza una telemetria avanzata sull’identità per rilevare rapidamente l’abuso di credenziali e intervenire 24/7 — spesso in pochi minuti — prima che l’accesso si trasformi in un danno concreto.
Sophos Identity Threat Detection and Response (ITDR) rafforza ulteriormente la protezione dell’identità, eseguendo oltre 80 controlli continui sullo stato di sicurezza delle identità, individuando configurazioni deboli e segnalando tempestivamente esposizioni ad alto rischio. In combinazione con Microsoft Entra ID, le organizzazioni possono beneficiare di una gestione centralizzata delle identità e di una telemetria più approfondita a supporto degli analisti di sicurezza.
I criminali del ransomware lavorano mentre dormi (letteralmente)
Gli operatori ransomware prendono di mira deliberatamente le organizzazioni nei momenti in cui i team IT e cybersecurity sono meno presidiati, così da ridurre il rischio di essere rilevati. L’esfiltrazione dei dati e la cifratura dei file avvengono spesso durante festività, notti e fine settimana.
A conferma di questo approccio, l’88% dei payload ransomware (ovvero la fase in cui viene tentata la cifratura dei file) viene distribuito fuori dall’orario lavorativo. Questi attacchi si distribuiscono lungo tutti i giorni della settimana, con un lieve incremento il giovedì e il venerdì, quando è più probabile che i dipendenti siano in ferie o si disconnettano prima. Analogamente, il 78,85% delle attività di esfiltrazione dei dati avviene fuori dall’orario di ufficio.
Passi concreti per fermare il ransomware
La rapidità è fondamentale per rilevare e rispondere agli attacchi ransomware prima che provochino danni significativi: il monitoraggio 24/7 è quindi imprescindibile per organizzazioni di ogni dimensione.
Le aziende dovrebbero rafforzare la propria resilienza al ransomware assicurandosi che specialisti delle security operations — personale interno, un fornitore esterno specializzato o una combinazione di entrambi — presidino l’ambiente in modo continuativo e siano in grado di neutralizzare rapidamente le azioni degli attaccanti.
Oltre alla visibilità costante, è essenziale disporre di difese ransomware solide sugli endpoint e nei controlli di sicurezza più ampi. Ciò include l’adozione di tecnologie capaci di riconoscere comportamenti sospetti ben prima che inizi la cifratura, bloccare i tentativi di cifrare file sia in locale sia da remoto e interrompere automaticamente l’attività malevola ripristinando i file compromessi.
Monitoraggio e risposta 24/7, uniti a controlli avanzati contro il ransomware, riducono drasticamente le opportunità di successo per gli attaccanti, spostando l’equilibrio a favore dei difensori.
Difesa dal ransomware: come può aiutare Sophos
Sophos MDR è il servizio MDR più affidabile al mondo e offre rilevamento e risposta 24/7 in grado di neutralizzare anche gli attacchi ransomware più sofisticati.
Grazie all’impiego di AI, automazione e di un team globale di esperti di cybersecurity, Sophos MDR monitora costantemente l’ambiente IT, individuando e bloccando gli attacchi prima che possano avere impatti sul business.
Sophos Endpoint utilizza analisi comportamentale e la tecnologia proprietaria CryptoGuard per bloccare e annullare automaticamente la cifratura non autorizzata, incluso il ransomware remoto (tecnica impiegata nel 70% degli attacchi ransomware di successo condotti da operatori umani, secondo il Microsoft Digital Defense Report).
Le vulnerabilità dei firewall: un “regalo” che continua a fare danni
L’aumento degli attacchi basati sull’identità non significa che le vulnerabilità non patchate abbiano perso rilevanza. Al contrario, quando gli attaccanti ricorrono agli exploit, sfruttano ogni opportunità disponibile.
Nel dataset 2026 dell’Sophos Active Adversary Report 2026, oltre due terzi (67%) degli incidenti iniziati con un CVE riguardavano CVE-2024-40766, una vulnerabilità del firewall SonicWall SonicOS che ha richiesto patch ripetute nel corso dell’anno. Questo schema evidenzia una debolezza critica: una volta esposto un dispositivo perimetrale, gli attaccanti continueranno a tentare finché non sarà completamente messo in sicurezza.
Preoccupa anche il tempo durante il quale molti firewall e sistemi edge restano vulnerabili dopo la disponibilità di una correzione. Nel dataset, il tempo mediano tra la pubblicazione di una patch o advisory e il suo sfruttamento è stato di 322 giorni — quasi un anno di opportunità per gli attaccanti.
Analogamente, il tempo mediano tra il rilascio di un proof-of-concept pubblico e lo sfruttamento reale è stato di circa 297 giorni. Alcuni CVE utilizzati negli attacchi risalgono addirittura al 2008, dimostrando quanto a lungo le vulnerabilità non corrette possano persistere in ambienti di produzione.
Ridurre il rischio legato alle vulnerabilità dei firewall
Per ridurre il rischio di sfruttamento dei firewall, le organizzazioni devono dare priorità al patching rapido dei sistemi perimetrali e adottare processi disciplinati per distribuire rapidamente gli aggiornamenti di sicurezza.
