Il divario tra le minacce ransomware e le difese destinate a fermarle sta peggiorando, anziché migliorare. Il rapporto sullo stato della sicurezza informatica del 2026 di Ivanti ha rilevato che il divario di preparazione è aumentato di un media di 10 punti anno su anno in ogni categoria di minaccia monitorata dall’azienda. Il ransomware ha colpito la diffusione più ampia: il 63% dei professionisti della sicurezza lo considera una minaccia elevata o critica, ma solo il 30% afferma di essere “molto preparato” a difendersi da esso. Si tratta di un divario di 33 punti, rispetto ai 29 punti di un anno fa.
Il 2025 Id Safety Panorama di CyberArk fornisce i numeri al problema: 82 identità macchina per ogni essere umano nelle organizzazioni di tutto il mondo. Il 42% di queste identità macchina ha accesso privilegiato o sensibile.
Il framework più autorevole del playbook ha lo stesso punto cieco
Guida alla preparazione del ransomware di Gartner, nota di ricerca di aprile 2024 “Come prepararsi agli attacchi ransomware” a cui i staff di sicurezza aziendali fanno riferimento quando creano process di risposta agli incidenti, richiama in particolare la necessità di reimpostare le “credenziali utente/host interessate” durante il contenimento. Il Ransomware Playbook Toolkit accompagnato accompagna i staff attraverso quattro fasi: contenimento, analisi, riparazione e ripristino. Il passaggio di reimpostazione delle credenziali indica ai staff di garantire che tutti gli account degli utenti e dei dispositivi interessati vengano reimpostati.
Gli account di servizio sono assenti. Lo stesso vale per le chiavi API, i token e i certificati. Il framework di playbook più utilizzato nella sicurezza aziendale si ferma alle credenziali umane e dei dispositivi. Le organizzazioni che lo seguono ereditano quel punto cieco senza rendersene conto.
La stessa nota di ricerca identifica il problema senza collegarlo alla soluzione. Gartner avverte che “pratiche inadeguate di gestione delle identità e degli accessi (IAM)” rimangono un punto di partenza primario per gli attacchi ransomware e che credenziali precedentemente compromesse vengono utilizzate per ottenere l’accesso tramite dealer di accesso iniziale e dump di dati sul darkish net. Nella sezione di ripristino, la guida è esplicita: aggiornare o rimuovere le credenziali compromesse è essenziale perché, senza questo passaggio, l’aggressore riacquisterà l’accesso. Le identità della macchina sono IAM. Gli account di servizio compromessi sono credenziali. Ma le process di contenimento del playbook non affrontano nessuno dei due.
Gartner inquadra l’urgenza in termini che poche altre fonti corrispondono: “Il ransomware è diverso da qualsiasi altro incidente di sicurezza”, afferma la nota di ricerca. “Mette le organizzazioni interessate su un timer per il conto alla rovescia. Qualsiasi ritardo nel processo decisionale introduce rischi aggiuntivi.” Le stesse linee guida sottolineano che i costi di ripristino possono ammontare a ten volte il riscatto stesso e che il ransomware viene distribuito entro un giorno dall’accesso iniziale in oltre il 50% dei casi. Il tempo è già in funzione, ma le process di contenimento non corrispondono all’urgenza, non quando la classe di credenziali in più rapida crescita non viene affrontata.
Il deficit di preparazione è più profondo di qualsiasi singola indagine
Il rapporto di Ivanti traccia il divario di preparazione in tutte le principali categorie di minacce: ransomware, phishing, vulnerabilità del software program, vulnerabilità relative alle API, attacchi alla catena di fornitura e persino crittografia scadente. Ognuno di essi si è ampliato anno dopo anno.
