Scopri anche

• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• Qwen 3.5: Alibaba lancia modelli open-source che competono con GPT e Gemini
• Red Teaming AI: metodologie, framework e sfide per la sicurezza dei sistemi intelligenti
• NVIDIA GPU Operator e AI Cluster Runtime: standardizzare l'infrastruttura GPU per Kubernetes
• Samsung Galaxy AI: l'ecosistema intelligente tra smartphone, wearable e assistente conversazionale
• Samsung distribuisce aggiornamenti software su vasta scala: patch di sicurezza e One UI 8.5 in arrivo
• Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
• Google e Back Market lanciano una chiavetta USB da 3 dollari per installare ChromeOS Flex sui PC obsoleti
• Samsung Galaxy AI: funzionalità, aggiornamenti e la controversia sui video promozionali
• Agenti IA: autonomia, architettura e rischi della nuova frontiera dell'intelligenza artificiale
• Google Gemini: l'integrazione nei servizi Workspace e la nuova Personal Intelligence
• Meta svela la roadmap di quattro nuovi chip MTIA: infrastruttura AI interna entro il 2027
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• Apple stringe partnership con Google per potenziare Siri con Gemini AI
• Iniziative educative integrano IA e metodologie STEAM per bambini e famiglie
• Toyota richiama 141.286 Prius: le porte posteriori possono aprirsi durante la guida
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Starlink disabilitato per l'esercito russo: le conseguenze sul campo di battaglia
• ChatGPT Health, Claude for Healthcare e Copilot Health: il confronto tra le AI per il settore sanitario
• Vivaldi 7.2: evoluzione della barra degli indirizzi e percorso verso il rilascio stabile

Cybersecurity 2025: il framework Cyber Kill Chain e l'evoluzione delle minacce cloud

Cybersecurity 2025: il framework Cyber Kill Chain e l'evoluzione delle minacce cloud

Il panorama della sicurezza informatica nel 2025 presenta un incremento del 388% negli alert di sicurezza cloud e un aumento del 47% degli attacchi informatici settimanali. Le organizzazioni si confrontano con la realtà che il 99% dei fallimenti nella sicurezza cloud è attribuibile a errori di configurazione dei clienti. Unit 42 ha dimostrato che gli attacchi moderni potenziati dall'intelligenza artificiale possono raggiungere il compromesso completo della rete in soli 25 minuti, mentre il 36% degli incidenti di sicurezza inizia con tecniche di social engineering.

Il framework Cyber Kill Chain e le 7-8 fasi degli attacchi

⬆ Torna su

La Cyber Kill Chain è un framework strategico che modella gli attacchi informatici come una sequenza di stadi progressivi, dalla ricognizione iniziale fino al raggiungimento dell'obiettivo finale. Sviluppato da Lockheed Martin nel 2011 come parte della metodologia Intelligence Driven Defense, questo framework adatta la dottrina militare di targeting alla cybersecurity. Il principio fondamentale riconosce che gli attacchi informatici non sono eventi istantanei ma campagne multi-stadio, dove ogni fase dipende dal completamento delle precedenti, creando punti di intervento naturali per i difensori.

Secondo il Microsoft Digital Defense Report 2025, le organizzazioni che implementano sicurezza potenziata dall'AI ottengono una riduzione del 68% nella progressione della kill chain. Il framework espone le dipendenze degli attaccanti: sebbene le tecniche si siano evolute dal 2011, gli avversari devono ancora navigare le stesse fasi fondamentali: trovare obiettivi, sviluppare armi, consegnare payload, stabilire controllo e raggiungere gli obiettivi.

Il modello originale a sette stadi si è espanso in molte implementazioni per includere un ottavo stadio: la monetizzazione. Questa aggiunta riflette la commercializzazione del cybercrime, dove gli attaccanti si concentrano sempre più sulla conversione dell'accesso in profitto attraverso ransomware, vendita di dati o furto di criptovalute. L'aumento del 50% anno su anno degli attacchi ransomware nel 2025 correla direttamente con i miglioramenti nell'efficienza della monetizzazione.

