Le identità macchina ransomware rappresentano oggi il punto cieco più pericoloso nei protocolli di sicurezza aziendale. Inoltre, il divario tra minacce e difese si sta allargando anziché ridursi. Secondo il report 2026 di Ivanti sullo stato della cybersecurity, il gap di preparazione è aumentato mediamente di 10 punti anno su anno in ogni categoria di minaccia monitorata.
Grazie per avere letto questo articolo, non dimenticare di iscriverti al nostro feed!
Il ransomware registra il divario più ampio: il 63% dei professionisti della sicurezza lo considera una minaccia critica, ma solo il 30% dichiara di essere “molto preparato” a difendersi. Di conseguenza, emerge un gap di 33 punti, in crescita rispetto ai 29 dell’anno precedente.
Il problema delle identità macchina ransomware nei numeri
Il report 2025 di CyberArk sulla sicurezza delle identità quantifica la portata del fenomeno: 82 identità macchina per ogni essere umano nelle organizzazioni globali. Inoltre, il 42% di queste identità possiede accessi privilegiati o sensibili.
Tuttavia, i playbook più autorevoli presentano lo stesso punto cieco. La guida di Gartner sulla preparazione al ransomware, pubblicata nell’aprile 2024, raccomanda esplicitamente di resettare le “credenziali utente/host compromesse” durante il contenimento. Nonostante ciò, i service account sono assenti. Analogamente, mancano API key, token e certificati.
Perché le identità macchina ransomware sfuggono ai protocolli
Il Ransomware Playbook Toolkit di Gartner guida i team attraverso quattro fasi: contenimento, analisi, rimedio e recupero. Pertanto, il passaggio di reset delle credenziali istruisce i team a resettare tutti gli account utente e dispositivo compromessi. Eppure, le identità non umane restano fuori dall’equazione.
In particolare, lo stesso documento identifica il problema senza collegarlo alla soluzione. Gartner avverte che “pratiche inadeguate di gestione identità e accessi (IAM)” rimangono un punto di partenza primario per gli attacchi ransomware. D’altra parte, le credenziali precedentemente compromesse vengono utilizzate per ottenere accesso tramite broker di accesso iniziale e dump di dati dal dark web.
Cinque lacune critiche nei playbook attuali
I protocolli di risposta al ransomware presentano carenze strutturali quando si tratta di identità macchina ransomware. Ecco le principali:
- Reset credenziali inadeguato: resettare le password dei dipendenti non ferma il movimento laterale attraverso service account compromessi
- Inventario inesistente: solo il 51% delle organizzazioni dispone di un punteggio di esposizione cybersecurity secondo Ivanti
- Isolamento di rete inefficace: scollegare una macchina dalla rete non revoca le API key emesse ai sistemi downstream
- Logica di rilevamento obsoleta: il comportamento anomalo delle identità macchina non attiva alert come gli account utente compromessi
- Service account obsoleti: account non ruotati da anni, creati da dipendenti ormai partiti, rappresentano la superficie più debole
L’urgenza economica delle identità macchina ransomware
Gartner stima i costi totali di recupero a 10 volte l’importo del riscatto stesso. Inoltre, CrowdStrike quantifica il costo medio del downtime da ransomware in 1,7 milioni di dollari per incidente. Per il settore pubblico, la media sale a 2,5 milioni.
Pagare il riscatto non aiuta. Infatti, il 93% delle organizzazioni che hanno pagato ha subito comunque il furto dei dati, e l’83% è stato attaccato nuovamente. Inoltre, quasi il 40% non è riuscito a ripristinare completamente i dati dai backup dopo gli incidenti ransomware.
L’intelligenza artificiale agentiva moltiplicherà il problema. Secondo Ivanti, l’87% dei professionisti della sicurezza considera prioritaria l’integrazione dell’AI agentiva, e il 77% si dichiara a proprio agio nel permettere all’AI autonoma di agire senza supervisione umana. Tuttavia, solo il 55% utilizza guardrail formali. Ogni agente autonomo crea nuove identità macchina che autenticano, decidono e agiscono indipendentemente.
Come colmare il gap delle identità macchina ransomware
I leader della sicurezza che integrano ora nei loro playbook inventario, regole di rilevamento e procedure di contenimento per le identità macchina ransomware non solo chiuderanno il gap che gli attaccanti stanno sfruttando oggi. Di conseguenza, saranno anche posizionati per governare le identità autonome in arrivo.
In primo luogo, è necessario mappare la proprietà di service account, API key e token prima dell’incidente. In secondo luogo, occorre sviluppare regole di rilevamento specifiche per il comportamento anomalo delle macchine. Infine, i protocolli di contenimento devono includere la revoca delle catene di fiducia attraverso l’intera infrastruttura, non solo l’endpoint compromesso.
Il test definitivo è se queste aggiunte sopravvivono al prossimo esercizio tabletop. Se non reggono lì, non reggeranno in un incidente reale. Per approfondire le strategie di sicurezza aziendale, visita il blog di Digital Seeds dove trovi analisi dettagliate sulle minacce emergenti.
Pertanto, le organizzazioni devono agire ora. Solo il 38% delle vittime di ransomware ha risolto il problema specifico che ha permesso l’ingresso agli attaccanti, secondo CrowdStrike. Il resto ha investito in miglioramenti generici senza chiudere il vero punto di accesso. In definitiva, ignorare le identità macchina nei playbook ransomware equivale a lasciare aperta la porta principale mentre si rafforzano le finestre.
