Le organizzazioni aziendali si trovano oggi a fronteggiare una media di 1.925 cyberattacchi settimanali, con un incremento del 47% rispetto all'anno precedente. I ransomware sono esplosi del 126% solo nel primo trimestre del 2025. Dietro questi numeri si nasconde una verità scomoda: le architetture di sicurezza progettate per proteggere gli ambienti cloud ibridi sono state concepite in un'epoca in cui gli attacchi informatici procedevano ancora alla velocità umana, non a quella delle macchine.
L'intelligenza artificiale armata dagli attaccanti ha stravolto completamente le regole del gioco. Gli avversari non digitano più comandi manualmente, ma orchestrano campagne automatizzate basate su agenti IA che operano a una scala e velocità con cui i team SOC (Security Operations Center) tradizionali e gli strumenti attuali faticano a tenere il passo. La finestra temporale tra il rilascio di una patch di sicurezza e la sua weaponizzazione è collassata da settimane a poche ore. Nel frattempo, le aziende continuano ad affidarsi a sistemi di rilevamento basati su elaborazione batch che analizzano i log ogni 5, 10 o 15 minuti.
Il divario tra queste due velocità si traduce in cifre reali: più della metà delle organizzazioni (55%) ha subito violazioni cloud nell'ultimo anno, secondo il Gigamon's 2025 Hybrid Cloud Security Survey, con un balzo di 17 punti percentuali. Quasi metà delle imprese intervistate ha ammesso che i propri strumenti di sicurezza hanno completamente mancato l'attacco. Nonostante l'82% delle aziende operi ormai in ambienti ibridi o multi-cloud, solo il 36% si dichiara fiducioso nella capacità di rilevare minacce in tempo reale, come emerge dal Fortinet's 2025 State of Cloud Security Report.
"Non puoi proteggere ciò che non riesci a vedere", sintetizza Mandy Andress, CISO di Elastic. "Questo è il cuore delle due grandi sfide che affrontiamo come professionisti della sicurezza: la complessità e la proliferazione dell'infrastruttura di un'organizzazione, unite al ritmo vertiginoso del cambiamento tecnologico". Il problema non risiede solo nella tecnologia, ma anche nel pesante tributo umano che questa situazione sta causando.
I dati sulla salute dei team di sicurezza sono allarmanti quanto quelli sugli attacchi. Il Security Operations Center medio elabora 960 alert quotidiani, ciascuno dei quali richiede circa 70 minuti per un'indagine approfondita. Con i livelli di personale standard dei SOC, non ci sono abbastanza ore nella giornata per gestirli tutti. Almeno il 40% degli alert, in media, rimane inevaso. Il risultato umano è devastante: il 71% degli analisti SOC soffre di burnout, secondo un'indagine di Tines, mentre due terzi dichiarano che il lavoro manuale ripetitivo consuma oltre metà della loro giornata lavorativa.
Gli ambienti ibridi amplificano ulteriormente questa complessità. Le aziende utilizzano strumenti diversi per AWS, Azure e architetture on-premises, con console separate e spesso team differenti. La correlazione degli alert tra ambienti diversi rimane un processo manuale, frequentemente delegato ai membri più senior del team SOC, quando viene eseguita. Mike Riemer, SVP e field CISO di Ivanti, ha osservato direttamente questo collasso temporale: oggi gli attori delle minacce riescono a decodificare le patch attraverso l'assistenza AI entro 72 ore. Se le imprese non applicano le correzioni in questo lasso di tempo, "sono esposte agli exploit", ha dichiarato a VentureBeat.
Il quadro diventa ancora più preoccupante quando si analizzano le decisioni che i responsabili della sicurezza sono costretti a prendere. Ben il 91% dei leader della sicurezza ammette di fare compromessi nei propri ambienti cloud ibridi, spesso sacrificando visibilità per velocità, accettando strumenti isolati e lavorando con dati di qualità degradata. Il 76% segnala una carenza di competenze specialistiche sulla sicurezza cloud, limitando la capacità di implementare e gestire soluzioni complete. Solo il 17% delle organizzazioni riesce a vedere gli attaccanti muoversi lateralmente all'interno della propria rete, uno dei punti ciechi che gli avversari sfruttano per installare ransomware, condurre ricognizioni e restare in agguato fino al momento giusto per lanciare l'attacco.
L'industria sta finalmente iniziando a rispondere a questa emergenza con approcci radicalmente diversi. CrowdStrike, durante l'evento AWS re:Invent, ha presentato una piattaforma di Cloud Detection and Response in tempo reale progettata per comprimere le finestre di risposta da 15 minuti a pochi secondi. L'architettura si basa su tre innovazioni fondamentali: un motore di rilevamento in tempo reale costruito sulla tecnologia di event streaming già testata da Falcon Adversary OverWatch, nuovi indicatori di attacco specifici per il cloud integrati nativamente, e azioni di risposta e workflow automatizzati che intervengono sul control plane durante l'esecuzione.
