Quando l'intruso sembra un dipendente: il problema delle identità compromesse
In un'epoca di lavoro ibrido, sedi distaccate, smart working e soluzioni cloud, la rete aziendale ha esteso il proprio perimetro in modo esponenziale. Un'organizzazione moderna si trova a gestire decine, a volte centinaia di account: dipendenti, collaboratori esterni, account di servizio, accessi applicativi, identità machine. Ognuno con i propri privilegi, le proprie credenziali, il proprio ciclo di vita.
È facile, in questo contesto, che si accumulino account inattivi mai disabilitati, privilegi concessi nel tempo e mai revocati, credenziali dimenticate ma ancora valide. Non per negligenza, ma semplicemente perché la complessità cresce più velocemente della capacità di gestirla. Il problema è che tutto questo patrimonio di identità abbandonate, non presidiate, apparentemente innocue, è un potenziale punto di ingresso.
Se un attaccante compromette un account con privilegi, ottiene accesso legittimo all'infrastruttura. Si muove, esplora, si sposta lateralmente. E agli occhi degli strumenti tradizionali sembra semplicemente un utente autenticato. Come si fa allora ad avere la certezza di chi accede davvero alla propria rete?
È esattamente la domanda al centro del nostro prossimo webinar gratuito, un appuntamento dedicato a chi vuole capire come governare identità e accessi in un perimetro aziendale che non ha più confini fisici:
Gestire le identità con rigore è il primo passo. Ma anche con IAM e PAM ben configurati, resta un gap: nessuno di questi strumenti monitora cosa succede dopo l'autenticazione. L'ideale sarebbe avere qualcosa che osservi in modo continuo il comportamento delle identità dentro l'infrastruttura, rilevi le anomalie in tempo reale e intervenga prima che il danno si estenda, preferibilmente gestito da chi ha le competenze per farlo 24/7.
Questa tecnologia esiste e si chiama ITDR - Identity Threat Detection and Response ("monitoraggio delle minacce all'identità e risposta") e l'abbiamo integrata come add-on nei nostri servizi MDR e MXDR, dove il SOC Cyberlys la gestisce operativamente, senza interruzioni. Per parlare dell'ITDR in modo approfondito, abbiamo creato un articolo dedicato.
Dal SOC Cyberlys: detection 24/7 anche per macOS
"I Mac non prendono virus." È una convinzione ancora diffusa, anche in aziende dove la cybersecurity è una priorità dichiarata. Ma il panorama è cambiato: i gruppi criminali più strutturati sviluppano oggi malware pensato specificamente per macOS, prendendo di mira sviluppatori, manager e figure decisionali, ruoli con accesso diretto a sistemi critici e dati sensibili.
A fine aprile è emersa la campagna "Mach-O Man", attribuita al gruppo Lazarus: un attacco che parte da un messaggio Telegram, porta la vittima su una falsa pagina di videoconferenza e la convince a eseguire un comando. Da quel momento il malware si installa, raccoglie dati e cancella le proprie tracce senza exploit sofisticati, ma solo ingegneria sociale.
Ma come includere i dispositivi macOS nella strategia di protezione aziendale? Ne ha parlato Achille D. , specialist del nostro SOC, in un articolo della rubrica Cyber Lab.
Il punto da ACN: categorizzazione delle attività e servizi NIS2
Dal 1 maggio al 30 giugno 2026 i soggetti NIS sono chiamati a completare la categorizzazione delle proprie attività e servizi sulla piattaforma ACN, in base alla determina 155238 del 20 aprile. Il processo richiede un'analisi di impatto semplificata su dieci macro-aree, con attribuzione di una categoria di rilevanza tra quattro livelli, da "impatto minimo" ad "impatto alto". Gli esiti determineranno le misure di sicurezza a lungo termine che ciascun soggetto dovrà adottare nella fase successiva
Rassegna stampa
Clusit 2026: come sta evolvendo il panorama degli attacchi in Italia
I dati Clusit 2026 confermano un cambio di passo qualitativo negli attacchi: l'AI accelera la raccolta di informazioni e combina vettori d'attacco complessi, rendendo l'attribution sempre più difficile. La PA resta il settore più colpito con il 36% degli attacchi totali. Cresce il rischio IoT (quasi l'86% degli eventi è riconducibile a botnet su dispositivi consumer) e si diffonde il carpet bombing, attacchi DDoS distribuiti su più target simultaneamente per restare sotto la soglia di rilevamento. (Cybersecurity 360)
Phishing a tema pedaggio autostradale: l'allarme del CSIRT Italia
Il CSIRT Italia ha segnalato una nuova campagna di phishing veicolata via WhatsApp: un messaggio invita a verificare un presunto mancato pagamento del pedaggio su una pagina clone di Autostrade per l'Italia, per poi sottrarre i dati della carta di credito. L'importo richiesto, soli 3,50 euro, è volutamente basso per abbassare la soglia di attenzione della vittima. (Cybersecurity Italia)
Vulnerabilità
Fortinet FortiAuthenticator – CVE-2026-44277 (CVSSv3 9.1)
Vulnerabilità critica di controllo degli accessi sugli endpoint API di FortiAuthenticator: un attaccante non autenticato può eseguire codice o comandi arbitrari tramite richieste crafted, senza necessità di credenziali. Impatto diretto sul componente centrale di autenticazione aziendale; versioni 6.5, 6.6 e 8.0 interessate. Aggiornare alle versioni 6.5.7, 6.6.9 o 8.0.3; in attesa di patch, disabilitare l'accesso API sulle interfacce esposte tramite Network → Interfaces → Access Rights. (Fortinet PSIRT)
Desideri approfondire i temi di questa edizione? Il nostro team è a disposizione per una consulenza gratuita. Se non l'hai ancora fatto, iscriviti anche alla nostra newsletter e-mail per non perderti gli ultimi aggiornamenti su contenuti, notizie ed eventi del mondo Cyberlys.
Il team Cyberlys