Connect with us

Report

Il Rapporto Lumen Defender Threatscape 2026: Perché la Visibilità al momento della Violazione non è sufficiente

mm
Published
Updated

Il Rapporto Lumen Defender Threatscape 2026 di Lumen, alimentato dal suo braccio di intelligence sulle minacce Black Lotus Labs, consegna un messaggio chiaro che la maggior parte delle organizzazioni sta ancora combattendo gli attacchi informatici troppo tardi. Il rapporto sostiene che nel momento in cui una violazione viene rilevata all’interno di una rete, il vero lavoro dell’attacco è già stato completato. Ciò che sembra un’intrusione improvvisa è in realtà l’ultimo passo di un’operazione molto più lunga e accuratamente costruita.

Invece di concentrarsi su ciò che accade dopo una compromissione, il rapporto sposta l’attenzione su ciò che accade prima. Questo spostamento cambia tutto.

Gli Attacchi Informatici Ora Iniziano Molto Prima della Violazione

Le moderne operazioni informatiche non assomigliano più a intrusioni opportuniste. Sembra più che siano campagne strutturate che vengono assemblate pezzo per pezzo nel tempo. Gli attaccanti iniziano scansionando continuamente internet, cercando sistemi esposti, dispositivi non aggiornati e punti di autenticazione deboli. Una volta trovate le opportunità, costruiscono un’infrastruttura intorno ad esse.

Questa fase di preparazione include la convalida delle credenziali rubate, la configurazione di reti proxy, il test delle canali di comunicazione e l’assicurazione che i sistemi di comando possano operare senza interruzioni. Nel momento in cui un’organizzazione rileva un’attività sospetta, l’attaccante ha già costruito i percorsi necessari per muoversi attraverso l’ambiente.

Ciò che lo rende particolarmente pericoloso è che la maggior parte delle organizzazioni non vede questa fase iniziale. Gli strumenti di sicurezza tradizionali sono progettati per rilevare minacce note o attività sospette all’interno della rete. Non sono progettati per osservare come un attacco venga costruito fin dall’inizio.

Il Livello dell’Infrastruttura È Ora il Vero Campo di Battaglia

Uno dei risultati più importanti del rapporto è che gli attacchi informatici non sono più definiti solo da malware. Invece, sono definiti dall’infrastruttura che li supporta. Gli attaccanti stanno investendo più sforzi nella costruzione di sistemi resilienti e adattabili che possano sopravvivere alle interruzioni e rigenerarsi rapidamente.

Questo spostamento è visibile sia nelle operazioni criminali che in quelle sponsorizzate da stati. Le reti proxy sono diventate un componente fondamentale di quasi ogni attacco. Queste reti permettono agli attaccanti di instradare il traffico attraverso dispositivi compromessi, spesso facendo apparire l’attività maliziosa come se provenisse da utenti legittimi.

Allo stesso tempo, gli attaccanti stanno spostando la loro attenzione dagli endpoint ai dispositivi di bordo come router, gateway VPN e firewall. Questi sistemi si trovano in punti critici della rete, spesso hanno una visibilità più debole e forniscono un accesso diretto ai sistemi interni. Tendono anche ad avere un tempo di attività più lungo e meno controlli di monitoraggio, rendendoli ideali come punti di partenza.

Il risultato è un panorama di minacce in cui gli attaccanti operano all’interno del tessuto connettivo di internet piuttosto che ai suoi margini.

L’Intelligenza Artificiale Sta Accelerando l’Interazione dell’Interazione

Il rapporto evidenzia come l’intelligenza artificiale generativa stia aumentando drasticamente la velocità delle operazioni informatiche. I compiti che una volta richiedevano la coordinazione umana possono ora essere automatizzati. Gli attaccanti stanno utilizzando l’AI per scansionare le vulnerabilità, generare infrastrutture, testare sfruttamenti e adattare le loro strategie in tempo reale.

Questo spostamento comprime la timeline di un attacco. Ciò che una volta richiedeva giorni o settimane può ora accadere in poche ore. In alcuni casi, i sistemi guidati da AI possono valutare le condizioni di rete, identificare il percorso più efficace e adattare le tattiche senza intervento umano.

Per i difensori, ciò crea una nuova sfida. I team di sicurezza non stanno più affrontando minacce statiche. Stanno affrontando sistemi che evolvono continuamente, rispondendo alle difese man mano che le incontrano.

Il Cybercrimine È Diventato un’Industria Professionale

Un altro tema sorprendente del rapporto è come il cybercrimine sia maturato in un ecosistema strutturato e professionale. Molte operazioni assomigliano ora a legittime aziende tecnologiche. Offrono servizi, supportano i clienti e migliorano continuamente i loro prodotti.

Le piattaforme di malware sono vendute come servizi di abbonamento. Le reti proxy sono noleggiate su richiesta. L’accesso a sistemi compromessi può essere acquistato e rivenduto attraverso mercati. Diversi attori si specializzano in diverse parti del ciclo di vita dell’attacco, dall’accesso iniziale all’estrazione di dati alla monetizzazione.

Questo livello di organizzazione consente ai cybercriminali di scalare le loro operazioni in modo efficiente. Li rende anche più resilienti. Quando un componente viene interrotto, un altro può rapidamente prendere il suo posto.

La stessa infrastruttura è spesso condivisa tra più gruppi, confondendo la linea tra attività criminale e operazioni sponsorizzate da stati. Ciò rende più difficile l’attribuzione e aumenta il rischio di fraintendere la vera natura di un attacco.

