Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for HUMINT nella cybersecurity per i responsabili della sicurezza aziendale
Cybersecurity 101/Sicurezza informatica/HUMINT nella cybersecurity

HUMINT nella cybersecurity per i responsabili della sicurezza aziendale

Gli attacchi HUMINT manipolano i dipendenti affinché concedano l’accesso alla rete, eludendo completamente i controlli tecnici. Scopri come difenderti da ingegneria sociale e minacce interne.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è l'HUMINT?
HUMINT vs. altri tipi di intelligence
Come l'HUMINT si relaziona alla cybersecurity
Tecniche e metodi HUMINT
Rischi e limiti dell'HUMINT
Come funzionano gli attacchi HUMINT
Esempi reali di attacchi HUMINT
Perché gli attacchi HUMINT hanno successo
Sfide nella difesa contro l'HUMINT
Errori comuni nella difesa contro l'HUMINT
Best practice per difendersi dall'HUMINT
Punti chiave

Articoli correlati

  • Gestione dei Diritti Digitali: Guida Pratica per i CISO
  • Che cos'è la sicurezza di Remote Monitoring and Management (RMM)?
  • Address Resolution Protocol: Funzione, Tipi e Sicurezza
  • Cybersecurity per il settore manifatturiero: rischi, best practice e framework
Autore: SentinelOne | Recensore: Jeremy Goldstein
Aggiornato: February 18, 2026

Che cos'è l'HUMINT?

Gli aggressori che utilizzano credenziali legittime bypassano l'intero stack di sicurezza. Secondo l'avviso FBI/CISA sul gruppo di attori della minaccia Scattered Spider, questi dimostrano avanzate tecniche di Human Intelligence (HUMINT) manipolando gli operatori dell'help desk IT affinché cedano le credenziali. Questo rende firewall, EDR e segmentazione di rete irrilevanti.

L'Human Intelligence (HUMINT) in ambito cybersecurity rappresenta lo sfruttamento sistematico del comportamento umano, delle relazioni di fiducia e delle dinamiche sociali per compromettere la sicurezza aziendale. Sebbene il termine abbia origine in contesti militari e di intelligence, oggi descrive attacchi che prendono di mira l'elemento umano. Secondo le linee guida CISA, gli attacchi di ingegneria sociale utilizzano "interazione umana (abilità sociali) per ottenere o compromettere informazioni su un'organizzazione o sui suoi sistemi informatici."

Gli attacchi basati su HUMINT hanno successo perché aggirano ogni controllo tecnico implementato. Il tuo firewall, protezione degli endpoint e la segmentazione di rete diventano irrilevanti quando gli aggressori manipolano le persone affinché concedano volontariamente l'accesso. Non sfruttano vulnerabilità software. Sfruttano fiducia, autorità, urgenza e il desiderio innato di essere d'aiuto.

Secondo il Verizon 2024 DBIR, le credenziali rubate rimangono il metodo di accesso iniziale più comune, utilizzato nel 22% delle violazioni. Quando si combinano questi metodi di attacco rivolti all'uomo: ingegneria sociale, intrusione nei sistemi e attacchi di base alle applicazioni web rappresentano la maggior parte delle violazioni nei diversi settori industriali.

Per comprendere perché l'HUMINT richiede difese diverse rispetto agli attacchi tecnici, i team di sicurezza devono prima distinguerlo dalle altre discipline di intelligence.

HUMINT - Featured Image | SentinelOne

HUMINT vs. altri tipi di intelligence

I team di sicurezza si confrontano con diverse discipline di intelligence, ciascuna rivolta a differenti vettori di attacco. Comprendere dove si colloca l'HUMINT chiarisce perché richiede approcci difensivi distinti.

  • OSINT (Open Source Intelligence) raccoglie informazioni pubblicamente disponibili da social media, siti web aziendali, annunci di lavoro e registri pubblici. Gli aggressori utilizzano OSINT per ricercare i bersagli prima di avviare operazioni HUMINT. Mentre la raccolta OSINT avviene in modo passivo, l'HUMINT richiede un coinvolgimento umano attivo.
  • SIGINT (Signals Intelligence) intercetta comunicazioni elettroniche e traffico di rete. Controlli tecnici come crittografia e monitoraggio di rete difendono dal SIGINT. L'HUMINT aggira completamente questi controlli manipolando le persone affinché forniscano volontariamente l'accesso.
  • TECHINT (Technical Intelligence) analizza malware, exploit e indicatori tecnici di compromissione. Gli strumenti di sicurezza eccellono nel rilevare attacchi basati su TECHINT tramite firme e pattern comportamentali. Gli attacchi HUMINT che utilizzano credenziali legittime non generano indicatori tecnici malevoli.