Compressione temporale degli attacchi e impatto dell'automazione

⬆ Torna su

La compressione delle tempistiche degli attacchi rappresenta l'impatto più significativo dell'automazione. La simulazione della kill chain di Unit 42 dimostra come l'automazione elimini i punti di attrito tradizionali. La ricognizione che una volta richiedeva raccolta OSINT manuale ora avviene istantaneamente attraverso scanning automatizzato. La weaponizzazione avviene attraverso generatori di malware potenziati da AI che creano varianti uniche per ogni obiettivo. I meccanismi di consegna si adattano in tempo reale basandosi sui pattern comportamentali delle vittime.

Nel 2025, gli attacchi cloud security completano l'intera progressione in 10 minuti o meno, un'accelerazione drammatica rispetto ai 40+ minuti comuni all'inizio del 2024. Questa velocità lascia ai difensori praticamente nessun tempo per risposta manuale, cambiando fondamentalemente i requisiti delle operazioni di sicurezza. Il tempo più rapido registrato per l'espansione di un attacco eCrime si è ridotto a soli 51 secondi.

Vulnerabilità cloud e responsabilità condivisa

⬆ Torna su

Le organizzazioni segnalano un incremento del 67% degli attacchi basati su AI rispetto al 2023, mentre il 61% delle imprese teme che attacchi alimentati dall'AI possano compromettere dati sensibili. Tuttavia, solo il 25% si ritiene adeguatamente preparato a contrastare queste minacce. Il 96% degli exploit nel 2024 ha sfruttato vulnerabilità divulgate prima di quest'anno, segno che le organizzazioni faticano a risolvere efficacemente problemi noti.

Gli errori di configurazione continuano a rappresentare una vulnerabilità critica: il 23% degli incidenti di sicurezza cloud deriva da errori di configurazione, mentre il 27% delle aziende ha subito violazioni nelle infrastrutture cloud pubbliche. Il modello di responsabilità condivisa dei fornitori cloud è fondamentale: secondo Gartner, il 99% dei fallimenti di sicurezza nel cloud fino al 2025 sarà imputabile ai clienti. Il 68,97% dei bucket Amazon S3 risulta configurato in modo errato, con impostazioni di blocco dell'accesso pubblico disabilitate che creano rischi di esposizione dei dati.

Le chiavi di accesso esposte restano la causa principale di violazioni, con rotazione inadeguata delle credenziali che incide sul 45% degli incidenti e account con privilegi eccessivi coinvolti nel 37% dei casi. Le configurazioni di rete insicure costituiscono un'altra categoria di vulnerabilità critica, includendo security group configurati impropriamente, porte aperte e protocolli non protetti, oltre alla mancanza di segmentazione di rete.

Intelligenza artificiale: strumento di difesa e arma offensiva

⬆ Torna su

L'intelligenza artificiale generativa rappresenta un'arma a doppio taglio: da un lato accelera l'automazione e lo sviluppo tecnologico, dall'altro favorisce le attività dei cyber criminali. L'Osservatorio CYBEROO ha riscontrato una maggiore sofisticazione nei tentativi di truffa basati su deepfake con video o audio falsificati. Una truffa recente ha utilizzatoato un deepfake di un CEO per ottenere un trasferimento di fondi da una grande azienda tecnologica.

I difensori applicano l'AI per identificare attività sospette: i modelli di machine learning rilevano ricognizione identificando deviazioni sottili dal comportamento baseline. L'elaborazione del linguaggio naturale identifica documenti weaponizzati prima della consegna. Le analisi comportamentali individuano tentativi di sfruttamento che gli strumenti basati su firma non rilevano. Le organizzazioni riportano un'accuratezza dell'85% nella predizione della progressione al prossimo stadio usando reti neurali avanzate su grafo.

Le applicazioni AI difensive creano miglioramenti altrettanto significativi. Il 63% dei professionisti della sicurezza ritiene che l'AI migliori la sicurezza, mentre il 55% delle organizzazioni ha implementato soluzioni di AI generativa per la protezione cloud. Google Cloud Security Operations è stato il primo grande provider a offrire AI generativa in disponibilità generale per la sicurezza, abilitando query di sicurezza in linguaggio naturale e generazione automatizzata di playbook di risposta agli incidenti.

Attacchi senza malware e abuse di credenziali

⬆ Torna su

L'ambiente di sicurezza cloud 2024-2025 è caratterizzato da attacchi privi di malware che costituiscono il 79% delle intrusioni cloud, segnando un cambiamento fondamentale nelle tattiche degli avversari. I cybercriminali si sono evoluti oltre il malware tradizionale, sfruttando credenziali legittime: il 35% degli incidenti cloud coinvolge l'abuso di credenziali valide, con un impressionante aumento del 442% delle operazioni di vishing tra la prima e la seconda metà del 2024.