Firewall e dispositivi edge restano obiettivi ad alto valore perché si trovano al confine della rete: ogni ritardo nel patching offre agli attaccanti una finestra di opportunità. È inoltre opportuno scegliere soluzioni progettate per ridurre tale esposizione, basate su pratiche di sviluppo sicuro, hotfix tempestivi per vulnerabilità critiche e monitoraggio continuo dello stato dei dispositivi.
Tecnologie che riducono il rischio di errori di configurazione e accelerano la remediation possono limitare significativamente le probabilità di compromissione del perimetro.
Ridurre l’esposizione dei firewall: come può aiutare Sophos
Sophos combina pratiche di ingegneria sicura con meccanismi di protezione automatizzati e rapidi per limitare le opportunità di attacco.
Sophos Firewall è progettato secondo principi Secure by Design, con sistema operativo rinforzato, hotfix in tempo reale per vulnerabilità critiche e controlli di integrità continui. Gli hotfix non richiedono downtime, eliminando la necessità di pianificare finestre di manutenzione dedicate.
Sophos offre inoltre monitoraggio proattivo dei dispositivi e, con Sophos Managed Risk (add-on per Sophos MDR), insight esperti sulle vulnerabilità e indicazioni su quali esposizioni prioritizzare.
Active Directory resta un obiettivo primario
L’interesse degli attaccanti per Active Directory (AD) è in crescita: il tempo medio per raggiungere AD dopo l’accesso iniziale è sceso a 3 ore e 24 minuti, contro circa 12 ore dell’anno precedente.
La sicurezza di AD è cruciale perché, una volta compromesso, consente escalation di privilegi, movimento laterale e controllo completo di identità, sistemi e dati, facilitando ransomware, furto di informazioni e persistenza a lungo termine.
Rafforzare Active Directory: da dove partire
Ridurre il rischio di compromissione di AD richiede un approccio defense-in-depth che combini zero trust, controlli di accesso stringenti, protezione dell’identità e monitoraggio continuo.
È fondamentale applicare:
- Principio del privilegio minimo
- Verifica continua
- Autenticazione robusta con MFA
Parallelamente, domain controller, infrastrutture di supporto e account privilegiati devono essere costantemente aggiornati e mantenuti in configurazione sicura.
Strumenti capaci di rilevare segnali precoci di attività sospette su AD — come escalation anomale o movimenti laterali — permettono di intervenire prima che gli attaccanti ottengano il controllo del dominio.
Prevenire la compromissione di AD: come può aiutare Sophos
Sophos rafforza la protezione di Active Directory offrendo visibilità approfondita sulle attività legate alle identità e la capacità di bloccare gli attacchi prima che si aggravino.
Sophos MDR e Sophos XDR, combinati con Sophos ITDR, difendono dalle principali tecniche MITRE ATT&CK di Credential Access, inclusi attacchi ad alto impatto come il Golden Ticket.
Correlando telemetria di endpoint, identità e rete, Sophos individua tempestivamente escalation di privilegi, movimenti laterali e abusi di credenziali.
Inoltre, Sophos Workspace Protection integra tecnologie Zero Trust Network Access con AD per applicare MFA e verifica continua, prevenendo l’accesso con credenziali compromesse.
La mancanza di telemetria crea “zone cieche”
La telemetria assente o incompleta rende sempre più difficile per i difensori comprendere la dinamica degli attacchi e identificare segnali precoci di compromissione.
Gli incidenti con log mancanti, dovuti a retention troppo breve, sono raddoppiati rispetto all’anno precedente. In particolare, alcuni firewall conservavano log per soli sette giorni — in certi casi appena 24 ore.
Nel dataset analizzato, il 13% dei sistemi Windows Server risultava già end-of-life, con un ulteriore 27% prossimo alla fine del supporto, riducendo visibilità e aumentando il rischio.
Eliminare le zone cieche: cosa fare
Le organizzazioni dovrebbero:
- Estendere la retention di log di firewall, endpoint, identità e AD
- Rivedere le impostazioni predefinite di conservazione dei dati
- Rafforzare la visibilità su attività di identità e AD
- Eliminare sistemi non più supportati (EOL), che non ricevono aggiornamenti di sicurezza
Mantenere sistemi EOL in produzione può anche compromettere la possibilità di accedere a coperture assicurative cyber dopo una violazione.
Colmare i gap di telemetria: come può aiutare Sophos
Sophos Firewall supporta fino a 30 giorni di retention dei log, con opzioni di estensione. I servizi Sophos MDR includono di default 90 giorni di retention, estendibili fino a un anno.
Sophos MDR si integra con centinaia di strumenti IT e di sicurezza esistenti senza costi aggiuntivi, centralizzando la telemetria e chiudendo le lacune di visibilità.
Per saperne di più
Per approfondire lo scenario delle minacce attuali, consulta il Sophos Active Adversary Report 2026 completo.
Vuoi indicazioni personalizzate per la tua organizzazione? Confrontati con un esperto Sophos o con il tuo partner di riferimento per capire come integrare MDR, firewall, endpoint e soluzioni di identity security in un’unica strategia di riduzione del rischio.