Il divario tra le minacce ransomware e le difese volte a fermarle sta peggiorando anziché migliorare. Il rapporto sullo stato della sicurezza informatica del 2026 di Ivanti rileva che esiste un divario di preparazione Media di 10 punti ogni anno In ogni categoria di minaccia tracciata dall’azienda. Il ransomware è quello che si diffonde più ampiamente: il 63% dei professionisti della sicurezza lo considera una minaccia elevata o critica, ma solo il 30% afferma di essere “molto preparato” a difendersi da esso. Ciò rappresenta una differenza di 33 punti rispetto ai 29 punti di un anno fa.
Il 2025 Identity Security Outlook di CyberArk definisce il problema in numeri: 82 identità macchina per ogni persona nelle organizzazioni di tutto il mondo. Il 42% di queste identità macchina ha accesso privilegiato o sensibile.
Il framework più autorevole del playbook ha lo stesso punto cieco
Guida alla preparazione del ransomware di Gartner, nota di ricerca di aprile 2024 “Come prepararsi agli attacchi ransomware?” Questo documento, a cui fanno riferimento i team di sicurezza aziendali quando creano procedure di risposta agli incidenti, esprime specificamente la necessità di reimpostare le “credenziali utente/host interessate” durante il contenimento. Il Ransomware Playbook Toolkit incluso guida i team attraverso quattro fasi: contenimento, analisi, riparazione e ripristino. Il passaggio di reimpostazione delle credenziali indica ai team di garantire che tutti gli account degli utenti e dei dispositivi interessati vengano reimpostati.
Non sono presenti account di servizio. Lo stesso vale per le chiavi API, i token e i certificati. Il framework tattico più utilizzato nella sicurezza aziendale si ferma alle credenziali umane e dei dispositivi. Le organizzazioni che lo seguono ereditano inconsapevolmente questo punto cieco.
La stessa nota di ricerca identifica il problema senza fornire una soluzione. Gartner avverte che “le scarse pratiche di gestione delle identità e degli accessi (IAM)” rimangono il punto di partenza principale per gli attacchi ransomware e che credenziali precedentemente compromesse vengono utilizzate per ottenere l’accesso tramite agenti di accesso iniziale e dump di dati sul dark web. Le indicazioni nella sezione di ripristino sono chiare: l’aggiornamento o la rimozione delle credenziali compromesse è importante perché senza questo passaggio l’aggressore riacquisterà l’accesso. Gli ID macchina sono IAM. Gli account di servizio compromessi sono credenziali. Ma le procedure di contenimento del playbook non affrontano nulla di tutto ciò.
Gartner inquadra l’urgenza in termini eguagliati da poche altre fonti: “Il ransomware è diverso da altri incidenti di sicurezza”, afferma la nota di ricerca. “Ciò mette le organizzazioni interessate in un conto alla rovescia. Qualsiasi ritardo nel processo decisionale introduce rischi aggiuntivi.” Le stesse linee guida evidenziano che i costi di ripristino possono essere fino a 10 volte superiori al riscatto stesso e che il ransomware viene distribuito entro un giorno dall’accesso iniziale in oltre il 50% degli attacchi. Il tempo stringe già, ma le procedure di contenimento non corrispondono all’urgenza; non quando non viene affrontata la classe di credenziali in più rapida crescita.
Il divario di preparazione è più profondo di qualsiasi sondaggio
Il rapporto di Ivanti tiene traccia delle vulnerabilità in tutte le principali categorie di minacce, tra cui ransomware, phishing, vulnerabilità del software, vulnerabilità relative alle API, attacchi alla catena di fornitura e persino crittografia debole. Ciascuno si espandeva di anno in anno.