La distinzione fondamentale: SIGINT e TECHINT prendono di mira sistemi e flussi di dati. L'HUMINT prende di mira le persone. Quando gli aggressori ottengono credenziali tramite ingegneria sociale, si autenticano come utenti legittimi. Il tuo SIEM vede attività di accesso normale. Il tuo EDR vede processi autorizzati. Il tuo firewall vede traffico consentito. L'attacco diventa invisibile al rilevamento tecnico perché non si è verificato alcun attacco tecnico.

Questa invisibilità spiega perché i programmi di cybersecurity tradizionali faticano contro le minacce HUMINT.

Come l'HUMINT si relaziona alla cybersecurity

I programmi di cybersecurity si concentrano tipicamente sulle vulnerabilità tecniche: sistemi non aggiornati, firewall mal configurati, firme di malware e anomalie di rete. L'HUMINT inverte questo modello. Invece di sfruttare il codice, gli aggressori sfruttano la psicologia. Invece di cercare numeri CVE, cercano organigrammi su LinkedIn. Invece di eseguire scansioni di porte, creano scenari di pretesto rivolti a individui specifici.

L'HUMINT prende di mira le organizzazioni attraverso tre principali categorie di attacco negli ambienti aziendali:

  • Attacchi di ingegneria sociale manipolano i dipendenti affinché rivelino credenziali, approvino transazioni fraudolente o eseguano azioni malevole tramite manipolazione psicologica.
  • Minacce interne sfruttano l'accesso autorizzato quando dipendenti attuali o ex, fornitori o partner commerciali compromettono deliberatamente o involontariamente la sicurezza.
  • Operazioni di ricognizione e targeting coinvolgono gruppi APT che conducono raccolta sistematica di intelligence per identificare i bersagli ottimali, mappare le relazioni di fiducia e sviluppare scenari di attacco personalizzati.

Secondo la ricerca Ponemon Institute 2025, il 45% di tutte le violazioni dei dati è causato da minacce interne, con un costo medio per incidente di 2,7 milioni di dollari. La stessa ricerca rivela che il 60% delle organizzazioni non riesce a individuare efficacemente le minacce interne, creando un gap che i gruppi APT e gli aggressori motivati finanziariamente sfruttano sistematicamente.

Gli aggressori sfruttano questi gap utilizzando tecniche specifiche che i team di sicurezza devono riconoscere.

Tecniche e metodi HUMINT

Gli attacchi HUMINT operano tramite una metodologia sistematica che combina ricognizione, manipolazione psicologica e sfruttamento tecnico. Secondo le linee guida fondamentali di CISA, questi attacchi coinvolgono "interazione umana (abilità sociali) per ottenere o compromettere informazioni su un'organizzazione o sui suoi sistemi informatici." Comprendere questi componenti aiuta a identificare dove esistono gap difensivi, in particolare in analisi comportamentale, consapevolezza della sicurezza e capacità di contrasto alle minacce interne.

  • Raccolta di Open-Source Intelligence (OSINT) costituisce la base. Gli aggressori profilano le organizzazioni tramite informazioni pubblicamente disponibili: nomi e ruoli dei dipendenti da LinkedIn, struttura organizzativa dai siti aziendali, dettagli dello stack tecnologico dagli annunci di lavoro e relazioni commerciali dai comunicati stampa.
  • Tecniche di elicitazione estraggono informazioni tramite conversazioni apparentemente innocue. Abili social engineer coinvolgono i bersagli in dialoghi informali, raccogliendo gradualmente frammenti di intelligence che si combinano in percorsi di accesso completi.
  • Reclutamento e sfruttamento di insider prende di mira i dipendenti con accesso autorizzato. Le linee guida CISA definiscono le minacce interne come situazioni in cui "un insider utilizza il proprio accesso autorizzato, intenzionalmente o meno, per danneggiare la missione, le risorse, il personale, le strutture, le informazioni, le attrezzature, le reti o i sistemi del dipartimento."
  • Abuso delle relazioni di fiducia sfrutta partnership commerciali e connessioni nella supply chain tramite ingegneria sociale mirata e pretexting. Gli aggressori compromettono fornitori, partner o appaltatori fidati utilizzando spear-phishing e  furto di credenziali mirato per ottenere accesso indiretto.

