Il 70 percento dei breach parte da credenziali compromesse
Il dato parla chiaro: la maggioranza delle violazioni informatiche nel 2025 non parte da exploit sofisticati o malware zero-day, ma da credenziali rubate, riutilizzate o ottenute tramite phishing. Il pattern si ripete con regolarità preoccupante: un attaccante ottiene username e password validi, fa login come utente autorizzato, il sistema IAM conferma l’accesso come legittimo e non scatta alcun alert. Da quel momento, l’attaccante si muove lateralmente nella rete, scala i privilegi ed estrae dati con un tempo medio di scoperta che supera i sei mesi.
Un caso concreto illustra la dinamica. Un dipendente del reparto finanziario con accesso legittimo al repository documentale aziendale. Il suo pattern abituale prevede login in orario lavorativo, accesso ai report finanziari, download di pochi documenti al giorno. Una notte, le stesse credenziali vengono utilizzate per un login alle 3 del mattino da una location estera, con accesso al server archivio completo e download massivo di dati sensibili. Identity Access Management vede un utente autorizzato con credenziali valide e accesso consentito. Nessun alert. Il breach viene scoperto mesi dopo, quando i dati compaiono su forum underground.
Il problema di fondo: IAM gestisce chi puo accedere a cosa, ma non rileva quando quell’accesso viene abusato. Con l’adozione del cloud, il workforce distribuito e la proliferazione di applicazioni SaaS, il perimetro di rete tradizionale si e dissolto. La superficie di attacco non e piu il firewall, ma l’identita stessa.
Perche l’autenticazione a due fattori non basta
L’obiezione ricorrente e che l’implementazione di MFA dovrebbe risolvere il problema. La realta e diversa. MFA protegge il momento del login, ma non protegge cio che succede dopo che l’autenticazione e completata.
I vettori di bypass sono concreti e documentati. Il primo e l’MFA fatigue, o push bombing: l’attaccante invia centinaia di richieste di autenticazione consecutive fino a quando l’utente, esausto dalle notifiche continue, approva per sbaglio. Il secondo e il session hijacking: l’utente completa legittimamente il MFA, il browser salva un cookie di sessione valido per ore, e un malware lo ruba per importarlo in un altro browser. Il terzo e l’adversary-in-the-middle, dove un reverse proxy si interpone tra l’utente e il sito legittimo per intercettare credenziali e token di sessione in tempo reale.
Strumenti come EvilGinx3 e Tycoon 2FA hanno reso questi attacchi accessibili anche a operatori con competenze limitate, con kit pronti all’uso venduti nel mercato underground. Il risultato e che MFA riduce il rischio in modo significativo ma non lo elimina. Protegge il login, non la sessione. Non rileva quando un utente legittimo scarica quantita anomale di dati nel cuore della notte da una location insolita. Per questo serve un layer diverso.
ITDR: rilevare l’abuso quando le credenziali sono valide
Identity Threat Detection and Response e un framework progettato per rilevare e rispondere a minacce basate sull’identita in tempo reale. Non gestisce gli accessi come IAM, ma rileva quando un accesso autorizzato viene abusato. La differenza e sostanziale: IAM gestisce la prevenzione decidendo chi puo accedere a cosa, mentre ITDR gestisce detection e response assumendo che le identita possano essere compromesse nonostante le misure preventive.
ITDR si basa su tre pilastri tecnici. Il primo e la behavioral analytics: il sistema stabilisce una baseline del comportamento normale per ogni utente usando machine learning, profilando orari di login tipici, location geografiche abituali, device utilizzati, applicazioni accedute e volumi di dati scaricati. Il secondo e l’anomaly detection: il sistema compara l’attivita in tempo reale con la baseline per identificare deviazioni significative come impossible travel, escalation di privilegi inaspettata, pattern di accesso anomali e volumi di download sospetti. Il terzo e l’automated response: quando viene rilevata un’anomalia critica, il sistema risponde automaticamente terminando sessioni, revocando token e isolando account in base alla severita.
La differenza rispetto ai sistemi rule-based tradizionali e fondamentale. Un SIEM puo generare un alert per ogni login fuori orario ufficio, producendo masse di falsi positivi. ITDR sa che un determinato developer fa regolarmente deploy alle 22, e non genera alert. Ma se lo stesso developer accede al database HR alle 22 per la prima volta in tre anni, ITDR rileva l’anomalia.
IAM, ITDR, EDR, XDR: complementari, non sostitutivi
La confusione sul mercato tra questi quattro acronimi e reale, ma la distinzione e chiara. IAM gestisce la prevenzione prima del login con tecnologie come MFA, SSO e RBAC. ITDR gestisce detection e response durante e dopo il login con behavioral analytics e anomaly detection. EDR monitora gli endpoint per malware, exploit e attacchi a livello di sistema. XDR unifica la visibilita correlando dati da identity, endpoint, network e cloud.
Il punto critico: sono complementari, non sostitutivi. Lo stack ideale per una protezione efficace include tutti e quattro i layer. IAM previene gli accessi non autorizzati. ITDR rileva l’abuso di accessi autorizzati. EDR protegge i dispositivi. XDR unifica tutto in una visione correlata.
Punti chiave per le PMI
- NIS2 richiede detection entro 24 ore: senza ITDR, scoprire un breach basato su credenziali compromesse puo richiedere settimane, rendendo impossibile rispettare le tempistiche di notifica al CSIRT Italia
- Le assicurazioni cyber stanno alzando l’asticella: i questionari 2026 chiedono esplicitamente se l’azienda dispone di behavioral analytics sulle identita, e la risposta influenza il premio assicurativo
- MFA e necessario ma non sufficiente: implementare l’autenticazione a due fattori e il primo passo, ma non protegge da session hijacking, MFA fatigue e adversary-in-the-middle
- Il SOC ha bisogno di meno rumore: ITDR riduce i falsi positivi del 60-80 percento rispetto agli alert rule-based tradizionali, liberando gli analisti per investigazioni sostanziali
- Partire dalla visibilita: prima di implementare ITDR, mappare tutte le identita critiche, i service account e i flussi di accesso privilegiato nella propria infrastruttura
Conclusione
L’identity e diventato il perimetro primario della sicurezza informatica. Il workforce distribuito, il cloud e la proliferazione SaaS hanno dissolto i confini di rete tradizionali. IAM resta fondamentale per la prevenzione, ma da solo non basta: quando le credenziali sono valide e l’accesso e autorizzato, solo la behavioral analytics di ITDR puo rilevare l’abuso in tempo reale. Per i CISO delle PMI italiane, la combinazione IAM e ITDR non e un investimento opzionale, ma una necessita operativa per rispettare NIS2, ottenere copertura assicurativa adeguata e proteggere davvero il patrimonio informativo aziendale.