Il superpotere che nessuno vede 

Se è vero che gli attacchi informatici sono ormai diventati la regola, le aziende devono essere in grado di affrontare anche questo tipo di minaccia. Il «superpotere» in tal senso si chiama resilienza, una qualità che si applica anche, ma non solo, nell’ambito della cibersicurezza.

1 dicembre 2025, Testo Andreas Heer, Foto: Swiss Cyber Storm        4 min

Immaginate che la vostra azienda venga giudicata non solo in base all’impenetrabilità delle proprie mura, ma anche alla sua velocità di recupero a seguito di un attacco informatico. Questo tipo di resilienza è rappresentata dal superpotere invisibile della cibersicurezza. Si tratta di una capacità spesso sottovalutata, ma che riveste un ruolo decisivo qualora si verifichi un incidente informatico o emerga una nuova falla nella sicurezza. Basti pensare a «Log4J» o «xz». La conferenza sulla cibersicurezza Swiss Cyber Storm 2025(apre una nuova finestra) ha dimostrato che le aziende che concepiscono la resilienza in termini strategici rimangono operative anche in momenti di difficoltà.

Cosa significa resilienza nell’ambito della cibersicurezza?

La resilienza rappresenta molto più di una semplice difesa: è la capacità non solo di prevenire i possibili attacchi, ma anche di resistere agli attacchi effettivi risultandone rafforzati. Per le aziende di qualsiasi dimensione questo significa che la resilienza non rappresenta uno stato, bensì un processo continuo che coinvolge tecnologia, organizzazione e persone e che richiede di prepararsi agli imprevisti in modo da riuscire, in caso, a reagire con la massima flessibilità.

Scoprite le attuali tendenze in fatto di cibersicurezza e le minacce pertinenti.

Resilienza tecnica: Incident Response per M365

Il CSIRT B2B di Swisscom ha sviluppato un Incident Response Framework per Microsoft 365. Sulla base di determinate regole, tale sistema è in grado di individuare la procedura portata avanti dagli hacker e, inoltre, di supportare le aziende nella definizione delle misure volte a bloccare gli eventuali attacchi. Ad esempio, il Framework individua i «viaggi impossibili», ossia login effettuati da regioni diverse in un breve lasso di tempo, apparecchi MFA degli hacker registrati di recente o download di massa finalizzati all’esfiltrazione di dati aziendali.

Angelo Violetti, Incident Responder presso CSIRT B2B di Swisscom, ha inoltre offerto delle raccomandazioni operative destinate alle aziende e volte a incrementare la resilienza all’interno dei loro ambienti M365. Tra queste rientrano misure quali:

  • Autenticazione a più fattori a prova di phishing
  • Continuous Access Evaluation: controllo costante degli accessi, ad esempio alla ricerca di eventuali cambiamenti negli indirizzi IP
  • Conditional Access Policies finalizzate a disciplinare l’aggiunta di ulteriori apparecchi MFA 
  • Outbound Spam Policy volti a impedire invii di massa da account compromessi dagli hacker
  • Auditing e Logging nei sistemi SIEM volti a effettuare il monitoring all’interno del SOC
     

Tale Incident Response Framework non consente di prevenire qualsiasi attacco, ma mitiga e contiene rapidamente molti problemi.

Resilienza normativa: SBOM e nuovi requisiti

Sono finiti i tempi in cui i fornitori di software non si assumevano più alcuna responsabilità una volta effettuata la vendita. Infatti, le nuove regolamentazioni e gli obblighi di notifica, come il Cyber Resilience Act (CRA) all’interno dell’UE, puntano a migliorare la cibersicurezza soprattutto nell’ambito della supply chain del software. A partire da settembre 2026, i fornitori saranno tenuti a segnalare entro dei termini prestabiliti le lacune presenti all’interno dei loro prodotti e sfruttate dagli hacker. A tal fine, è necessario conoscere i componenti e le librerie effettivamente contenuti all’interno di un software, ad esempio al fine di individuare eventuali pacchetti manomessi nei repository NPM o PyPi. A tal fine risultano indispensabili le SBOM (Software Bill of Materials). Tuttavia, sebbene l’approccio risulti alquanto chiaro, la relativa attuazione comporta alcune sfide:

