Il limite delle difese tradizionali.
Per anni la sicurezza IT si è basata su un modello abbastanza chiaro: proteggere il perimetro, bloccare gli accessi non autorizzati, aggiornare gli endpoint. Questo approccio continua ad essere necessario, ma oggi non è più sufficiente, gli attacchi moderni non si limitano a “entrare”: una volta dentro, si muovono in modo silenzioso, cercano informazioni, esplorano la rete e preparano azioni successive.
Il problema è che molte di queste attività non generano alert evidenti.
Il vero punto cieco: la rete interna
Molte aziende hanno una buona visibilità su ciò che accade all’esterno — tentativi di accesso, traffico sospetto, attività bloccate. Ma all’interno della rete, la situazione cambia. Una volta superato il primo livello di difesa, l’attaccante può:
Tutte attività che spesso non vengono rilevate da strumenti tradizionali, ed è proprio qui che si crea il gap più critico.
Dalla protezione alla consapevolezza
Per colmare questo gap serve un cambio di prospettiva, non basta più bloccare ciò che è noto: bisogna essere in grado di osservare ciò che accade realmente nella rete e individuare comportamenti anomali, anche quando non esiste una firma o una minaccia conosciuta.
Le soluzioni di Network Detection and Response (NDR) nascono proprio con questo obiettivo: analizzare il traffico di rete in modo continuo e identificare segnali deboli che indicano un’attività sospetta. Questo avviene attraverso:
Non si tratta di cercare un attacco specifico, ma di riconoscere ciò che “non dovrebbe accadere”.
Cosa significa in pratica
Un sistema NDR è in grado di rilevare attività che altrimenti passerebbero inosservate, come:
Attività che spesso rappresentano le fasi più critiche di un attacco. In questo contesto si inserisce WatchGuard, che integra funzionalità avanzate di detection e visibilità all’interno della rete, permettendo di individuare e comprendere queste dinamiche prima che diventino incidenti.
Approfondimento: cosa succede davvero nelle reti aziendali
Per entrare più nel concreto in questo argomento, abbiamo coinvolto un nostro specialista che lavora quotidianamente su attività di analisi, monitoraggio e gestione: Marco Marini, Head of Cybersecurity di T-Consulting.
Dal tuo punto di vista, qual è oggi il principale limite degli strumenti tradizionali nel rilevare attività sospette all’interno della rete?
Il limite principale è che la maggior parte degli strumenti tradizionali (firewall, IDS/IPS basati su firme, SIEM configurati su regole statiche), lavora per corrispondenza: cercano qualcosa di noto, un pattern riconoscibile, una firma catalogata. Funziona bene contro minacce già documentate, ma fallisce davanti a tutto ciò che non è ancora stato classificato, o che usa deliberatamente tecniche legittime per non essere classificato.
Il problema concreto è che un attaccante moderno, una volta ottenuto un primo accesso, non fa nulla di "rumoroso". Usa credenziali valide, protocolli standard, strumenti già presenti nel sistema, quello che in gergo tecnico chiamiamo “living off the land”. Non c'è nulla da firmare perché, formalmente, non sta succedendo nulla di sbagliato. Gli strumenti tradizionali semplicemente non hanno il contesto per distinguere un amministratore legittimo da un attaccante che si muove con le sue credenziali.
Nelle realtà con cui lavori, quali sono le false certezze più comuni sulla visibilità della rete interna?
La più diffusa è: "abbiamo il firewall e l’antivirus, quindi sappiamo cosa succede". Il firewall controlla quello che entra ed esce dal perimetro, non quello che si muove lateralmente tra due server interni sulla stessa VLAN. L’antivirus protegge, e ormai nemmeno quello, l’host su cui è installato, un attaccante esperto sa come agire per aggirare non solo gli antivirus ma anche i moderni EDR.
La seconda falsa certezza riguarda la segmentazione: molte aziende credono che le VLAN li proteggano completamente dal movimento laterale. In realtà la segmentazione riduce molto la superficie, ma non elimina il problema se non è accompagnata da visibilità sul traffico est-ovest, cioè il traffico interno tra sistemi. È esattamente lì che avvengono le fasi più critiche di un attacco avanzato, ed è la parte di rete storicamente meno monitorata.
Quando analizzi il traffico di rete, quali sono le attività anomale più difficili da individuare con strumenti standard?
Tre in particolare mi vengono in mente:
Il primo è il DNS tunneling, un canale di comunicazione nascosto dentro query DNS apparentemente legittime. È difficile da individuare perché il DNS è un protocollo che quasi nessuno blocca o ispeziona nel dettaglio, e il volume di traffico anomalo può rimanere basso abbastanza a lungo da non generare alert basati su soglie.
Il secondo è l'esfiltrazione lenta e distribuita, dati che escono in piccoli chunk cifrati verso servizi cloud legittimi — storage, CDN, servizi SaaS — su un arco di settimane. Nessuna singola transazione è anomala; è il pattern nel tempo che rivela il problema, e un sistema senza memoria comportamentale non lo vede.
Il terzo è il credential hopping interno, un account che accede a sistemi che non ha mai toccato prima, in orari insoliti, con pattern di accesso diversi dalla sua baseline. Senza una baseline di riferimento costruita nel tempo, è quasi impossibile distinguerlo da un cambiamento legittimo di ruolo o mansione.
Vale la pena citare anche il Kerberoasting: un attacco che sfrutta il protocollo Kerberos per estrarre offline hash di account di servizio, senza generare quasi nessun segnale di allarme durante l'esecuzione. Non è anomalo nel senso comportamentale del termine, è tecnicamente lecito, ed è proprio questo che lo rende difficile da individuare senza un'analisi mirata.
