Le organizzazioni di tutto il mondo stanno perdendo terreno nella battaglia contro il ransomware, e il divario tra preparazione e minacce continua ad ampliarsi in modo preoccupante. Secondo il rapporto sullo stato della cybersicurezza 2026 di Ivanti, il gap di preparazione è aumentato mediamente di 10 punti anno su anno in ogni categoria di minaccia monitorata. Il dato più allarmante riguarda proprio il ransomware: il 63% dei professionisti della sicurezza lo considera una minaccia di livello elevato o critico, ma solo il 30% dichiara di sentirsi "molto preparato" a difendersi. Una forbice di 33 punti, in crescita rispetto ai 29 dell'anno precedente.
La radice del problema risiede in un punto cieco che affligge anche le più autorevoli linee guida di settore. Il framework di preparazione anti-ransomware di Gartner, contenuto nella nota di ricerca dell'aprile 2024 intitolata "How to Prepare for Ransomware Attacks", rappresenta il punto di riferimento per i team di sicurezza aziendali nella costruzione delle procedure di risposta agli incidenti. Eppure, questa guida presenta una lacuna significativa: durante la fase di contenimento, raccomanda esplicitamente di reimpostare le credenziali degli utenti e degli host compromessi, ma ignora completamente le identità delle macchine.
Gli account di servizio, le chiavi API, i token e i certificati digitali sono del tutto assenti dalle procedure standard. Il toolkit di Gartner accompagna i team attraverso quattro fasi: contenimento, analisi, rimedio e recupero. Ma quando si tratta di reimpostare le credenziali, il focus rimane esclusivamente su account utente e dispositivi. Le organizzazioni che seguono questo framework ereditano inconsapevolmente questa vulnerabilità critica.
La dimensione del problema emerge anche dai dati raccolti da CyberArk nel suo rapporto 2025 sulla sicurezza delle identità. Per ogni essere umano nelle organizzazioni di tutto il mondo esistono attualmente 82 identità macchina. Di queste, il 42% dispone di accessi privilegiati o sensibili. Si tratta di un ecosistema parallelo di credenziali che, se compromesse, possono garantire agli attaccanti movimento laterale attraverso i sistemi senza far scattare gli allarmi progettati per rilevare comportamenti anomali degli account umani.
La stessa guida di Gartner identifica il problema senza collegarlo alla soluzione. Il documento avverte che "pratiche inadeguate di gestione delle identità e degli accessi" rimangono un punto di partenza primario per gli attacchi ransomware, e che credenziali precedentemente compromesse vengono utilizzate per ottenere accesso tramite broker specializzati e dump di dati dal dark web. Nella sezione sul recupero, la guida è esplicita: aggiornare o rimuovere le credenziali compromesse è essenziale, altrimenti l'attaccante rientrerà. Le identità macchina sono parte integrante dell'IAM, e gli account di servizio compromessi sono credenziali a tutti gli effetti. Eppure le procedure di contenimento del playbook non affrontano né l'uno né l'altro aspetto.
Il deficit di preparazione va ben oltre quanto emerga da singoli sondaggi. Il rapporto Ivanti mostra che il gap si è ampliato in tutte le principali categorie di minaccia: ransomware, phishing, vulnerabilità software, vulnerabilità legate alle API, attacchi alla supply chain e persino crittografia inadeguata. Daniel Spicer, Chief Security Officer di Ivanti, ha definito questa situazione il "Deficit di Prontezza della Cybersicurezza": uno squilibrio persistente e crescente anno dopo anno nella capacità di un'organizzazione di difendere dati, persone e reti contro un panorama di minacce in evoluzione.
Le conseguenze concrete di questa impreparazione si manifestano nei dati di settore raccolti da CrowdStrike nel suo State of Ransomware Survey 2025. Tra i produttori manifatturieri che si sono valutati "molto ben preparati", solo il 12% è riuscito a recuperare entro 24 ore, mentre il 40% ha subito significative interruzioni operative. Il settore pubblico ha fatto peggio: 12% di recupero rapido nonostante il 60% di fiducia dichiarata. Trasversalmente a tutti i settori, solo il 38% delle organizzazioni colpite da ransomware ha effettivamente risolto il problema specifico che ha permesso l'ingresso agli attaccanti. Le altre hanno investito in miglioramenti generici della sicurezza senza chiudere il punto di accesso reale.
Le procedure standard di contenimento del ransomware si articolano oggi su cinque passaggi fondamentali, e le identità macchina sono assenti da ciascuno di essi. La reimpostazione delle credenziali, pensata per gli esseri umani, non è stata progettata per le macchine. Forzare il logout e il cambio password di tutti gli account utente tramite Active Directory è pratica standard, ma non ferma il movimento laterale attraverso un account di servizio compromesso. Il modello di playbook campione di Gartner lo dimostra chiaramente: tre passaggi per il reset delle credenziali, tutti basati su Active Directory, zero credenziali non umane.