La tecnologia non analizza i log in batch programmati, ma si collega direttamente allo stream di eventi attraverso l'integrazione con AWS EventBridge, il servizio serverless di streaming eventi di Amazon. "Non stiamo aspettando cinque minuti per un pacchetto di dati", spiega Elia Zaitsev, CTO di CrowdStrike. Il sistema dichiara di poter gestire 60 milioni di eventi al secondo, una capacità critica quando si tratta di processare il flusso continuo di dati cloud. Quando rileva una compromissione del control plane, la piattaforma non attende l'approvazione umana: revoca i token, termina le sessioni, espelle l'attaccante ed elimina i template CloudFormation malevoli prima che l'avversario possa completare l'esecuzione.
Gli attacchi cloud hanno registrato un'impennata del 136% in un anno, con circa il 40% dell'attività degli attori cloud proveniente da avversari legati alla Cina, secondo i dati del mid-year hunting report di CrowdStrike. Questo scenario illustra quanto rapidamente il panorama delle minacce possa trasformarsi. "Le aziende che addestrano modelli di intelligenza artificiale stanno concentrando dati sensibili negli ambienti cloud, e questo è oro per gli avversari", afferma Zaitsev. Gli attaccanti utilizzano AI agenti per condurre le loro campagne, mentre il tradizionale flusso di lavoro SOC – vedere l'alert, fare triage, investigare per 15 o 20 minuti, intraprendere azioni un'ora o un giorno dopo – risulta completamente inadeguato.
Le vulnerabilità negli ambienti ibridi nascono proprio nelle zone di giunzione tra sistemi diversi, trasformando queste "cuciture" in autostrade per gli attacchi dove intrusioni della durata di millisecondi lasciano raramente tracce digitali. Molte organizzazioni non vedono mai arrivare gli attacchi basati su AI armata. Gli scenari peggiori possono essere diagnosticati solo a posteriori, quando le analisi forensi sono finalmente completate. Gli attaccanti sono diventati estremamente abili nel coprire le proprie tracce, spesso affidandosi a strumenti living-off-the-land (LotL) per evadere il rilevamento per mesi, persino anni nei casi estremi.
Il settore della sicurezza cloud rappresenta il segmento a crescita più rapida nelle ultime previsioni di Gartner, con un'espansione prevista del 25,9% CAGR fino al 2028. Precedence Research proietta che il mercato crescerà dai 36 miliardi di dollari del 2024 ai 121 miliardi entro il 2034. Il panorama competitivo è affollato, con player come Palo Alto Networks, Wiz (recentemente acquisita da Google per 32 miliardi di dollari), Microsoft, Orca e SentinelOne. CrowdStrike ha già consolidato la propria posizione come Leader nell'IDC MarketScape 2025 per le piattaforme CNAPP (cloud-native application protection platform) per il terzo anno consecutivo.
Secondo Zaitsev, ciò che diventa obsoleto è definire qualcosa come CNAPP quando manca la rilevazione e risposta cloud in tempo reale. "CSPM non scomparirà. La protezione dei workload cloud non scomparirà. Ma senza capacità di rilevamento in tempo reale, manca la rete di sicurezza, l'elemento che intercetta ciò che supera le difese proattive. E negli ambienti ibridi, qualcosa passa sempre". L'angolo della piattaforma unificata assume particolare rilevanza proprio per l'ibrido: gli avversari saltano deliberatamente tra ambienti diversi sapendo che i difensori utilizzano strumenti differenti, spesso team diversi, per cloud, on-premises e identità.
Per i CISO che pianificano le strategie 2026, le priorità dovrebbero concentrarsi su aspetti specifici. Mappare le lacune di visibilità negli ambienti ibridi diventa fondamentale: ogni workload cloud, ogni sistema on-premises, ogni identità che attraversa tra di essi deve essere tracciabile. Se l'82% delle violazioni deriva da punti ciechi, è essenziale conoscere i propri prima che li scoprano gli attaccanti. Pressare i fornitori sulla latenza di rilevamento con domande precise sull'architettura: se utilizzano elaborazione batch, occorre comprendere cosa significhi una finestra di 15 minuti quando gli avversari si muovono in secondi.
Implementare il triage basato su AI non può più essere rimandato. Con il 40% degli alert non investigati e il 71% degli analisti in burnout, l'automazione non è un elemento della roadmap futura ma una necessità immediata per una strategia di deterrenza efficace. I cicli di patch devono essere compressi a 72 ore, considerando che il reverse engineering assistito da AI ha ridotto drasticamente la finestra di exploit. Infine, progettare per un'ibridità permanente: il 54% delle imprese che oggi opera in modelli ibridi continuerà a farlo domani, rendendo necessario progettare per la complessità come condizione di base, non temporanea.
"La cybersecurity moderna consiste nel differenziare tra rischi accettabili e inaccettabili", afferma Chaim Mazal, CSO di Gigamon. "La nostra ricerca mostra dove i CISO stanno tracciando quella linea, evidenziando l'importanza critica della visibilità su tutti i data-in-motion per proteggere infrastrutture cloud ibride complesse contro le minacce emergenti odierne. È chiaro che gli approcci attuali non tengono il passo, motivo per cui i CISO devono rivalutare gli stack di strumenti e ridefinire le priorità di investimenti e risorse per proteggere con maggiore fiducia le proprie infrastrutture". L'evidenza risulta inequivocabile: le architetture progettate per minacce alla velocità umana non possono difendere contro avversari che operano alla velocità delle macchine.