“Sebbene i sostenitori siano ottimisti riguardo alle promesse dell’intelligenza artificiale nella sicurezza informatica, i risultati di Ivanti mostrano anche che le aziende stanno rimanendo sempre più indietro nella preparazione a difendersi da una varietà di minacce”, ha affermato Daniel Spicer, Chief Security Officer di Ivanti. “Io chiamo questo “gap di preparazione alla sicurezza informatica”, uno squilibrio persistente che cresce anno dopo anno nella capacità di un’organizzazione di difendere i propri dati, persone e reti da un panorama di minacce in evoluzione”.
Sondaggio sullo stato del ransomware 2025 di CrowdStrike mostra come si presenta questo divario per settore. Solo il 12% dei produttori che si sono dichiarati “molto ben preparati” si sono ripresi entro 24 ore e il 40% ha subito interruzioni operative significative. Le organizzazioni del settore pubblico sono andate ancora peggio: un miglioramento del 12% nonostante una fiducia del 60%. In tutti i settori, solo il 38% delle organizzazioni che hanno subito un attacco ransomware ha risolto il problema specifico che ha consentito agli aggressori di entrare. Il resto ha investito in miglioramenti generali della sicurezza senza chiudere il punto di ingresso effettivo.
Secondo il rapporto del 2026, il 54% delle organizzazioni ha dichiarato che pagherebbe o probabilmente pagherebbe se fosse esposta oggi al ransomware, nonostante le indicazioni dell’FBI contro il pagamento. Questa disponibilità a pagare riflette una fondamentale mancanza di alternative di contenimento esattamente del tipo che fornirebbero le procedure di identificazione automatica.
Dove i manuali di identità delle macchine non sono all’altezza
Cinque fasi di contenimento definiscono oggi la maggior parte delle procedure di risposta al ransomware. In ognuno di essi mancano gli ID macchina.
Le reimpostazioni delle credenziali non sono destinate alle macchine
Reimpostare la password di ogni dipendente dopo un incidente è una pratica standard, ma non fermerà il movimento laterale su un account di servizio compromesso. Il modello di playbook di Gartner mostra chiaramente il punto cieco.
La pagina di protezione dell’esempio di Ransomware Playbook elenca tre passaggi di reimpostazione delle credenziali: forzare la disconnessione di tutti gli account utente interessati tramite Active Directory, forzare la modifica della password per tutti gli account utente interessati tramite Active Directory e reimpostare l’account del dispositivo tramite Active Directory. Tre passaggi, tutto Active Directory, zero credenziali non umane. Nessun account di servizio, nessuna chiave API, nessun token, nessun certificato. Le credenziali della macchina necessitano di una propria catena di comando.
Nessuno inventaria gli ID macchina prima di un incidente
Non puoi reimpostare credenziali di cui non sai l’esistenza. Gli account di servizio, le chiavi API e i token necessitano di assegnazioni di proprietà mappate prima dell’evento. Ci sarebbero voluti giorni per trovarli nel bel mezzo della breccia.
Secondo il rapporto di Ivanti, solo il 51% delle organizzazioni ha un punteggio di rischio per la sicurezza informatica; Ciò significa che quasi la metà di loro non potrà dire al consiglio che la propria identità macchina è stata compromessa quando gli verrà chiesto domani. Sebbene il 64% investa nella gestione del rischio, solo il 27% valuta la propria valutazione dell’esposizione al rischio come “eccellente”. Il divario tra investimento e implementazione è il punto in cui le identità delle macchine scompaiono.
L’isolamento della rete non annulla le catene di fiducia
La rimozione di una macchina dalla rete non revoca le chiavi API rilasciate ai sottosistemi. Il vincolo che si trova sul perimetro della rete presuppone che la fiducia sia limitata dalla topologia. Gli ID macchina non rispettano questo limite. Si autenticano attraverso questo.