Gli attacchi cross-domain sono diventati la norma, con il 70% degli incidenti di sicurezza che coinvolgono tre o più superfici di attacco, tra endpoint, reti e ambienti cloud. L'86% degli attacchi hands-on-keyboard è condotto da attori eCrime che mescolano attività malevole e operazioni legittime per eludere i sistemi di rilevamento.

Il quishing (QR code phishing) sta emergendo come nuova frontiera dell'ingegneria sociale. Gli attacchi basati su QR code malevoli sono aumentati del 587% nel secondo semestre del 2023, con diffusione significativa nel 2024 soprattutto in Svizzera. Nel 2025 il quishing diventa uno dei principali vettori di attacco nel panorama delle minacce social engineering.

Framework normativi: NIS2 e DORA

⬆ Torna su

La Direttiva NIS2 introduce nuovi obblighi di cybersecurity per grandi e medie imprese operanti in settori considerati critici. Le organizzazioni nel perimetro devono adottare processi strutturati per la gestione del rischio, garantire il presidio della catena di fornitura, segnalare tempestivamente gli incidenti e rispettare requisiti rigorosi in materia di governance, continuità operativa, backup, crittografia e gestione delle vulnerabilità.

La Direttiva DORA rappresenta un passo significativo verso il rafforzamento della resilienza operativa nel settore finanziario. Dal 17 gennaio 2025 la sicurezza delle terze parti diventa obbligatoria per i settori finanziari. L'AI Act getta le basi per una regolamentazione dell'intelligenza artificiale, con implicazioni dirette sulla sicurezza informatica.

Il NIST Cybersecurity Framework rappresenta la struttura di riferimento globale, con le cinque funzioni principali (Identify, Protect, Detect, Respond, Recover) che offrono un approccio completo alla gestione del rischio cibernetico. Lo standard ISO 27001 costituisce la base del sistema di gestione, mentre l'ISO 27017 introduce 44 controlli specifici per il cloud e l'ISO 27018 disciplina la protezione dei dati personali in ambienti cloud.

Architettura Zero Trust e CNAPP

⬆ Torna su

L'architettura Zero Trust sta diventando lo standard de facto nelle implementazioni moderne. Il principio cardine del "never trust, always verify" richiede la verifica continua e il monitoraggio costante di tutte le richieste di accesso, indipendentemente dalla posizione o dalle credenziali dell'utente. Il 61% delle organizzazioni ha già definito iniziative Zero Trust, mentre un ulteriore 35% prevede di implementarle a breve. Le soluzioni Zero Trust Network Access (ZTNA) stanno sostituendo le tradizionali VPN, offrendo controlli di accesso specifici per applicazione.

Secondo Gartner, entro il 2029 il 60% delle imprese prive di un CNAPP unificato non avrà visibilità sufficiente sul cloud e non riuscirà a raggiungere gli obiettivi di zero trust. Le piattaforme CNAPP integrano in un'unica soluzione funzionalità di Cloud Security Posture Management (CSPM), Cloud Workload Protection Platforms (CWPP) e Cloud Infrastructure Entitlements Management (CIEM). Le soluzioni leader includono Wiz, Palo Alto Networks Prisma Cloud e Microsoft Defender for Cloud.

Carenza di competenze e formazione

⬆ Torna su

Le lacune di competenze interessano il 98% delle organizzazioni e compromettono l'efficacia delle strategie di sicurezza. Il 95% ritiene che il gap di competenze abbia un impatto negativo sul business, mentre il 53% segnala carenze problematiche di competenze in ambito cybersecurity. Si stima che la carenza di professionisti della sicurezza cloud superi i 3 milioni a livello globale. Il World Economic Forum stima che entro il 2030 la carenza di professionisti possa oltrepassare gli 85 milioni di lavoratori a livello globale.

Gartner prevede che entro il 2027, oltre il 75% delle transazioni di autenticazione della forza lavoro e oltre il 40% delle transazioni di autenticazione dei clienti saranno senza password. L'autenticazione biometrica e i token hardware prendono il posto delle password tradizionali, sebbene i sistemi di autenticazione alternativi potrebbero diventare bersaglio di attacchi sempre più sofisticati.