Le Reti Proxy Stanno Ridefinendo la Fiducia su Internet

Uno degli sviluppi più importanti descritti nel rapporto è l’ascesa di reti proxy costruite da dispositivi compromessi. Queste reti permettono agli attaccanti di operare da ciò che sembra essere un indirizzo IP residenziale o commerciale normale.

Dal punto di vista di un difensore, questo è un grande problema. I modelli di sicurezza tradizionali si basano fortemente su segnali di fiducia come la localizzazione, la reputazione IP e la proprietà della rete. Le reti proxy minano tutti questi segnali.

Un attaccante può apparire come un utente legittimo che si connette da una rete residenziale. Possono bypassare i controlli di geolocalizzazione, evitare i sistemi di rilevamento e fondersi perfettamente con il traffico normale.

Ciò significa che ciò che sembra pulito non è necessariamente sicuro. Internet stesso è diventato un travestimento.

Anche Gli Attacchi Semplici Sono Stati Reinventati

Il rapporto mostra anche che tecniche più vecchie come gli attacchi brute force sono lontani dall’essere obsoleti. Invece, sono stati trasformati dalla scala e dall’automazione.

Gli attaccanti hanno ora accesso a enormi dataset di credenziali rubate. Combinano ciò con infrastrutture distribuite e strumenti guidati da AI per testare i sistemi di autenticazione su migliaia di bersagli contemporaneamente. Questi attacchi non sono più casuali. Sono mirati, persistenti e altamente efficienti.

Ciò che li rende particolarmente pericolosi è che spesso servono come primo passo in un’operazione più grande. Una volta ottenuto l’accesso, gli attaccanti possono muoversi più in profondità nella rete, distribuire strumenti aggiuntivi e stabilire un controllo a lungo termine.

Le Operazioni degli Stati Stanno Diventando Piattaforme di Infrastruttura

Il rapporto evidenzia come gli attori statali stanno costruendo infrastrutture a lungo termine che supportano multiple campagne nel tempo. Queste operazioni sono progettate per la flessibilità. Possono essere utilizzate per il ricognizione, lo sfruttamento o la disabilitazione a seconda dell’obiettivo.

Invece di concentrarsi su un bersaglio singolo, questi sistemi creano una base che può essere riutilizzata attraverso diverse operazioni. Sono costruiti per scalare, adattarsi e persistere anche sotto pressione.

In alcuni casi, gli attaccanti non costruiscono nemmeno la loro infrastruttura. Prendono il controllo di sistemi già controllati da altri gruppi, utilizzandoli come base per le loro operazioni. Ciò aggiunge un altro livello di complessità e rende ancora più difficile capire chi è dietro un attacco.

Il Futuro della Sicurezza Informatica Sarà Definito dalla Visibilità

Guardando avanti, il rapporto identifica diversi spostamenti che daranno forma al panorama delle minacce nel 2026 e oltre. Il più importante di questi è l’idea che il rischio sarà definito dall’esposizione.

Gli attaccanti stanno scansionando continuamente internet. Qualsiasi sistema che è visibile e vulnerabile sarà eventualmente preso di mira. Non importa a quale industria appartenga. L’opportunità è il fattore trainante.

Allo stesso tempo, i segnali più importanti non provengono da dispositivi individuali. Provengono dai modelli di rete. Il modo in cui i sistemi comunicano, il modo in cui l’infrastruttura viene costruita e abbandonata, e il modo in cui il traffico fluisce attraverso internet riveleranno gli attacchi prima che raggiungano i loro bersagli.

Ciò richiede un approccio diverso alla sicurezza. Invece di concentrarsi solo sugli endpoint e gli allarmi, le organizzazioni devono capire l’ambiente più ampio in cui gli attacchi prendono forma.

Un Nuovo Approccio alla Difesa

Il rapporto rende chiaro che le strategie difensive tradizionali non sono più sufficienti. Le organizzazioni devono muoversi più presto nel ciclo di vita dell’attacco. Devono concentrarsi sul rilevamento e sull’interruzione dell’infrastruttura che consente gli attacchi, non solo gli attacchi stessi.

Ciò significa trattare i dispositivi di bordo come asset critici. Significa monitorare come il traffico entra e lascia la rete. Significa capire le relazioni tra i sistemi piuttosto che affidarsi a indicatori statici.

Significa anche accettare che la linea tra attività criminale e operazioni sponsorizzate da stati sta diventando sempre più confusa. Ogni intrusione dovrebbe essere trattata come potenzialmente strategica.

La Lezione Reale del Rapporto

La lezione più importante del Rapporto Lumen Defender Threatscape 2026 è che gli attacchi informatici non sono più eventi isolati. Sono sistemi costruiti. Sono pianificati, testati e raffinati molto prima di essere eseguiti.

Nel momento in cui un allarme viene scatenato, l’attaccante è già all’interno dell’ambiente in qualche forma. Il lavoro di base è già stato fatto.

Le organizzazioni che avranno successo in questo nuovo ambiente saranno quelle che sposteranno la loro attenzione. Guarderanno oltre l’endpoint. Guarderanno oltre la violazione. Si concentreranno sull’infrastruttura che rende possibili questi attacchi.

Facendo ciò, guadagneranno il vantaggio più importante nella sicurezza informatica moderna. Vedranno l’attacco prima che inizi.

Related Topics:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.