Queste tecniche si combinano in sequenze di attacco strutturate che seguono fasi prevedibili.

Rischi e limiti dell'HUMINT

Gli attacchi HUMINT non sono garantiti al successo. Comprenderne i limiti aiuta i team di sicurezza a dare priorità alle difese e riconoscere quando gli attacchi falliscono o si arrestano.

  • L'imprevedibilità umana crea rischio operativo per gli aggressori. A differenza degli exploit software che funzionano costantemente contro sistemi vulnerabili, il successo dell'HUMINT dipende dalle risposte individuali. I dipendenti possono insospettirsi, segnalare richieste insolite o semplicemente rifiutarsi di collaborare. Un solo dipendente attento può smascherare un'intera operazione.
  • Gli attacchi HUMINT richiedono un notevole investimento di tempo. Un'efficace ingegneria sociale richiede ampia ricognizione, costruzione di relazioni e sviluppo di pretesti. A differenza degli attacchi automatizzati che scalano istantaneamente, le operazioni HUMINT spesso richiedono settimane o mesi per essere eseguite su un singolo bersaglio. Questo investimento di tempo limita il numero di organizzazioni che gli aggressori possono colpire contemporaneamente.
  • I rischi di attribuzione ed esposizione scoraggiano alcuni attori della minaccia. Le operazioni HUMINT comportano contatto umano diretto, creando opportunità di identificazione. Le telefonate possono essere registrate, le email conservano i metadati e gli approcci di persona rischiano l'identificazione fisica. I gruppi sponsorizzati da stati e i criminali sofisticati accettano questi rischi, ma gli aggressori meno capaci spesso evitano l'HUMINT preferendo metodi puramente tecnici.
  • La cultura della sicurezza organizzativa incide direttamente sui tassi di successo. Le aziende con solidi programmi di consapevolezza della sicurezza, procedure di escalation chiare e una cultura che premia la segnalazione di attività sospette riducono significativamente i tassi di successo dell'HUMINT. Quando i dipendenti si sentono autorizzati a mettere in discussione richieste insolite senza timore di ritorsioni, l'ingegneria sociale diventa molto più difficile.
  • I tentativi falliti allertano i difensori. A differenza della ricognizione passiva o delle scansioni automatizzate, i tentativi HUMINT falliti spesso lasciano tracce. Email di phishing segnalate, telefonate sospette e richieste di badge insolite generano intelligence che i team di sicurezza possono utilizzare per identificare campagne in corso e rafforzare le difese.

Nonostante questi limiti, gli aggressori continuano a investire nell'HUMINT perché le tecniche rimangono altamente efficaci contro organizzazioni impreparate.

Come funzionano gli attacchi HUMINT

Gli attacchi HUMINT seguono workflow operativi prevedibili, sebbene la sofisticazione dell'esecuzione vari in base alle capacità dell'avversario e al valore del bersaglio.

  1. Selezione del bersaglio e ricognizione iniziano settimane o mesi prima della compromissione. I gruppi APT identificano sistematicamente organizzazioni con proprietà intellettuale di valore, sistemi finanziari o intelligence strategica, analizzando informazioni pubbliche per comprendere la struttura organizzativa e identificare il personale chiave.
  2. Identificazione dei percorsi di accesso mappa il terreno umano per trovare i punti di ingresso ottimali. Gli aggressori individuano dipendenti con privilegi di accesso necessari, bassa consapevolezza della sicurezza, pattern comportamentali prevedibili o circostanze personali che creano vulnerabilità.
  3. Sviluppo e test del pretesto crea scenari credibili su misura per i bersagli specifici. Secondo la ricerca SANS Institute, gli attori della minaccia costruiscono scenari che sfruttano autorità, urgenza, paura o disponibilità ad aiutare.
  4. Contatto iniziale e manipolazione esegue l'attacco di ingegneria sociale tramite email di spear-phishing, telefonate basate sulla ricognizione raccolta, tentativi di accesso fisico o messaggi SMS che sembrano provenire da fonti fidate.
  5. Acquisizione e validazione delle credenziali raccoglie informazioni di autenticazione e verifica l'accesso. Gli aggressori confermano che le credenziali rubate forniscono i livelli di accesso previsti e iniziano a mappare i sistemi interni.
  6. Persistenza e movimento laterale stabilisce un accesso duraturo ed espande il controllo. Una volta all'interno della rete con credenziali legittime, gli aggressori appaiono come utenti autorizzati per la maggior parte degli strumenti di sicurezza mentre creano metodi di accesso di backup ed elevano i privilegi.