La nota di ricerca di Gartner avverte che gli aggressori potrebbero trascorrere giorni o mesi a scavare e ottenere movimenti laterali all’interno delle reti, raccogliendo credenziali per la persistenza prima di distribuire il ransomware. Durante questa fase di scavo, gli account di servizio e i token API sono le credenziali più facilmente raccolte senza attivare avvisi. Secondo CrowdStrike, il 76% delle organizzazioni è preoccupato di impedire al ransomware di diffondersi da un host non gestito sulle condivisioni di rete delle PMI. I leader della sicurezza devono mappare quali sistemi si fidano dell’identità di ciascuna macchina in modo da poter revocare l’accesso all’intera catena, non solo all’endpoint compromesso.
La logica di rilevamento non è progettata per il comportamento della macchina
Il comportamento anomalo dell’ID macchina non attiva gli avvisi nello stesso modo in cui lo fa un account utente compromesso. Volumi di chiamate API insoliti, token utilizzati al di fuori delle finestre di automazione e account di servizio che si autenticano da nuove posizioni richiedono regole di rilevamento che la maggior parte dei SOC non scrive. Dal sondaggio di CrowdStrike è emerso che l’85% dei team di sicurezza concorda sul fatto che i metodi di rilevamento tradizionali non possono tenere il passo con le minacce moderne. Tuttavia, solo il 53% ha implementato il rilevamento delle minacce basato sull’intelligenza artificiale. La logica di rilevamento per rilevare l’uso improprio dell’identità della macchina è praticamente inesistente nella maggior parte degli ambienti.
Gli account di servizio legacy rimangono il punto di ingresso più semplice
Gli account che non vengono modificati da anni, alcuni creati da dipendenti che se ne sono andati da tempo, rappresentano la superficie più debole per gli attacchi basati su macchine.
Le linee guida di Gartner richiedono un’autenticazione forte per “utenti privilegiati come amministratori di database e infrastrutture e account di servizio”, ma tale raccomandazione si trova nella sezione di prevenzione, non nel playbook di contenimento di cui i team hanno bisogno durante un incidente attivo. Gli audit dei conti orfani e i programmi di rotazione rientrano nei preparativi pre-incidente, non nelle lotte post-violazione.
L’economia lo rende urgente adesso
L’agente AI aggraverà il problema. Secondo il rapporto Ivanti, l’87% dei professionisti della sicurezza afferma che l’integrazione dell’intelligenza artificiale delle agenzie è una priorità e il 77% afferma di essere a proprio agio nel consentire all’intelligenza artificiale autonoma di agire senza supervisione umana. Ma solo il 55% utilizza guardrail formali. Ogni agente autonomo crea nuove identità macchina, identità che autenticano, prendono decisioni e agiscono in modo indipendente. Se le organizzazioni non riescono a gestire le identità macchina di cui dispongono oggi, sono sul punto di aggiungerne molte altre.
Gartner stima che il costo totale del recupero sia 10 volte superiore al riscatto stesso. CrowdStrike stima che il costo medio di interruzione del ransomware sia di 1,7 milioni di dollari per incidente, con una media di 2,5 milioni di dollari per le organizzazioni del settore pubblico. Pagare non aiuta. Il 93% dei contribuenti ha già subito il furto dei propri dati e l’83% è stato nuovamente attaccato. Quasi il 40% non è riuscito a ripristinare completamente i dati dai backup dopo incidenti di ransomware. L’economia del ransomware si è professionalizzata al punto che i gruppi concorrenti ora crittografano in remoto i file da sistemi non gestiti su condivisioni di rete delle PMI e non trasferiscono mai il file binario del ransomware su un endpoint gestito.
Integrando un inventario delle identità delle macchine, regole di rilevamento e procedure di protezione nel loro programma, i leader della sicurezza saranno ora in grado non solo di chiudere la vulnerabilità che gli aggressori stanno sfruttando oggi, ma anche di gestire le identità autonome che verranno in futuro. Il test è se queste aggiunte sopravvivranno al prossimo esercizio di simulazione. Se non possono durare lì, non dureranno nemmeno in un evento reale.