Nessuno fa un inventario delle identità macchina prima di un incidente. Non si possono reimpostare credenziali di cui si ignora l'esistenza. Gli account di servizio, le chiavi API e i token richiedono mappature di proprietà assegnate prima dell'incidente. Scoprirle durante una violazione costa giorni preziosi. Solo il 51% delle organizzazioni dispone anche solo di un punteggio di esposizione alla cybersicurezza, secondo Ivanti, il che significa che quasi la metà non potrebbe comunicare al consiglio di amministrazione la propria esposizione delle identità macchina se richiesto domani. Appena il 27% valuta la propria valutazione dell'esposizione al rischio come "eccellente", nonostante il 64% investa nella gestione dell'esposizione.
L'isolamento di rete non revoca le catene di fiducia. Rimuovere una macchina dalla rete non revoca le chiavi API che ha emesso ai sistemi a valle. Il contenimento che si ferma al perimetro di rete presuppone che la fiducia sia limitata dalla topologia. Le identità macchina non rispettano questo confine: autenticano attraverso di esso. La stessa ricerca Gartner avverte che gli avversari possono trascorrere giorni o mesi scavando e ottenendo movimento laterale all'interno delle reti, raccogliendo credenziali per la persistenza prima di distribuire il ransomware. Durante questa fase, gli account di servizio e i token API sono le credenziali più facilmente raccoglibili senza attivare allarmi.
La logica di rilevamento non è stata costruita per il comportamento delle macchine. Il comportamento anomalo di un'identità macchina non attiva allarmi come farebbe un account utente compromesso. Volumi insoliti di chiamate API, token utilizzati al di fuori delle finestre di automazione e account di servizio che si autenticano da nuove posizioni richiedono regole di rilevamento che la maggior parte dei Security Operations Center non ha ancora scritto. Il sondaggio CrowdStrike ha rilevato che l'85% dei team di sicurezza riconosce che i metodi di rilevamento tradizionali non riescono a tenere il passo con le minacce moderne. Eppure solo il 53% ha implementato il rilevamento delle minacce basato sull'intelligenza artificiale.
Gli account di servizio obsoleti rimangono il punto di ingresso più facile. Account che non vengono ruotati da anni, alcuni creati da dipendenti partiti da tempo, rappresentano la superficie più debole per gli attacchi basati sulle macchine. La guida Gartner raccomanda un'autenticazione forte per "utenti privilegiati, come amministratori di database e infrastrutture e account di servizio", ma questa raccomandazione si trova nella sezione prevenzione, non nel playbook di contenimento dove i team ne avrebbero bisogno durante un incidente attivo. Gli audit degli account orfani e i programmi di rotazione appartengono alla preparazione pre-incidente, non alle corse affannose post-violazione.
L'economia del ransomware rende questa urgenza improcrastinabile. Gartner stima che i costi totali di recupero ammontino a 10 volte il riscatto stesso. CrowdStrike quantifica il costo medio dei tempi di inattività dovuti a ransomware in 1,7 milioni di dollari per incidente, con le organizzazioni del settore pubblico che raggiungono una media di 2,5 milioni. Pagare non aiuta: il 93% delle organizzazioni che hanno pagato ha comunque subito il furto dei dati, e l'83% è stato attaccato di nuovo. Quasi il 40% non è riuscito a ripristinare completamente i dati dai backup dopo incidenti ransomware.
L'arrivo imminente dell'intelligenza artificiale agente moltiplicherà il problema. L'87% dei professionisti della sicurezza afferma che l'integrazione dell'IA agente è una priorità, e il 77% dichiara di essere a proprio agio nel consentire all'IA autonoma di agire senza supervisione umana, secondo il rapporto Ivanti. Ma solo il 55% utilizza guardrail formali. Ogni agente autonomo crea nuove identità macchina, identità che autenticano, prendono decisioni e agiscono in modo indipendente. Se le organizzazioni non riescono a governare le identità macchina che hanno oggi, stanno per aggiungerne un ordine di grandezza in più.
I leader della sicurezza che integrano ora nei loro playbook l'inventario delle identità macchina, le regole di rilevamento e le procedure di contenimento non solo colmeranno il gap che gli attaccanti stanno sfruttando oggi, ma saranno anche posizionati per governare le identità autonome in arrivo. Il vero test sarà verificare se queste aggiunte sopravvivano al prossimo esercizio di simulazione. Se non reggono lì, non reggeranno in un incidente reale.
.jpg)