Questi pattern operativi si riscontrano costantemente negli incidenti documentati che colpiscono aziende in tutto il mondo.

Esempi reali di attacchi HUMINT

Violazioni di alto profilo dimostrano come le tecniche HUMINT aggirino gli investimenti in sicurezza tecnica.

  • MGM Resorts (2023): Scattered Spider ha chiamato l'help desk IT di MGM, si è spacciato per un dipendente trovato su LinkedIn e ha convinto l'operatore a reimpostare le credenziali. Questa singola telefonata ha portato al ransomware, all'arresto dei sistemi nelle proprietà di Las Vegas e a perdite stimate superiori a 100 milioni di dollari. Gli aggressori hanno ricercato il bersaglio tramite OSINT, sviluppato un pretesto convincente e sfruttato il desiderio dell'help desk di essere d'aiuto.
  • Twitter (2020): Gli aggressori hanno utilizzato l'ingegneria sociale telefonica per compromettere le credenziali dei dipendenti, quindi hanno avuto accesso a strumenti interni per dirottare account di alto profilo tra cui Elon Musk, Barack Obama e Apple. L'attacco ha fruttato oltre 100.000 dollari in Bitcoin tramite post fraudolenti. I controlli tecnici hanno fallito perché gli aggressori hanno utilizzato accessi legittimi ottenuti tramite manipolazione.
  • Ubiquiti Networks (2015): Gli aggressori si sono spacciati per dirigenti e avvocati esterni tramite email contraffatte, convincendo i dipendenti della finanza a trasferire 46,7 milioni di dollari su conti esteri controllati dagli aggressori. Questo attacco di Business Email Compromise (BEC) non ha richiesto malware, intrusioni di rete o sfruttamento tecnico.

Ogni incidente condivide elementi comuni: ricognizione approfondita, pretesti credibili, sfruttamento di fiducia e autorità e utilizzo di percorsi di accesso legittimi che i controlli tecnici non possono distinguere dalle operazioni normali. Comprendere perché questi pattern hanno successo rivela i gap fondamentali degli approcci di sicurezza tradizionali.

Perché gli attacchi HUMINT hanno successo

Gli attacchi basati su HUMINT dominano il panorama delle minacce perché sfruttano assunzioni architetturali fondamentali nella sicurezza aziendale operando nei punti ciechi dei difensori. Secondo il Verizon 2024 DBIR, la maggior parte delle violazioni coinvolge ingegneria sociale, intrusione nei sistemi o attacchi di base alle applicazioni web. Gli strumenti di sicurezza sono progettati architetturalmente per rilevare deviazioni tecniche piuttosto che manipolazione psicologica.

Secondo il rapporto SANS 2025, l'80% delle organizzazioni ora considera l'ingegneria sociale il principale rischio umano, mentre la ricerca Ponemon riporta che molte organizzazioni faticano a individuare efficacemente le minacce interne.

  • Le credenziali legittime bypassano i controlli tecnici. Quando gli aggressori utilizzano credenziali ottenute tramite phishing, ingegneria sociale o furto interno, appaiono come utenti autorizzati. La sicurezza perimetrale, i sistemi di prevenzione delle intrusioni e la protezione degli endpoint non possono distinguere tra uso legittimo delle credenziali e aggressori finché non emergono indicatori dopo la compromissione.
  • La psicologia umana rimane costantemente sfruttabile. Le vulnerabilità tecniche vengono corrette. Le tendenze psicologiche umane, tra cui autorità, urgenza, paura, fiducia e reciprocità, persistono in tutti i contesti organizzativi. Secondo il rapporto SANS 2025, l'IA sta ora "potenziando" la sofisticazione e la scala di questi attacchi.
  • La ricognizione avviene al di fuori della visibilità difensiva. I gruppi APT conducono raccolta di intelligence interamente tramite informazioni pubbliche, sfruttando l'accesso autorizzato per settimane o mesi prima del rilevamento.
  • L'IA consente la personalizzazione su larga scala. Secondo il Verizon 2024 DBIR, l'IA generativa consente ora agli aggressori di generare messaggi di phishing altamente convincenti su larga scala, rendendoli molto più difficili da individuare.
  • L'espansione delle identità macchina crea una vasta superficie di attacco. Secondo la ricerca del SANS Institute, le identità macchina ora superano di gran lunga le identità umane, con l'IA destinata a diventare il principale creatore di nuove identità privilegiate entro il 2025.