“Sebbene i difensori siano ottimisti riguardo alle promesse dell’intelligenza artificiale nella sicurezza informatica, i risultati di Ivanti mostrano anche che le aziende sono ancora più indietro in termini di quanto sono ben preparate a difendersi da una varietà di minacce”, ha affermato Daniel Spicer, Chief Safety Officer di Ivanti. “Questo è ciò che io chiamo ‘deficit di preparazione alla sicurezza informatica’, uno squilibrio persistente, che si amplia di anno in anno nella capacità di un’organizzazione di difendere i propri dati, persone e reti dal panorama delle minacce in evoluzione.”
Sondaggio sullo stato del ransomware 2025 di CrowdStrike analizza l’aspetto di tale deficit per settore. Tra i produttori che si sono dichiarati “molto ben preparati”, solo il 12% si è ripreso entro 24 ore e il 40% ha subito significative interruzioni operative. Le organizzazioni del settore pubblico sono andate peggio: ripresa del 12% nonostante il 60% di fiducia. In tutti i settori, solo il 38% delle organizzazioni che hanno subito un attacco ransomware ha risolto il problema specifico che ha consentito l’accesso degli aggressori. Il resto ha investito in miglioramenti generali della sicurezza senza chiudere il punto di ingresso effettivo.
Secondo il rapporto del 2026, il 54% delle organizzazioni ha dichiarato che pagherebbe o probabilmente pagherebbe se colpita da un ransomware, nonostante le linee guida dell’FBI contrarie al pagamento. Questa disponibilità a pagare riflette una fondamentale mancanza di various di contenimento, esattamente del tipo che le process di identità delle macchine fornirebbero.
Dove i manuali di identità delle macchine non sono all’altezza
Cinque fasi di contenimento definiscono oggi la maggior parte delle process di risposta al ransomware. In ognuno di essi manca l’identità della macchina.
Le reimpostazioni delle credenziali non sono state progettate per le macchine
Reimpostare la password di ogni dipendente dopo un incidente è una pratica normal, ma non impedisce il movimento laterale attraverso un account di servizio compromesso. Il modello di playbook di Gartner mostra chiaramente il punto cieco.
Il foglio di contenimento dell’esempio di Ransomware Playbook elenca tre passaggi di reimpostazione delle credenziali: forzare la disconnessione di tutti gli account utente interessati tramite Lively Listing, forzare la modifica della password su tutti gli account utente interessati tramite Lively Listing e reimpostare l’account del dispositivo tramite Lively Listing. Tre passaggi, tutto Lively Listing, zero credenziali non umane. Nessun account di servizio, nessuna chiave API, nessun token, nessun certificato. Le credenziali della macchina necessitano di una propria catena di comando.
Nessuno inventaria le identità delle macchine prima di un incidente
Non puoi reimpostare credenziali di cui non sai l’esistenza. Gli account di servizio, le chiavi API e i token necessitano di assegnazioni di proprietà mappate prima dell’incidente. Scoprirli nel bel mezzo di una violazione costa giorni.
Solo il 51% delle organizzazioni ha un punteggio di esposizione alla sicurezza informatica, rileva il rapporto di Ivanti, il che significa che quasi la metà non potrebbe rivelare al consiglio di amministrazione la propria esposizione all’identità della macchina se gli venisse chiesto domani. Solo il 27% valuta la propria valutazione dell’esposizione al rischio come “eccellente”, nonostante il 64% investa nella gestione dell’esposizione. Il divario tra investimento ed esecuzione è il punto in cui le identità delle macchine scompaiono.
L’isolamento della rete non revoca le catene di fiducia
Estrarre una macchina dalla rete non revoca le chiavi API emesse ai sistemi a valle. Il contenimento che si ferma al perimetro della rete presuppone che la fiducia sia limitata dalla topologia. Le identità delle macchine non rispettano quel confine. Si autenticano attraverso di esso.
La nota di ricerca di Gartner avverte che gli avversari possono trascorrere giorni o mesi scavando e guadagnando movimenti laterali all’interno delle reti, raccogliendo credenziali per la persistenza prima di distribuire il ransomware. Durante questa fase di esplorazione, gli account di servizio e i token API sono le credenziali più facilmente raccolte senza attivare avvisi. Secondo CrowdStrike, il 76% delle organizzazioni è preoccupato di impedire al ransomware di diffondersi da un host non gestito sulle condivisioni di rete delle PMI. I chief della sicurezza devono mappare quali sistemi si fidano dell’identità di ciascuna macchina in modo da poter revocare l’accesso all’intera catena, non solo all’endpoint compromesso.
La logica di rilevamento non è stata creata per il comportamento della macchina
Il comportamento anomalo dell’identità della macchina non attiva avvisi come fa un account utente compromesso. Volumi di chiamate API insoliti, token utilizzati al di fuori delle finestre di automazione e account di servizio che si autenticano da nuove posizioni richiedono regole di rilevamento che la maggior parte dei SOC non ha scritto. Dal sondaggio di CrowdStrike è emerso che l’85% dei staff di sicurezza riconosce che i metodi di rilevamento tradizionali non riescono a tenere il passo con le minacce moderne. Tuttavia, solo il 53% ha implementato il rilevamento delle minacce basato sull’intelligenza artificiale. La logica di rilevamento in grado di individuare l’abuso dell’identità della macchina esiste a malapena nella maggior parte degli ambienti.
Gli account di servizio obsoleti rimangono il punto di ingresso più semplice
Gli account che non vengono ruotati da anni, alcuni creati da dipendenti che se ne sono andati molto tempo fa, rappresentano la superficie più debole per gli attacchi basati su macchine.
Le linee guida di Gartner richiedono un’autenticazione forte per “utenti privilegiati, come amministratori di database e infrastrutture e account di servizio”, ma story raccomandazione si trova nella sezione di prevenzione, non nel playbook di contenimento dove i staff ne hanno bisogno durante un incidente attivo. Gli audit degli account orfani e i programmi di rotazione rientrano nella preparazione pre-incidente, non nelle operazioni post-violazione.
L’economia lo rende urgente adesso
L’intelligenza artificiale moltiplicherà il problema. Secondo il rapporto Ivanti, l’87% dei professionisti della sicurezza afferma che l’integrazione dell’intelligenza artificiale degli agenti è una priorità e il 77% si dichiara a proprio agio nel consentire all’intelligenza artificiale autonoma di agire senza la supervisione umana. Ma solo il 55% utilizza guardrail formali. Ogni agente autonomo crea nuove identità macchina, identità che autenticano, prendono decisioni e agiscono in modo indipendente. Se le organizzazioni non riescono a governare le identità delle macchine che hanno oggi, sono sul punto di aggiungerne un ulteriore ordine di grandezza.
Gartner stima che i costi totali di recupero siano 10 volte superiori al riscatto stesso. CrowdStrike stima che il costo medio dei tempi di inattività del ransomware sia di 1,7 milioni di dollari per incidente, con una media di 2,5 milioni di dollari per le organizzazioni del settore pubblico. Pagare non aiuta. Il 93% delle organizzazioni che hanno pagato hanno subito comunque il furto dei dati e l’83% è stato nuovamente attaccato. Quasi il 40% non è riuscito a ripristinare completamente i dati dai backup dopo incidenti di ransomware. L’economia del ransomware si è professionalizzata al punto che i gruppi avversari ora crittografano i file in remoto su condivisioni di rete di PMI da sistemi non gestiti, senza mai trasferire il file binario del ransomware a un endpoint gestito.
I chief della sicurezza che inseriscono nei loro programmi un inventario delle identità delle macchine, regole di rilevamento e process di contenimento non solo colmeranno il divario sfruttato oggi dagli aggressori, ma saranno nella posizione di governare le identità autonome che arriveranno in futuro. Il take a look at è se tali aggiunte sopravviveranno al prossimo esercizio da tavolo. Se non reggono lì, non reggeranno in un incidente reale.