  • È necessaria una verifica automatizzata volta a gestire l’elevato numero di dipendenze e lacune.
  • Non tutte le lacune vengono pubblicate come CVE (Common Vulnerabilities and Exposures), dal momento che la denominazione risulta spesso non univoca e il NVD (National Vulnerability Database) non viene aggiornato costantemente. 
  • Gli standard aperti SBOM come CycloneDX(apre una nuova finestra) di OWASP e l’interoperabilità diventano quindi un requisito fondamentale al fine di verificare in modo efficiente le possibili lacune.

Per essere resiliente è quindi necessario dotarsi di mezzi non solo tecnici, ma anche organizzativi e normativi, ed essere pronti ad assumersi la responsabilità dell’intera catena di fornitura.

La resilienza nell’ambito delle infrastrutture del cloud globali

La dipendenza dai provider cloud statunitensi comporta rischi geopolitici e giuridici per la sicurezza dei dati a livello di riservatezza e disponibilità degli stessi. Al fine di mantenere, o sviluppare, un atteggiamento resiliente sono presenti diverse opzioni tecniche e organizzative; entrambe presentano tuttavia alcuni svantaggi di cui è importante tenere conto:

  • Hold Your Own Key (HYOK): tutti i dati passano attraverso un proxy di codifica, che incrementa la sicurezza, ma che risulta anche più costoso e limitante. 
  • Confidential Computing: i dati rimangono codificati e vengono decodificati solo nella CPU; tuttavia, anche in questo caso permangono dei rischi residui sotto forma di falle nella sicurezza.
  • Architetture ibride: benché consenta di memorizzare e proteggere a livello locale i dati sensibili, questo metodo richiede comunque la garanzia che tali dati non vengano elaborati all’interno di un cloud, ad esempio, nel momento in cui un software antivirus analizza online un file alla ricerca di malware.
     

È fondamentale che le aziende riescano a comprendere e controllare i propri flussi di dati in modo da plasmare attivamente la propria resilienza.

Resilienza umana: collaborare con l’IA

L’IA può contribuire a rafforzare le «difese immunitarie» e, quindi, la resilienza nell’ambito della cibersicurezza? Da uno studio meta-analitico condotto dal Politecnico federale di Zurigo è emerso che il lavoro di squadra non risulta sempre migliore rispetto a quello svolto da un singolo individuo o dall’IA. È fondamentale assegnare i compiti in modo da permettere sia al collaboratore che alla macchina di sfruttare a pieno i rispettivi punti di forza:

  • Nei compiti in cui il collaboratore risulta più efficiente, la collaborazione con l’IA può contribuire a migliorare le prestazioni.
  • Nel caso in cui sia invece l’IA a risultare più efficace, tali compiti dovrebbero essere svolti interamente dall’IA, pur continuando a coinvolgere il collaboratore nell’ambito del processo. 
  • Un corretto allineamento tra il modello basato sull’IA e quello basato sul capitale umano si rivela infatti decisivo. 
  • La fiducia sia nei sistemi che nelle proprie capacità risulta infatti il fattore alla base della resilienza.

Tirando le somme: la resilienza come superpotere strategico

La resilienza non rappresenta solo una caratteristica auspicabile, bensì il fattore decisivo per sopravvivere in un mondo dominato dalle incertezze. Chi concepisce la resilienza come un superpotere strategico è in grado non solo di respingere gli attacchi, ma anche di cogliere le opportunità che si presentano e di rimanere operativo anche in caso di imprevisti. Come evidenziato da Swiss Cyber Storm 2025, resilienza significa, al tempo stesso: lavoro di squadra, tecnica, organiz­zazione e atteggiamento. La resilienza è il superpotere che nessuno vede, ma che determina tutto.

Threat Detection & Response: la cyberdifesa modulare

Optando per Threat Detection & Response (TDR) difendete dai cyberattacchi la vostra impresa. Scegliete una cyberdifesa con Managed Security Services.

Per saperne di più sull'argomento