Questi fattori di successo creano sfide difensive specifiche che i team di sicurezza devono affrontare.

Sfide nella difesa contro l'HUMINT

Difendere dagli attacchi rivolti all'uomo richiede approcci diversi rispetto ai programmi di sicurezza tecnica.

  • L'accesso autorizzato è affidato per progettazione. Le architetture di sicurezza presumono che gli utenti autenticati siano affidabili. Gli attacchi basati su credenziali rimangono invisibili ai controlli di sicurezza perché gli aggressori appaiono come utenti autorizzati che svolgono attività normali.
  • La collaborazione interfunzionale è essenziale per i programmi di contrasto alle minacce interne. Secondo le linee guida CISA, programmi efficaci richiedono team interfunzionali che integrino Sicurezza, HR, Legale e Management. La maggior parte delle aziende non riesce a stabilire queste strutture collaborative, con conseguente isolamento delle informazioni sulle minacce e risposta ritardata a comportamenti preoccupanti.
  • L'abuso dei processi aziendali normali è indistinguibile dall'attività legittima. Gli attacchi HUMINT hanno successo sfruttando i workflow normali. Gli aggressori sfruttano l'email per il phishing, la condivisione file per l'esfiltrazione dei dati, l'accesso VPN con credenziali rubate e gli account privilegiati per abusi interni. Queste attività rispecchiano le operazioni legittime, eludendo il rilevamento tecnico.

Oltre a queste sfide intrinseche, le organizzazioni spesso aggravano il problema con errori evitabili.

Errori comuni nella difesa contro l'HUMINT

Le aziende commettono ripetutamente errori prevedibili che creano gap sfruttabili nella sicurezza a livello umano.

  1. Affidamento esclusivo alla tecnologia senza difese focalizzate sull'uomo. Le organizzazioni implementano EDR avanzati, SIEM, architettura zero-trust e firewall, ma investono poco in programmi di consapevolezza della sicurezza, analisi comportamentale e capacità dedicate alle minacce interne. Quando il rapporto SANS 2025 mostra che l'80% delle organizzazioni considera l'ingegneria sociale il principale rischio umano, la discrepanza tra realtà della minaccia e investimenti difensivi diventa evidente.
  2. Teatro della consapevolezza della sicurezza invece di misurazione del cambiamento comportamentale. La formazione annuale misura i tassi di completamento anziché il reale cambiamento comportamentale. I dipendenti guardano video di conformità, cliccano sui moduli e dimenticano immediatamente i contenuti.
  3. Mancata distinzione tra categorie di minacce interne. Il monitoraggio uniforme applicato a tutti i dipendenti, o l'assenza totale di programmi per le minacce interne per timori legati alla privacy, crea punti ciechi. Secondo il Verizon DBIR, sono necessari approcci differenziati per insider malevoli che sfruttano deliberatamente l'accesso, attori negligenti che compromettono la sicurezza per errore e obiettori di coscienza motivati da disaccordi ideologici.
  4. Ignorare la superficie di attacco delle identità macchina. I programmi IAM focalizzati esclusivamente sulle identità umane lasciano proliferare account di servizio, chiavi API, credenziali di container e identità di processi autonomi senza governance. La ricerca SANS rivela enormi punti ciechi che gli aggressori sfruttano sistematicamente.

Evitare questi errori richiede l'implementazione di framework difensivi comprovati.

Best practice per difendersi dall'HUMINT

Una difesa efficace contro gli attacchi rivolti all'uomo richiede programmi integrati che seguano il framework in quattro fasi di CISA: Definire, Trovare e Identificare, Valutare e Gestire. Questo combina analisi comportamentale per individuare le minacce interne, formazione sulla sicurezza con risultati misurabili e collaborazione interfunzionale tra Sicurezza, Risorse Umane, Legale e Management.

  • Implementare programmi di contrasto alle minacce interne seguendo il framework in quattro fasi di CISA. Definire cosa costituisce una minaccia interna nel proprio contesto organizzativo, riconoscendo che gli insider sono chiunque abbia accesso autorizzato o conoscenza delle risorse aziendali. Implementare capacità di monitoraggio che integrino indicatori tecnici e segnali comportamentali.
  • Implementare analisi comportamentale che stabilisca baseline e identifichi anomalie. Implementare piattaforme UEBA che analizzano pattern di autenticazione, comportamenti di accesso e sequenze di attività per identificare deviazioni dalle baseline stabilite. Ad esempio, quando un account utente accede improvvisamente a condivisioni file da una posizione geografica insolita alle 2 di notte, l'analisi comportamentale identifica questa deviazione e avvisa il team di indagare su una possibile compromissione delle credenziali.
  • Stabilire programmi di consapevolezza della sicurezza misurabili con test comportamentali. Andare oltre la formazione orientata alla conformità con programmi che misurano il reale cambiamento comportamentale tramite simulazioni di phishing realistiche con scenari personalizzati.
  • Implementare architettura zero-trust con verifica continua. Secondo il framework Zero Trust Architecture di ISC2, l'implementazione zero-trust richiede accesso minimo necessario, controllo degli accessi basato sui ruoli, autenticazione multi-fattore, gestione degli accessi privilegiati e monitoraggio continuo con logging.
  • Proteggere dagli attacchi basati sull'identità rivolti sia alle identità umane che a quelle macchina. Implementare programmi di governance delle identità che combinano consapevolezza della sicurezza focalizzata sull'uomo, analisi comportamentale, programmi interfunzionali per le minacce interne e monitoraggio continuo dell'uso delle identità umane e macchina.
  • Creare team interfunzionali per le minacce interne che integrino Sicurezza, HR, Legale e Management. Secondo le linee guida CISA, stabilire strutture di collaborazione formali con ruoli, responsabilità e protocolli di condivisione delle informazioni chiaramente definiti.

L'implementazione di queste best practice richiede tecnologia in grado di rilevare anomalie comportamentali in tutta l'azienda.

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

Gli attacchi basati su HUMINT dominano il panorama delle minacce moderne perché sfruttano la psicologia umana e le credenziali legittime invece delle vulnerabilità tecniche. Secondo il Verizon DBIR 2024, le credenziali rubate rimangono il metodo di accesso iniziale più comune, mentre la ricerca Ponemon Institute 2025 conferma che molte organizzazioni faticano a individuare efficacemente le minacce interne. Difendersi da questi attacchi richiede programmi integrati che combinino analisi comportamentale, consapevolezza della sicurezza con risultati misurabili, framework per le minacce interne, architettura zero-trust e collaborazione interfunzionale. 

Quando aggressori come Scattered Spider manipolano gli operatori dell'help desk affinché cedano le credenziali, il successo difensivo dipende dall'implementazione di programmi integrati in grado di individuare attacchi rivolti all'uomo che i controlli tecnici non possono rilevare.

Domande frequenti

HUMINT, ovvero Human Intelligence, nella cybersecurity si riferisce allo sfruttamento sistematico del comportamento umano, delle relazioni di fiducia e delle dinamiche sociali per compromettere la sicurezza aziendale. 

Sebbene il termine abbia origine in ambito militare e di intelligence, oggi descrive attacchi che manipolano i dipendenti affinché concedano volontariamente l’accesso invece di sfruttare vulnerabilità tecniche. Gli attacchi basati su HUMINT eludono i controlli tecnici prendendo di mira la componente umana della sicurezza.

Gli aggressori utilizzano HUMINT attraverso un processo strutturato che combina ricognizione, pretexting e manipolazione. Iniziano raccogliendo informazioni da fonti pubbliche come LinkedIn, siti web aziendali e social media per identificare i bersagli e costruire storie di copertura credibili. 

Successivamente, gli aggressori contattano i bersagli tramite telefonate, email o interazioni di persona, impersonando il supporto IT, dirigenti, fornitori o altre entità affidabili. L'obiettivo è manipolare i dipendenti affinché rivelino credenziali, approvino richieste fraudolente o compiano azioni che concedano accesso non autorizzato. Una volta ottenute credenziali legittime, gli aggressori si confondono con le normali attività degli utenti, rendendo la rilevazione estremamente difficile.

