.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
In un mondo in cui tutto cambia rapidamente, può essere interessante e istruttivo osservare ciò che invece rimane invariato. Per tutto il 2025 molti hanno sostenuto — come già negli ultimi anni — che questo sarebbe stato l’anno in cui l’IA avrebbe inciso in modo significativo sul panorama delle minacce.
A parte alcuni utilizzi comprovati dell’IA per potenziare phishing e altre truffe sociali, e qualche titolo sensazionalistico di troppo, questo non è accaduto. L’Active Adversary Report di quest’anno descrive cosa è successo davvero — inclusa una novità che merita attenzione.
Gli attaccanti del 2025 hanno utilizzato gli stessi strumenti, tecniche e procedure (TTP) di sempre. L’abuso di strumenti legittimi è rimasto costante, così come la mancata applicazione di blocchi su categorie di tool notoriamente sfruttate. La carenza di telemetria ha continuato a rendere difficile per i team di difesa distinguere il segnale dal rumore, mentre l’assenza di autenticazione multifattore (MFA) resistente al phishing ha offerto ai criminali un accesso silenzioso.
Il cambiamento più preoccupante, maturato nel tempo, è la predominanza delle cause legate all’identità — attacchi brute-force, phishing e altre tecniche basate su credenziali compromesse — come principale vettore di accesso iniziale riuscito. Queste tattiche sfruttano vulnerabilità che non possono essere risolte con una semplice gestione delle patch e, talvolta, amplificano attacchi già in corso, come documentato nel Case Study di quest’anno.
Se rilevamento e risposta si sono dimostrati efficaci, non va dimenticato il ruolo cruciale della prevenzione. Il report riassume quanto emerso dalle indagini di incident response e offre indicazioni pratiche per prevenire le TTP più comuni. (Bloccate Python oggi e ci ringrazierete domani. Continuate a leggere per scoprire perché.)
Punti chiave
- La GenAI aumenta velocità, volume e rumore nel panorama delle minacce… ma per ora poco più.
- Le tattiche legate all’identità — credenziali compromesse, brute-force e phishing — restano la principale causa di accesso iniziale.
- Pochi cambiamenti negli strumenti e nelle TTP; tuttavia, un semplice accorgimento di blocco potrebbe fare una grande differenza.
- Ridurre la raccolta di telemetria per risparmiare è miope e controproducente.
- La prevenzione resta più efficace del solo rilevamento, in termini di risultati e risorse impiegate.
Origine dei dati
I dati di questa edizione provengono da casi gestiti tra il 1° novembre 2024 e il 31 ottobre 2025 dai team di Sophos Incident Response (IR), inclusi quelli del gruppo Secureworks, e dal team che segue i casi critici tra i clienti Managed Detection and Response (MDR). Nel report, li indichiamo come IR e MDR. Quando opportuno, confrontiamo i 661 casi selezionati con dati precedenti di Sophos X-Ops, a partire dal lancio del servizio IR nel 2020.
L’84% del dataset riguarda organizzazioni con meno di 1.000 dipendenti; il 56% ne conta 250 o meno.
Quanto ai settori, come nelle precedenti edizioni, il manifatturiero (19,82%) è stato quello che più ha richiesto l’intervento di Sophos X-Ops. Seguono Finanza (8,93%), Costruzioni (8,62%), IT (6,96%) e Sanità (6,35%). In totale, il dataset 2025 copre 34 settori industriali.
Leggi tutto il report: https://www.sophos.com/en-us/blog/2026-sophos-active-adversary-report