In base alla tua esperienza, quanto è critico il cosiddetto dwell time: il tempo che passa tra l’ingresso di un attaccante e cosa succede concretamente in quell'intervallo?
È la metrica che conta di più, più di qualsiasi altro KPI di sicurezza. I report di settore (Mandiant, IBM X-Force) indicano un dwell time medio ancora nell'ordine delle settimane, con punte che superano i tre mesi in ambienti privi di visibilità interna. Quello che succede in quell'intervallo determina completamente la gravità dell'incidente.
Nelle prime ore o giorni, l'attaccante tipicamente mappa la rete, identifica i domain controller, individua i backup, capisce dove sono i dati di valore. Nelle settimane successive consolida l'accesso, crea account di servizio aggiuntivi, installa meccanismi di persistenza. Quando arriva alla fase operativa: cifratura, esfiltrazione, sabotaggio, ha già tutto ciò che gli serve. Ridurre il dwell time da settimane a ore cambia radicalmente l'esito: la differenza tra un incidente contenuto e una compromissione totale è quasi sempre lì.
Che tipo di vantaggi porta un approccio basato su analisi comportamentale rispetto a uno basato su firme o regole statiche?
La differenza fondamentale è che l'analisi comportamentale non richiede di conoscere l'attacco in anticipo. Le firme e le regole statiche sono retroattive per natura: qualcuno deve aver già visto quell'attacco, averlo analizzato e averlo tradotto in una firma distribuibile. Nel tempo che passa tra la prima osservazione di una tecnica e la sua catalogazione, quella tecnica è completamente invisibile ai sistemi basati su firme.
Un approccio comportamentale costruisce invece una baseline di cosa è "normale" per ogni entità della rete (un host, un utente, un servizio) e segnala le deviazioni. Non importa se la tecnica è nuova o nota: se un server che di norma non parla con l'esterno inizia a fare query DNS verso domini registrati di recente, quel comportamento è anomalo indipendentemente dal fatto che esista o meno una firma associata.
Il rovescio della medaglia, che è onesto dire, è il tasso di falsi positivi nelle fasi iniziali: costruire una baseline accurata richiede tempo e tuning. Un'implementazione NDR frettolosa o mal configurata genera rumore, e il rumore porta all'alert fatigue, che è un rischio operativo reale.
In quali situazioni un IT Manager si rende conto che non ha abbastanza visibilità sulla propria rete?
Quasi sempre se ne accorge a posteriori, e questo è il problema. Il momento più comune è durante un incident response: arriva un investigatore esterno, analizza i log disponibili e la prima cosa che dice è "mancano i dati per ricostruire cosa è successo tra X e Y". A quel punto la visibilità non è più un tema di budget o priorità, ma è un'assenza che ha conseguenze concrete.
Un secondo momento è il penetration test interno: quando un tester riesce a muoversi lateralmente per ore o giorni senza che nessun sistema generi un alert, la domanda che segue naturalmente è cosa sarebbe successo con un attaccante reale e meno rumoroso di un pen tester che lascia tracce deliberate.
Il terzo, più sottile, è la revisione periodica del rischio: un IT Manager che si chiede seriamente "se qualcuno fosse già dentro la nostra rete, sapremmo individuarlo?" e non riesce a rispondere con certezza, ha già la risposta che cercava.
Da dove consiglieresti di partire a un IT Manager che vuole ottenere visibilità reale su ciò che accade nella propria rete?
Dal traffico est-ovest, non dal perimetro. Il perimetro di solito è già monitorato, il punto cieco è il traffico interno tra sistemi, che nella maggior parte delle organizzazioni non viene ispezionato in modo sistematico.
Praticamente, il primo passo è capire se si ha la capacità di vedere quel traffico: port mirroring attivo, SPAN configurati, o soluzioni che lavorano su copia del traffico senza impatto sulla produzione. Poi serve uno strumento in grado di dare senso a quel volume di dati, ed è qui che entra la componente NDR con analisi comportamentale.
WatchGuard, in questo contesto, offre un punto di partenza concreto: integra queste funzionalità di detection e visibilità interna in un modo accessibile anche a team IT non esclusivamente dedicati alla sicurezza, il che è rilevante per la maggior parte delle PMI italiane che non hanno un SOC dedicato.
Conclusione
Oggi la sicurezza non può più limitarsi a bloccare ciò che entra, la vera sfida è capire cosa succede dopo. Molti attacchi non vengono rilevati perché si sviluppano all’interno della rete, sfruttando comportamenti apparentemente normali, senza visibilità su queste dinamiche, il rischio non è solo subire un attacco, ma accorgersene troppo tardi.
Adottare un approccio basato su analisi del traffico e comportamento significa passare da una difesa statica a una capacità di osservazione continua e soprattutto significa trasformare la rete da punto cieco a fonte di informazioni strategiche.
In un contesto normativo come quello della NIS2, dove la capacità di rilevare e rispondere agli incidenti non è più una scelta ma un requisito, questa visibilità smette di essere un vantaggio competitivo e diventa un obbligo.
Se qualcuno fosse già all'interno della tua rete, sapresti individuarlo?
Scopri come ottenere maggiore visibilità sul traffico interno e individuare attività anomale prima che si trasformino in un incidente.
Parla con il nostro team per capire quali strumenti e approcci possono aiutarti a migliorare la capacità di detection nel tuo contesto IT.