Gli attacchi informatici tradizionali sfruttano vulnerabilità tecniche in software, sistemi o configurazioni di rete. Gli attacchi basati su HUMINT sfruttano il comportamento umano, le relazioni di fiducia e le dinamiche sociali. Gli aggressori manipolano i dipendenti affinché concedano volontariamente l’accesso invece di superare le difese tecniche. 

Questa differenza fondamentale implica che i soli controlli di sicurezza tecnici non possono fornire una difesa adeguata contro gli attacchi mirati agli esseri umani.

Secondo il Verizon DBIR, il pretexting rappresenta una parte significativa e in crescita degli attacchi di social engineering. Le credenziali rubate rimangono il metodo di accesso iniziale più comune tramite phishing, social engineering e credential stuffing. 

Le minacce interne rappresentano circa il 45% di tutte le violazioni dei dati, sfruttando l’accesso autorizzato tramite intento doloso o compromissione involontaria.

La sicurezza perimetrale, l'antivirus e molte soluzioni EDR architettonicamente non possono rilevare attacchi basati su HUMINT perché analizzano indicatori tecnici invece del contesto comportamentale. Quando gli aggressori utilizzano credenziali legittime ottenute tramite social engineering o accesso interno, appaiono come utenti autorizzati. 

Secondo il framework sulle minacce interne di CISA, i programmi efficaci devono implementare "sia elementi umani che tecnologici", inclusi User and Entity Behavior Analytics (UEBA).

Le analisi comportamentali e i sistemi UEBA individuano minacce interne e attacchi basati su credenziali monitorando le deviazioni dai modelli stabiliti. Secondo NIST e i framework di settore, il monitoraggio dovrebbe identificare autenticazioni da località geografiche insolite, accesso a sistemi al di fuori dei modelli normali, volumi insoliti di accesso o trasferimento dati e tentativi di escalation dei privilegi. 

Analizzando continuamente questi modelli comportamentali, le organizzazioni possono identificare la compromissione delle credenziali nelle fasi iniziali del ciclo di vita dell’attacco.

Misura le capacità del programma attraverso le minacce interne identificate per trimestre, il tempo medio per individuare indicatori comportamentali e i tassi di falsi positivi. Monitora l'efficacia della valutazione tramite l'accuratezza nella categorizzazione delle minacce e i tempi di completamento delle indagini. 

Monitora i risultati della gestione attraverso i tassi di risoluzione degli incidenti e l'analisi costi-benefici, confrontando con i benchmark di settore di circa 2,7 milioni di dollari di costo medio per incidente. Per la  sensibilizzazione alla sicurezza, misura la riduzione del tasso di clic alle simulazioni di phishing e l'aumento del tasso di segnalazione degli incidenti di sicurezza.

Scopri di più su Sicurezza informatica

Cybersecurity nel Retail: Rischi, Best Practice e FrameworkSicurezza informatica

Cybersecurity nel Retail: Rischi, Best Practice e Framework

Esplora il ruolo fondamentale della cybersecurity nel settore retail ed e-commerce. Questa guida copre le principali minacce, i framework per la protezione dei dati e le best practice per aiutare i retailer a proteggere le informazioni dei clienti, garantire la conformità e mantenere la fiducia su punti vendita digitali e fisici.

Per saperne di più
Cybersecurity nel settore sanitario: rischi, best practice e frameworkSicurezza informatica

Cybersecurity nel settore sanitario: rischi, best practice e framework

Scopri la sicurezza informatica nel settore sanitario e come difendersi dalle minacce emergenti. Comprendi i rischi informatici nel settore sanitario, le best practice e i framework ideali da utilizzare per la massima protezione.

Per saperne di più
Cybersecurity nell’istruzione superiore: rischi, best practice e frameworkSicurezza informatica

Cybersecurity nell’istruzione superiore: rischi, best practice e framework

College e università affrontano minacce informatiche crescenti con l’espansione dei campus digitali. Questa guida spiega i principali rischi, le strategie di protezione comprovate e i framework chiave che rafforzano la cybersecurity nell’istruzione superiore.

Per saperne di più
Analisi forense della sicurezza informatica: tipologie e best practiceSicurezza informatica

Analisi forense della sicurezza informatica: tipologie e best practice

La scienza forense informatica è spesso denominata scienza forense digitale o scienza forense informatica. Comprende l'indagine su attacchi informatici e altre attività illegali condotte nello spazio digitale.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano