I cyber attack alle identità evolvono rapidamente: non si limitano più al furto di credenziali, ma prendono di mira l’intera infrastruttura delle imprese.

Paolo Cecchi ‒ Sales Director Mediterranean Region di SentinelOne ‒ spiega come l’approccio ITDR e zero trust basato sull’AI blocca gli attacchi alle identità aziendali e permette di migliorare la prima linea di difesa informatica.

I cyber attack alle identità oggi prendono di mira l’intera infrastruttura e compromettono i provider delle identità, sfruttando token OAuth ‒ credenziali utilizzate per autorizzare un’applicazione ad accedere a risorse protette per conto di un utente ‒, approfittano di configurazioni errate nei sistemi di directory locali e cloud, e si muovono lateralmente tra ambienti ibridi in modo quasi invisibile. Poiché le azioni avvengono tramite credenziali e percorsi di accesso legittimi, i sistemi di difesa tradizionali faticano a distinguere tra attività lecite e malevoli: oggi gli aggressori “accedono” invece di “irrompere”.

Approccio stratificato

Per rispondere a questo scenario, le organizzazioni devono adottare un approccio stratificato che unisca sistemi MFA (autenticazione a più fattori) che contrastano il phishing, monitoraggio continuo, ITDR (Identity Threat Detection and Response), analisi comportamentale avanzata e principi zero trust. Questo nuovo paradigma sposta l’attenzione dalla semplice autenticazione iniziale a una verifica dinamica e continua delle identità, del dispositivo e del contesto.

Forme di autenticazione

Tra le forme di autenticazione più efficaci figurano l’uso di passkey e credenziali FIDO2, l’eliminazione di protocolli legacy che indeboliscono la sicurezza, la riduzione dei privilegi tramite accesso minimo e provisioning just-in-time, oltre all’introduzione di sistemi in grado di identificare login anomali, escalation sospette e segnali di abuso dei token. È altrettanto cruciale adottare automazioni in grado di revocare token compromessi, bloccare account sospetti e forzare la ri-autenticazione immediata, così da contenere gli attacchi entro pochi minuti.

La IA sta poi trasformando la protezione delle identità. La IA generativa supporta la simulazione degli attacchi, il training anti-phishing e l’analisi rapida di eventi complessi, mentre la IA Agentic può collegare segnali eterogenei, valutare il rischio e attivare contromisure in automatico sotto la supervisione umana. L’analisi comportamentale crea modelli di normalità per utenti e macchine, rilevando variazioni sottili ma indicative, come movimenti laterali o uso improprio dei token. Integrate all’interno del framework zero trust, queste tecnologie consentono una verifica continua delle identità e un controllo adattivo degli accessi, rendendo la postura di difesa più reattiva e autonoma.

Un ruolo determinante rimane quello del fattore umano. Anche la migliore tecnologia può essere vanificata da errori come cliccare link di phishing, riutilizzare password o approvare richieste MFA fraudolente. La sicurezza richiede quindi una cultura diffusa, fatta di apprendimento continuo, simulazioni regolari, processi di segnalazione semplici e consapevolezza delle nuove minacce come deepfake e furto di sessione. Allo stesso tempo, i controlli devono essere intuitivi e prevedere autenticazione contestuale, alert intelligenti e processi snelli che possano aiutare i collaboratori senza ostacolarli.

Autenticazione adattativa

L’equilibrio tra sicurezza e attrito per l’utente si ottiene tramite l’autenticazione adattativa, che aumenta i controlli solo quando il rischio lo richiede. Le tecnologie passwordless – come passkey e biometria – migliorano sia la protezione sia l’esperienza d’uso eliminando l’anello più debole della catena. Nel frattempo, verifiche continue in background mantengono sicura la sessione senza bombardare l’utente di richieste MFA inutili.

Molte aziende cadono in errori tipici: trattano la sicurezza delle identità come un progetto unico anziché come un processo continuo, trascurano le identità non umane (macchine e account di servizio), mantengono protocolli obsoleti che bypassano l’MFA e trascurano l’igiene di base confermando account inattivi e privilegi eccessivi. Un altro errore è considerare la consapevolezza come opzionale. Al contrario, una strategia efficace richiede governance, automazione, revisione periodica dei permessi e integrazione costante tra telemetria delle identità e strumenti di rilevamento delle minacce.

Intelligenza artificiale pro e contro

Guardando al futuro, tra i principali trend si evidenziano: l’uso della IA da parte degli aggressori, la crescente automatizzazione delle difese e la convergenza degli ecosistemi delle identità digitali. La IA consente campagne di phishing estremamente credibili, deepfake vocali o video e manipolazioni che superano la percezione umana. I sistemi di difesa risponderanno con IA Agentic in grado di correlare segnali, adattarsi e contenere automaticamente le minacce in real-time. Parallelamente, l’adozione di architetture zero trust renderà la verifica continua uno standard operativo. Inoltre, le identità digitali decentralizzate e verificabili ridurranno l’esposizione alle credenziali tradizionali, mentre iniziative nazionali sulle identità digitale imporranno un equilibrio tra privacy, sicurezza e interoperabilità.

In sintesi

Proteggere le identità aziendali significa combinare tecnologia avanzata, automazione intelligente e consapevolezza umana. L’obiettivo non è migliorare solo le password, ma trasformare le identità come cuore di una sicurezza dinamica, adattiva e resiliente.
Molte aziende cadono in errori tipici: trattano la sicurezza delle identità come un progetto unico anziché come un processo continuo, trascurano le identità non umane, mantengono protocolli obsoleti che bypassano l’MFA e trascurano l’igiene di base confermando account inattivi e privilegi eccessivi. Un altro errore è considerare la consapevolezza come opzionale. Al contrario, una strategia efficace richiede governance, automazione, revisione periodica dei permessi e integrazione costante tra telemetria delle identità e strumenti di rilevamento delle minacce.