Gestione della supply chain e rischi terze parti

⬆ Torna su

La gestione del rischio legato a fornitori di terze parti è diventata una sfida prioritaria. La dipendenza da enti esterni crea una catena di vulnerabilità difficile da controllare. Un fornitore con scarsa sicurezza può diventare il punto d'ingresso per attaccare anche le organizzazioni più protette. L'attacco a CCleaner del 2017 rappresenta un caso emblematico di compromissione interna e distribuzione inconsapevole di malware tramite una supply chain compromessa.

Le organizzazioni devono sviluppare strategie di cybersecurity a lungo termine, indirizzando esigenze di compliance e tutela aziendale adattandosi dinamicamente alle evoluzioni esterne. La gestione efficace del rischio richiede una strategia integrata che coinvolga l'intera organizzazione. L'adozione di un approccio strutturato alla gestione dei rischi di terze parti (TPRM) offre una solida base per sfruttare le opportunità di crescita e innovazione fornite dalla collaborazione con i fornitori.

Computing quantistico e minacce future

⬆ Torna su

Il quantum computing rappresenta una minaccia per la cybersecurity. Quando i computer quantistici diventeranno abbastanza potenti, potranno decifrare la maggior parte dei sistemi crittografici oggi in uso. Dati sensibili, comunicazioni sicure e transazioni finanziarie diventeranno vulnerabili, rendendo necessaria una completa rivoluzione dei sistemi di sicurezza. Le organizzazioni stanno iniziando a implementare tecniche di crittografia post-quantistica per prepararsi alle minacce dei computer quantistici.

I dispositivi IoT, con previsioni di oltre 55,7 miliardi di unità entro il 2025 in grado di generare quasi 80B zettabyte di dati, spesso progettati con approccio orientato più alle funzionalità che al security by design, vengono utilizzati per lanciare attacchi DDoS capaci di mettere in pericolo le infrastrutture informatiche aziendali. Una volta compromessi, vengono arruolati in botnet che possono generare volumi di traffico nell'ordine dei terabit al secondo.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La compressione temporale degli attacchi — ora completabili in 10 minuti o meno — riduce drasticamente la finestra di intervento umano, rendendo l'automazione difensiva non più opzionale ma strutturale. Il divario tra velocità offensiva e capacità di risposta potrebbe amplificare l'impatto degli errori di configurazione, che già rappresentano il fattore predominante nei fallimenti di sicurezza cloud.

• Scenario 1: Le organizzazioni che non implementano risposte automatizzate potrebbero trovarsi sistematicamente esposte a intrusioni completate prima dell'attivazione dei protocolli di difesa manuali.
• Scenario 2: La concentrazione del 99% dei fallimenti sul lato cliente potrebbe spingere verso una ridefinizione contrattuale del modello di responsabilità condivisa, con provider cloud chiamati a offrire maggiori garanzie configurative predefinite.
• Scenario 3: L'entrata in vigore di NIS2 e DORA potrebbe accelerare l'adozione di tecnologie difensive, trasformando l'adempimento normativo in driver tecnologico per la security.

Cosa monitorare

⬆ Torna su

• L'evoluzione del tempo medio di rilevamento e risposta rispetto alla velocità di esecuzione degli attacchi cloud.
• La percentuale di configurazioni errate negli ambienti cloud post-adeguamento normativo NIS2 e DORA.
• Il rapporto tra adozione di difese automatizzate e riduzione della progressione della kill chain.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.vectra.ai/topics/cyber-kill-chain
• https://www.cybersecurity360.it/nuove-minacce/cyberwarfare-tra-internal-hacking-servizi-cloud-e-infrastrutture-critiche-come-difenderci/
• https://www.digitech.news/learning/19/11/2025/cloud-e-cyber-difesa-come-proteggere-linfrastruttura-digitale-nellera-delle-minacce-avanzate/
• https://www.ictsecuritymagazine.com/articoli/cloud-security/
• https://blog.cyberoo.com/cybersecurity-2025-come-difendersi-dagli-attacchi-informatici
• https://www.agendadigitale.eu/sicurezza/cybersecurity-i-trend-del-2025-ai-cloud-e-minacce-come-tutelarsi/
• https://www.zerounoweb.it/techtarget/searchsecurity/guida-alla-sicurezza-nel-cloud-significato-sfide-e-best-practices/