Per anni le vulnerabilità software sono state considerate la principale porta d’ingresso per i ransomware. Oggi non è più così. Secondo la settima edizione del report State of Ransomware pubblicato da Sophos, il 79% degli attacchi ha origine da account validi compromessi: è l’identità digitale, ormai, il primo vettore di accesso sfruttato dai criminali informatici. E per la prima volta in quattro anni lo sfruttamento delle vulnerabilità perde il primato tra le cause tecniche, superato dalle email malevole (26%) e dalle campagne di phishing (24%).

I rilievi nascono da un’indagine condotta da Vanson Bourne nel primo trimestre del 2026 per conto di Sophos, che ha coinvolto 2.158 responsabili IT e della cybersicurezza in 17 Paesi, tutti in organizzazioni tra 100 e 5mila dipendenti colpite da almeno un attacco nei dodici mesi precedenti. Il quadro è quello di una minaccia che non smette di farsi sentire: il 56% delle vittime ha subito la cifratura dei dati, un’inversione rispetto al miglioramento osservato nei due anni precedenti, con un 16% di casi in cui i dati sono stati insieme cifrati e sottratti.

Il legame con le identità è reso esplicito dai numeri: il 67% delle organizzazioni colpite indica proprio nell’attacco ransomware il più grave incidente di compromissione delle identità subito. Non offre garanzie nemmeno la tecnologia di difesa che finora era considerata dirimente: nel 97% degli attacchi partiti da credenziali compromesse era già attiva almeno una forma di multi-factor authentication, segno che la sola autenticazione Mfa non basta a fermare il ransomware e che le lacune nella sua implementazione aprono varchi rilevanti.

Ross McKerchar
Ross McKerchar, Ciso di Sophos

Ma anche la variabile dimensionale è rilevante. Solo il 34% delle organizzazioni tra 100 e 250 dipendenti è riuscito a bloccare l’attacco prima della cifratura o dell’estorsione, contro il 46% di quelle tra 3mila e 5mila. Sul piano economico i costi medi di ripristino salgono a 1,7 milioni di dollari per incident, esclusi i riscatti, mentre emergono segnali di maggiore resilienza: la media delle richieste di riscatto è calata del 65% in due anni, la percentuale di aziende che pagano è scesa al 48% e, tra chi ha pagato, il 51% ha ottenuto una riduzione rispetto alla cifra iniziale. Oltre la metà delle organizzazioni (55%) torna pienamente operativa entro una settimana. A leggere in prospettiva questi dati è Ross McKerchar, chief information security officer di Sophos: “Osserviamo come i gruppi ransomware stiano iniziando a sperimentare l’intelligenza artificiale, come tecnologia che potrebbe aumentare drasticamente la capacità di sottrarre dati di valore, prenderli in ostaggio e operare su una scala mai vista prima”.

Sophos, allineare la strategia cybersec alle esigenze reali

Le due dinamiche di fondo – l’identità nel mirino e l’AI che accorcia i tempi degli attaccanti – sono al centro anche della strategia con cui Sophos cerca di indirizzare la protezione delle aziende. Ne parla il Ceo Joe Levy, che inquadra quello che l’azienda considera un momento di svolta per il settore.

Joe Levy, Ceo di Sophos
Joe Levy, Ceo di Sophos

Per circa quarant’anni, ricorda il Ceo, la cybersicurezza è stata costruita un prodotto alla volta: “A ogni nuova minaccia una nuova soluzione, spesso nuovi fornitori”. Il risultato è la frammentazione fotografata dagli analisti, con oltre 45 strumenti distinti gestiti in media dalle aziende, secondo Gartner, e circa 10,9 console per ogni Soc secondo Omdia, quasi mai realmente integrati tra loro. Il paradosso, su cui vuole portare a riflettere Levy, sta nei numeri: la spesa globale in cybersicurezza sfiora i 240 miliardi di dollari l’anno, eppure le violazioni non diminuiscono, anzi crescono per frequenza e costo. “E’ evidente come spendere di più non si traduca in modo affidabile in risultati migliori”.

C’è poi il tema/problema delle competenze che il Ceo definisce strutturale: le organizzazioni nel mondo sono circa 359 milioni, ma i Ciso a tempo pieno sono meno di 35mila, un rapporto di circa uno ogni 10mila organizzazioni. Non è solo una questione di budget né un problema solo dimensionale dato che anche grandi imprese si ritrovano con una sicurezza che non ha tenuto il passo di acquisizioni, debito tecnologico e complessità operativa. A questo si aggiungono le sfide portate dall’AI: “Oggi si parla di centinaia di agenti capaci di svolgere attività articolate in autonomia. Uno strumento potente per i difensori, ma altrettanto per gli attaccanti, che lo utilizzano senza i vincoli di procurement, revisioni legali o approvazioni, a differenza dei primi”. Serve un approccio sistemico alla difesa: l’integrazione delle soluzioni è migliorata nell’ultimo decennio, ma non basta. Un vero overlay intelligente non è la somma di integrazioni tra prodotti: è da considerare invece tale quando il sistema opera nativamente come un tutt’uno, facendo tesoro della mole di dati/threat intelligence che vi confluisce.

Sophos Fusion

Da qui la proposta Sophos Fusion, presentato come sistema integrato di difesa cyber (Cyber Defense System) nativo AI e naturale evoluzione di Sophos Central. Vuole essere una nuova categoria nel mercato della sicurezza informatica: un’architettura aperta e unificata nella quale ogni punto di controllo, ogni servizio e ogni fonte di dati operano come un unico sistema, sia quando il punto di controllo è nativo Sophos sia di terze parti. Le sorgenti dati eterogenee, anzi, contribuiscono a rafforzare il sistema, accelerando le attività di difesa e riducendo la complessità operativa.

Sophos Defense
Sophos, la proposta di un sistema unico per la difesa AI-native

A entrare nel dettaglio è il presidente di Sophos, Raja Patel, che spiega Fusion a valle del completamento dell’integrazione di SecureWorks, con la tecnologia Taegis – piattaforma cloud-native di Extended Detection and Response (Xdr) e Managed Detection and Response (Mdr) – fusa nella piattaforma esistente in un unico sistema anziché come due prodotti affiancati. “La maggior parte dei prodotti sul mercato ha aggiunto l’AI come funzionalità sopra ciò che già esisteva. In Sophos Fusion l’AI è l’architettura, lo strato che connette tutti gli elementi”.

Raja Patel
Raja Patel, president Product & Marketing di Sophos

Quattro elementi, in particolare, nella ricostruzione di Patel fanno di Fusion un unico sistema – non un semplice insieme di prodotti – che e più anche di una piattaforma: il contesto condiviso, in cui “ogni segnale confluisce in tempo reale nello stesso livello dati”; la sicurezza sincronizzata, per cui un rilevamento su un portatile può innescare simultaneamente una reazione su firewall, identità ed email; l’autonomia agentica governata dalle persone, con gli analisti che fissano e ricalibrano i confini entro cui il sistema indaga e risponde; e un’intelligence che cresce, perché ogni minaccia osservata sulla base installata rafforza la difesa di tutti gli altri clienti.

Solo per scendere poco più in dettaglio, Sophos, che gestisce “il più grande Soc agentico al mondo”, con oltre 40mila clienti, il 52% dei casi gestiti da workflow agentici e tempi di risposta di 89 secondi, vuole evidenziare il potenziale del servizio gestito Sophos Mdr che sarà potenziato con attività continue di threat hunting abilitate dall’AI. Mentre Sophos Xdr è, appunto, basato sulla piattaforma di analisi Taegis di SecureWorks, con migliaia di detector aggiuntivi e automazione Soar integrata (per entrambi la disponibilità generale sarà da agosto). Si aggiungono inoltre tra estate e autunno un Siem di nuova generazione tariffato per utente e server anziché per volume di dati, la soluzione Sophos AI Defense per portare visibilità e controllo sugli strumenti di AI in uso – shadow AI compresa – e Sophos Ciso Advantage, in arrivo in autunno, che scala anche alle aziende prive di questa figura un presidio di livello Ciso fatto di valutazione continua del rischio, mappatura di conformità e benchmarking. A offrire la cornice di questo ‘nuovo’ mercato è Gartner, che vuole definire una categoria ad hoc per questa tipologia di sistemi progettati da un unico vendor e prepara per novembre un magic quadrant dedicato ai sistemi integrati per il Soc, in cui Sophos sarà presente.

Alexandra Rose, Director, Government Partnerships and the CTU at Sophos
Alexandra Rose, director, Government Partnerships and the Ctu at Sophos

Il senso di questo impianto lo chiarisce Alexandra Rose, esperta di threat intelligence di Sophos, a partire da ciò che l’azienda osserva sulla propria telemetria. “Gli attacchi, spiega, non sono più eventi isolati: si muovono tra identità, email, endpoint e rete e sono operazioni coordinate, con l’AI a comprimere l’intervallo tra l’accesso iniziale e l’impatto sul business”. Ma l’AI diventa essa stessa un bersaglio. Le credenziali dei servizi di AI, infatti, vengono sottratte e rivendute – dai token di accesso ai chatbot usati in alcuni incident già verificatisi per entrare negli ambienti Salesforce, alle centinaia di migliaia di credenziali ChatGpt messe in vendita – in un contesto in cui l’adozione corre più veloce della governance. Solo un riferimento: il 71% delle grandi imprese fa girare agenti AI sui sistemi core, ma solo il 16% ne governa gli accessi.

Le conclusioni dell’analisi convergono quindi su un punto che è anche la tesi di fondo: siamo di fronte ad uno scenario di attacchi rapidi e trasversali, di fronte ai quali un insieme di prodotti scollegati coglie soltanto frammenti del quadro. Per questo Sophos rivendica il valore della sua proposta di sistema – capace di vedere l’insieme e agire come un tutt’uno – su cui poggia la scommessa affidata a Fusion.

© RIPRODUZIONE RISERVATA

Condividi l'articolo: