Furto di informazioni: rischi e prevenzione nell’era dell’IA

Che cos'è il furto di informazioni?

Il furto di informazioni è l'estrazione e il trasferimento non autorizzati dei tuoi dati sensibili verso infrastrutture controllate dagli aggressori. Il costo medio globale di una violazione dei dati ha raggiunto i 4,4 milioni di dollari nel 2025, secondo la ventennale storia di IBM nel monitoraggio delle violazioni. Quando la tua organizzazione subisce un furto di informazioni, affronti danni finanziari, sanzioni normative, interruzioni operative e danni reputazionali che persistono ben oltre l'incidente iniziale.

Come il furto di informazioni si collega alla cybersecurity

Il furto di informazioni si trova all'incrocio di molteplici discipline di sicurezza: protezione degli endpoint, gestione delle identità e degli accessi, prevenzione della perdita di dati e operazioni di sicurezza. Gli aggressori prendono di mira le lacune tra queste discipline. Compromettono le credenziali per bypassare l'autenticazione, utilizzano archiviazione cloud legittima per l'esfiltrazione dei dati al fine di eludere il monitoraggio di rete e conducono attività di ricognizione abbastanza lentamente da evitare allarmi comportamentali.

L'architettura di sicurezza deve coprire l'intera catena di attacco, dall'accesso iniziale al movimento laterale fino all'esfiltrazione finale. Le difese perimetrali tradizionali falliscono quando gli aggressori infiltrano la forza lavoro remota, sfruttano connessioni di fornitori fidati o compromettono account di servizi cloud con credenziali di accesso legittime. Fermare il furto di informazioni richiede più livelli di sicurezza che lavorano insieme.

Impatto del furto di informazioni sulle organizzazioni

Il furto di informazioni genera danni a cascata su dimensioni finanziarie, operative e reputazionali che persistono per anni dopo l'incidente iniziale. Le ricerche di IBM Security mostrano che il costo medio globale di una violazione dei dati ha raggiunto 4,88 milioni di dollari nel 2024, con le organizzazioni sanitarie che affrontano 9,77 milioni di dollari di costi medi per violazione. Queste cifre rappresentano i costi diretti, ma l'impatto totale si estende molto oltre.

• Conseguenze finanziarie includono spese di risposta agli incidenti, indagini forensi, spese legali, multe regolamentari e costi di notifica ai clienti. Le organizzazioni affrontano anche accordi collettivi, servizi di monitoraggio del credito per gli interessati e premi assicurativi cyber più elevati. L'attacco ransomware a Change Healthcare nel febbraio 2024 ha costretto UnitedHealth Group a spendere circa 2,87 miliardi di dollari solo per le attività di risposta.
• Interruzione operativa blocca le attività generatrici di ricavi durante le fasi di indagine e ripristino. Quando gli aggressori esfiltrano dati prima di distribuire ransomware, la tua organizzazione affronta una doppia pressione: ripristinare i sistemi mentre gestisce le richieste di estorsione. Congelamento dei pagamenti, interruzioni del servizio clienti e ritardi nella catena di approvvigionamento si sommano ai costi diretti della violazione.
• Esposizione normativa varia in base al settore e alla giurisdizione. Le violazioni del GDPR possono comportare multe fino al 4% del fatturato globale annuo. Le sanzioni HIPAA raggiungono 1,5 milioni di dollari per categoria di violazione all'anno. Le leggi statali sulla privacy, tra cui il CCPA, aggiungono ulteriori requisiti di conformità con proprie strutture sanzionatorie.
• Danno reputazionale erode la fiducia dei clienti e la fiducia degli investitori. I prezzi delle azioni tipicamente diminuiscono dopo l'annuncio di una violazione e l'abbandono dei clienti accelera man mano che gli interessati si rivolgono ai concorrenti. Ricostruire la fiducia richiede investimenti sostenuti in miglioramenti della sicurezza e comunicazione trasparente. Comprendere questi impatti rafforza il motivo per cui l'identificazione precoce degli indicatori di furto è essenziale.

Indicatori di furto di informazioni in un ambiente

Il tuo team di sicurezza dovrebbe monitorare anomalie comportamentali e tecniche che segnalano esfiltrazione attiva di dati. Gli aggressori raramente attivano allarmi evidenti. Invece, sfruttano modelli di accesso legittimi e canali fidati per spostare dati fuori dal tuo ambiente senza essere notati. Riconoscere indicatori sottili ti aiuta a fermare le operazioni di furto prima che si verifichi una perdita significativa di dati.

• Modelli insoliti di trasferimento dati rappresentano l'indicatore più diretto. Osserva improvvisi picchi di traffico in uscita, trasferimenti di file di grandi dimensioni verso indirizzi IP esterni sconosciuti o spostamento di dati verso servizi di archiviazione cloud al di fuori della tua lista approvata. Gli aggressori spesso preparano i dati in archivi compressi utilizzando formati .zip, .rar o .7z per ridurre i tempi di trasferimento ed evitare allarmi basati sulle dimensioni.
• Comportamento anomalo degli utenti include accesso a file o sistemi al di fuori delle normali funzioni lavorative, tentativi di accesso da località geografiche sconosciute e attività in orari insoliti. Un dipendente della finanza che accede improvvisamente a repository di ingegneria, o un dipendente in uscita che scarica database clienti, dovrebbe attivare un'indagine immediata. Le ricerche di IBM Security indicano che le organizzazioni impiegano in media 85 giorni per individuare minacce interne, creando ampie finestre per esfiltrazione non rilevata.
• Anomalie nelle connessioni di rete includono connessioni in uscita inattese verso server sconosciuti, traffico su porte non standard e query DNS verso domini sospetti. Gli aggressori utilizzano tunneling DNS e canali criptati per bypassare i controlli di sicurezza tradizionali. Le connessioni verso infrastrutture di comando e controllo spesso mostrano pattern di beaconing con intervalli regolari tra le comunicazioni.
• Irregolarità nell'autenticazione segnalano compromissione delle credenziali. Molteplici tentativi di accesso falliti seguiti da accesso riuscito, sessioni simultanee da località diverse e richieste di escalation dei privilegi meritano attenzione. Il furto di token OAuth e hijacking di sessione consentono agli aggressori di bypassare completamente la multi-factor authentication.
• Modifiche al file system forniscono ulteriori segnali di allarme. Accesso massivo ai file, modifiche non autorizzate ai permessi e tentativi di disabilitare logging o strumenti di sicurezza indicano operazioni di furto attive. La cancellazione o eliminazione di file dopo la copia suggerisce che gli aggressori stanno coprendo le proprie tracce. Mappare questi indicatori alle tue capacità di monitoraggio rivela lacune nella strategia di prevenzione.

Componenti fondamentali della prevenzione del furto di informazioni

La tua strategia di prevenzione del furto di informazioni richiede questi componenti interconnessi:

• Identità come fondamento del controllo: È necessaria la verifica continua di ogni richiesta di accesso. NIST SP 800-53 Rev. 5 specifica che gli account privilegiati richiedono vaulting delle credenziali, monitoraggio delle sessioni, rotazione autonoma e elevazione dei privilegi just-in-time.
• Visibilità e classificazione degli asset informativi: Strumenti di discovery autonomi individuano informazioni sensibili su sistemi aziendali, archiviazione cloud ed endpoint. Tassonomie di classificazione allineate al rischio aziendale consentono una protezione proporzionata alla sensibilità dei dati.
• Analisi comportamentale oltre le firme: I sistemi basati su firme falliscono contro exploit zero-day, malware polimorfi e tecniche di attacco innovative. L'analisi comportamentale stabilisce baseline per il comportamento normale degli utenti, poi individua anomalie che indicano potenziali operazioni di furto.
• Postura degli endpoint e integrità dei dispositivi: La valutazione della postura dei dispositivi verifica i livelli di patch del sistema operativo, lo stato di risposta degli endpoint, la crittografia del disco e la configurazione del firewall prima di concedere accesso a risorse sensibili.
• Integrazione della threat intelligence: MITRE ATT&CK fornisce una knowledge base globale dei comportamenti degli avversari mappata su 14 tattiche e oltre 200 tecniche. La tua attività di threat hunting utilizza ATT&CK come approccio strutturato per la scoperta proattiva degli avversari.
• Segmentazione di rete e controlli di accesso: La micro-segmentazione limita il movimento laterale restringendo i percorsi di rete tra i sistemi. I controlli di accesso basati sui ruoli garantiscono che gli utenti possano raggiungere solo le risorse necessarie alle loro funzioni.
• Risposta agli incidenti e ripristino: Le procedure documentate devono includere capacità di indagine forense, strategie di contenimento e meccanismi di ripristino che riportino le operazioni senza pagare riscatti.

Questi componenti creano una difesa in profondità, ma implementarli efficacemente richiede comprendere esattamente come operano gli aggressori.

Come funziona il furto di informazioni

Comprendere la progressione dell'attacco dall'accesso iniziale all'esfiltrazione dei dati ti aiuta a identificare dove rafforzare le difese.

• Accesso iniziale e ricognizione. Gli aggressori iniziano con campagne di social engineering rivolte ai tuoi dipendenti. CISA documenta attori della minaccia Scattered Spider che si spacciano per personale helpdesk per indurre i dipendenti a eseguire strumenti commerciali di accesso remoto. In alternativa, gli aggressori sfruttano vulnerabilità in applicazioni esposte pubblicamente. L'indagine di CISA sulla vulnerabilità GeoServer CVE-2024-36401 ha documentato attori della minaccia che hanno sfruttato la vulnerabilità l'11 luglio 2024, con CISA che l'ha aggiunta al Known Exploited Vulnerabilities Catalog il 15 luglio 2024, ma gli aggressori hanno continuato a sfruttare la stessa vulnerabilità contro organizzazioni vittime il 24 luglio 2024.
• Furto di credenziali ed escalation dei privilegi. Dopo l'accesso iniziale, gli aggressori raccolgono credenziali per espandere la loro presenza. L'FBI ha documentato il gruppo UNC6395 che ha condotto furto di token OAuth e refresh token da integrazioni Drift nel settembre 2025, dimostrando come gli aggressori utilizzino token di autenticazione legittimi per bypassare i controlli di sicurezza. Una volta all'interno, distribuiscono strumenti di ricognizione per individuare repository di dati di alto valore.
• Movimento laterale e persistenza. Gli aggressori si muovono lateralmente utilizzando credenziali compromesse e relazioni di fiducia sfruttate. L'avviso ransomware Medusa di CISA (AA25-071a) dimostra la terminazione sistematica di servizi di backup e sicurezza su reti vittime, impiegando tecniche MITRE ATT&CK tra cui T1027.013 (codice offuscato), T1569.002 (abuso di servizi di sistema) e T1489 (arresto dei servizi).
• Identificazione e staging dei dati. Gli attori della minaccia identificano e preparano sistematicamente dati di alto valore prima dell'esfiltrazione, prendendo di mira proprietà intellettuale, database clienti e registri finanziari. Le ricerche di IBM Security mostrano che le organizzazioni impiegano in media 85 giorni per individuare minacce interne, creando ampie finestre per l'esfiltrazione senza attivare allarmi.
• Esfiltrazione ed estorsione. Il furto di informazioni moderno impiega tattiche di doppia estorsione. L'avviso ransomware Interlock di CISA spiega come gli aggressori eseguano AzCopy per esfiltrare dati su Azure storage e utilizzino WinSCP per i trasferimenti di file, creando una doppia leva tramite interruzione operativa e minacce di esposizione dei dati. Ogni fase di questa catena di attacco rappresenta un'opportunità per le tue difese di intervenire.

Tecniche utilizzate dagli attori della minaccia

Gli aggressori combinano più tecniche per rubare i tuoi dati eludendo i controlli di sicurezza. Comprendere questi metodi ti aiuta a individuare lacune di copertura nelle difese e a dare priorità agli investimenti in sicurezza.

Social engineering e phishing restano i principali punti di ingresso per le operazioni di furto di informazioni. Gli aggressori creano email di spear-phishing mirate che impersonano dirigenti, fornitori o personale IT. L' avviso Scattered Spider di CISA documenta attori della minaccia che chiamano i dipendenti fingendosi helpdesk, indirizzandoli verso siti di raccolta credenziali o istruendoli a installare strumenti di accesso remoto. Il vishing (phishing vocale) e lo smishing (phishing via SMS) bypassano completamente i controlli di sicurezza email.

• Raccolta e abuso di credenziali segue il social engineering riuscito. Gli aggressori distribuiscono keylogger, rubano password memorizzate nei browser ed estraggono credenziali dalla memoria utilizzando strumenti come Mimikatz. L'FBI ha documentato il gruppo UNC6395 che ha rubato token OAuth e refresh token da integrazioni di terze parti, consentendo accesso persistente senza attivare allarmi basati sulle password. Le credenziali rubate permettono agli aggressori di muoversi nell'ambiente come utenti legittimi.
• Tecniche living-off-the-land utilizzano i tuoi stessi strumenti contro di te. Gli aggressori eseguono script PowerShell, sfruttano Windows Management Instrumentation (WMI) e abusano di strumenti di amministrazione remota già presenti nell'ambiente. Queste tecniche si confondono con le normali attività amministrative, rendendo difficile distinguerle dalle operazioni legittime. MITRE ATT&CK cataloga queste tecniche come T1059 (Command and Scripting Interpreter) e T1047 (Windows Management Instrumentation).
• Abuso di archiviazione cloud sfrutta servizi fidati per l'esfiltrazione dei dati. Gli aggressori caricano dati rubati su piattaforme cloud legittime come Azure Blob Storage, AWS S3 o servizi consumer come Google Drive e Dropbox. L' avviso ransomware Interlock di CISA documenta aggressori che utilizzano AzCopy per trasferire dati su Azure storage controllato dagli attaccanti. Il monitoraggio di rete spesso consente questo traffico perché i domini di destinazione appaiono legittimi.
• Tunneling criptato e canali occulti nascondono i trasferimenti di dati all'ispezione. Il tunneling DNS codifica dati rubati all'interno di query DNS verso domini controllati dagli aggressori. Le connessioni HTTPS verso server di comando e controllo si confondono con il normale traffico web. Alcuni aggressori usano la steganografia per incorporare dati in file immagine o sfruttano protocolli come ICMP che spesso vengono ignorati dagli strumenti di sicurezza.
• Ransomware a doppia estorsione ora include il furto di dati come pratica standard. Gruppi come Medusa, BlackCat e Interlock esfiltrano dati sensibili prima di criptare i sistemi, creando leva anche se ripristini dai backup. Gli avvisi CISA documentano questi gruppi che identificano e preparano sistematicamente dati di alto valore, minacciando l'esposizione pubblica insieme all'interruzione operativa. Fermare questi attacchi richiede individuare l'attività di furto prima che inizi la cifratura.

Vantaggi chiave della prevenzione del furto di informazioni

L'investimento nella prevenzione del furto di informazioni offre valore organizzativo misurabile oltre la conformità normativa.

• Evitamento dei costi quantificato. Le ricerche di IBM Security documentano che le organizzazioni con gravi carenze di personale di sicurezza hanno affrontato costi di violazione mediamente superiori di 1,76 milioni di dollari rispetto alle organizzazioni adeguatamente dotate, mentre le organizzazioni sanitarie hanno subito 9,77 milioni di dollari di costi medi per violazione. Gli investimenti in prevenzione proteggono il valore per gli azionisti e le attività generatrici di ricavi.
• Tutela della proprietà intellettuale. L'FBI considera lo spionaggio economico e il furto di segreti commerciali tra le principali priorità di controspionaggio, gestendo il Counterintelligence Strategic Partnership Program (CISPP) per aiutare le organizzazioni a proteggere tecnologie sensibili. Quando la tua proprietà intellettuale rappresenta un vantaggio competitivo di milioni di dollari, gli investimenti in prevenzione dimostrano un chiaro ritorno sull'investimento.
• Riduzione del rischio normativo. Affronti sanzioni normative secondo framework come GDPR, CCPA, HIPAA e requisiti specifici di settore. Sforzi di prevenzione documentati e allineati al NIST Cybersecurity Framework 2.0 dimostrano diligenza e riducono l'esposizione legale. Questi vantaggi sono sostanziali, ma per realizzarli occorre superare ostacoli operativi reali.

Sfide nella prevenzione del furto di informazioni

Affronti ostacoli persistenti nonostante significativi investimenti in sicurezza.

• Proliferazione di strumenti e fallimenti di integrazione. Il tuo ambiente di sicurezza probabilmente contiene da 10 a oltre 40 strumenti disparati che non condividono efficacemente dati o correlano eventi. Ogni strumento aggiuntivo richiede credenziali separate, interfacce diverse e formati di allerta unici. Purple AI gestisce autonomamente le attività di indagine di routine, riducendo il carico di triage degli analisti senza aumentare la proliferazione di strumenti.
• Affaticamento da allerta. I sistemi basati su firme falliscono contro exploit zero-day e attacchi personalizzati progettati per eludere le firme note. Gli analisti affrontano falsi positivi in cui attività lecite vengono segnalate come malevole. Gli attacchi moderni si adattano in tempo reale, richiedendo analisi comportamentale invece del semplice matching di firme statiche.
• Lacune nella gestione delle identità e degli accessi. Le implementazioni IAM spesso contengono account sovra-privilegiati con permessi non necessari. Il monitoraggio insufficiente delle attività privilegiate crea punti ciechi in cui credenziali compromesse consentono movimento laterale prima della scoperta. Singularity Identity offre difesa in tempo reale contro abuso di credenziali ed escalation dei privilegi in ambienti ibridi di identità.
• Visibilità sulla supply chain. Gli aggressori prendono sempre più di mira la supply chain, compromettendo fornitori meno sicuri per accedere al tuo ambiente meglio protetto. Questa superficie di attacco estesa è difficile da monitorare e controllare. Queste sfide si aggravano quando le organizzazioni commettono errori evitabili nell'approccio alla sicurezza.

Errori comuni nella prevenzione del furto di informazioni

La tua organizzazione probabilmente commette errori prevenibili che aumentano il rischio di furto di informazioni.

• Affidarsi esclusivamente alla difesa perimetrale. Il perimetro di rete non può tenere fuori gli aggressori quando forza lavoro remota, servizi cloud e connessioni di fornitori bypassano i confini tradizionali. La NIST Special Publication 800-207 stabilisce che l'architettura Zero Trust è necessaria, con verifica continua di ogni richiesta di accesso indipendentemente dall'origine. Singularity Platform offre verifica Zero Trust su endpoint, carichi di lavoro cloud e sistemi di identità.
• Ritardare l'applicazione delle patch alle vulnerabilità. Il caso di studio GeoServer CVE-2024-36401 dimostra che gli attori della minaccia hanno attivamente sfruttato una vulnerabilità nota per 13 giorni dopo che CISA l'ha aggiunta al Known Exploited Vulnerabilities Catalog. Cicli di patch estesi creano finestre in cui gli aggressori sfruttano vulnerabilità pubblicate.
• Trattare le minacce interne come problemi IT. Sono necessari programmi formali di rilevamento delle minacce interne con sponsorizzazione esecutiva e team trasversali che includano HR, legale, sicurezza IT e management. 
• Formazione sulla conformità solo annuale. Una formazione una volta all'anno non affronta le nuove tattiche di social engineering. Il SANS Security Awareness Report 2025 ha rilevato che l'80% delle organizzazioni considera il social engineering il rischio umano numero uno. L'apprendimento continuo con metriche di cambiamento comportamentale si dimostra più efficace. Evitare questi errori è il primo passo; implementare pratiche comprovate è il successivo.

Best practice per la prevenzione del furto di informazioni

Hai bisogno di strategie allineate ai framework autorevoli di NIST, CISA e MITRE.

• Implementa l'architettura Zero Trust. NIST Special Publication 800-207 definisce Zero Trust come la minimizzazione dell'incertezza nell'applicazione di decisioni di accesso accurate e con il minimo privilegio per ogni richiesta. Presumi la presenza di avversari, verifica continuamente tutti gli accessi alle risorse, concedi il minimo accesso necessario e autentica tutte le richieste. Inizia dall'identità come fondamento, implementa la micro-segmentazione e distribuisci il monitoraggio continuo.
• Distribuisci la gestione delle identità basata sul rischio. NIST Special Publication 800-63-3 richiede alle organizzazioni di implementare autenticazione basata sul rischio con fattori multipli e validazione continua. Gli account privilegiati richiedono vaulting delle credenziali, monitoraggio delle sessioni, rotazione autonoma delle password ed elevazione dei privilegi just-in-time.
• Stabilisci controlli di classificazione dei dati. NIST SP 1800-28 fornisce linee guida su riservatezza dei dati e protezione degli asset. Distribuisci la crittografia per i dati a riposo, in transito e in uso. Implementa policy DLP a livello di rete, endpoint e cloud.
• Mappa i controlli a MITRE ATT&CK. Mappa i controlli di sicurezza esistenti alle tecniche ATT&CK per individuare lacune di copertura. Conduci esercitazioni di purple team utilizzando scenari ATT&CK per validare che i controlli implementati fermino le tecniche documentate degli avversari.
• Sviluppa programmi formali per le minacce interne. La Guida CISA per la prevenzione delle minacce interne sottolinea che programmi efficaci richiedono sponsorizzazione esecutiva e team trasversali. Distribuisci User and Entity Behavior Analytics (UEBA) che stabiliscono baseline e individuano anomalie.
• Implementa la gestione del rischio della supply chain. NIST SP 800-161 Rev. 1 stabilisce framework per la valutazione del rischio di terze parti. Includi requisiti di cybersecurity nei contratti con i fornitori e conduci valutazioni periodiche. La sicurezza cloud estende la visibilità su ambienti multi-cloud dove si nascondono vulnerabilità della supply chain. L'esecuzione di queste pratiche su larga scala richiede piattaforme di sicurezza progettate per la protezione autonoma.

Esempi di attacchi di furto di informazioni

Incidenti reali rivelano come gli aggressori eseguono il furto di informazioni e quali fallimenti ne consentono il successo. Questi casi dimostrano le tecniche, i costi e l'impatto organizzativo trattati in questa guida.

• Change Healthcare (febbraio 2024) è uno degli incidenti di furto di informazioni sanitarie più dannosi nella storia degli Stati Uniti. Il gruppo ransomware BlackCat (ALPHV) ha infiltrato i sistemi di Change Healthcare, esfiltrato dati sensibili dei pazienti e distribuito ransomware che ha bloccato l'elaborazione delle richieste mediche a livello nazionale. I pazienti hanno pagato di tasca propria i farmaci mentre i fornitori hanno perso ricavi a causa dei sistemi di fatturazione bloccati. UnitedHealth Group, società madre di Change Healthcare, ha riportato nel suo Q3 2024 SEC filing che i costi di risposta hanno raggiunto circa 2,87 miliardi di dollari nel 2024. In un'audizione al Congresso, il CEO Andrew Witty ha confermato che gli aggressori hanno ottenuto l'accesso iniziale tramite credenziali compromesse su un portale Citrix privo di autenticazione a più fattori.
• Violazioni clienti Snowflake (2024) hanno colpito grandi organizzazioni, tra cui Ticketmaster, AT&T e Santander, tramite un unico vettore di attacco. Un attore della minaccia tracciato da Mandiant come UNC5537 ha utilizzato credenziali rubate per accedere agli ambienti clienti ospitati sulla piattaforma cloud dati di Snowflake. Nessuno degli account compromessi aveva MFA abilitato e alcune credenziali erano disponibili su marketplace criminali da anni. La violazione Ticketmaster ha esposto dati di circa 560 milioni di clienti, mentre AT&T ha perso registri contenenti metadati di chiamate e messaggi per quasi tutti i suoi clienti mobili. Questi incidenti mostrano come il furto di credenziali, combinato con autenticazione debole, crei esposizione catastrofica su più organizzazioni.
• Attacchi Salt Typhoon Telecom (2024) hanno preso di mira i principali provider di telecomunicazioni statunitensi, tra cui AT&T, Verizon, T-Mobile e Lumen Technologies. Il gruppo sponsorizzato dallo stato cinese ha avuto accesso a metadati di chiamate e messaggi, informazioni di geolocalizzazione e, in alcuni casi, registrazioni audio reali. La dichiarazione congiunta di FBI e CISA ha confermato che la campagna ha preso di mira infrastrutture di telecomunicazioni commerciali e CISA ha emesso linee guida di rafforzamento per le infrastrutture di comunicazione in risposta.
• Sfruttamento MOVEit Transfer (2023-2024) ha sfruttato una vulnerabilità zero-day nell'applicazione di trasferimento file di Progress Software. Il gruppo ransomware Cl0p ha preso sistematicamente di mira organizzazioni che utilizzavano MOVEit, esfiltrando dati prima che le vittime potessero applicare le patch. L'avviso congiunto CISA e FBI (AA23-158A) ha documentato che dal 27 maggio 2023 Cl0p ha sfruttato la vulnerabilità di SQL injection CVE-2023-34362 per installare una web shell chiamata LEMURLOOT sulle applicazioni web MOVEit Transfer. Quasi l'80% delle vittime erano aziende statunitensi, tra cui il Dipartimento dell'Energia, la Johns Hopkins University e il Dipartimento dell'Istruzione di New York. L'incidente illustra come le vulnerabilità nella supply chain di software fidato creino opportunità diffuse di furto di informazioni.

Questi attacchi condividono elementi comuni: compromissione delle credenziali, controlli di autenticazione inadeguati e ritardi tra l'accesso iniziale e la scoperta. Fermare il furto di informazioni richiede protezione autonoma che agisca più rapidamente dei tempi di risposta umani.

Ferma il furto di informazioni con SentinelOne

SentinelOne impedisce agli aggressori di rubare i dati più importanti — dagli endpoint e dalle identità ai carichi di lavoro cloud, storage oggetti e modelli AI. La Singularity™ Platform unifica prevenzione, rilevamento e risposta affinché i team di sicurezza possano vedere e bloccare i tentativi di furto di informazioni in tempo reale.

Blocca il furto di dati su endpoint e identità

Singularity™ Endpoint e Singularity™ Identity lavorano insieme per fermare l'abuso di credenziali, l'escalation dei privilegi e l'esfiltrazione di dati da dispositivi utente e directory. Storyline ricostruisce l'intera sequenza dell'attacco in millisecondi e la mappa a MITRE ATT&CK, così gli analisti possono vedere immediatamente come un'intrusione sta progredendo verso il furto di dati. 

Endpoint Firewall Control e Device Control bloccano percorsi di uscita rischiosi limitando le connessioni in uscita e bloccando o limitando dispositivi USB e Bluetooth non attendibili, impedendo agli aggressori di portare via file sensibili. Singularity™ Mobile estende questa protezione a iOS, Android e ChromeOS, fermando phishing, attacchi man-in-the-middle e app malevole che sottraggono dati da telefoni e tablet in modo silenzioso. Quando gli operatori ransomware tentano la doppia estorsione (crittografando i dati ed esfiltrandoli per ottenere leva), il contenimento automatico e il Rollback con un clic aiutano a garantire che esistano copie sicure dei dati da ripristinare, eliminando la capacità dell'attaccante di estorcere l'organizzazione.

Convergi endpoint e identità per una copertura completa

Poiché la maggior parte dei furti di dati inizia con credenziali rubate, SentinelOne converge la telemetria degli endpoint con il contesto delle identità. Singularity™ Identity monitora continuamente Active Directory e i provider di identità cloud per individuare configurazioni errate, privilegi rischiosi e credenziali esposte prima che gli aggressori possano sfruttarli. Tecniche di deception, alert ad alta fedeltà e remediation automatizzata rilevano e bloccano il furto di credenziali, il movimento laterale e gli attacchi alle directory in tempo reale. Combinata con la profonda visibilità endpoint di Singularity™ Endpoint, i team di sicurezza ottengono copertura end-to-end su come utenti, dispositivi e identità vengono presi di mira, così possono contenere il furto di informazioni precocemente nella kill chain.

Proteggi i modelli AI e previeni l'esfiltrazione di dati dai prompt

Man mano che le organizzazioni adottano l'AI generativa, gli aggressori cercano sempre più di esfiltrare dati di addestramento sensibili, segreti e proprietà intellettuale direttamente dai modelli. Prompt Security di SentinelOne protegge strumenti e servizi AI da prompt injection, attacchi di raccolta dati e shadow AI. I guardrail impongono quali dati i modelli possono accedere, mentre il monitoraggio in tempo reale rileva e blocca i tentativi di indurre i modelli a rivelare informazioni riservate o esporre output sensibili. Questo impedisce che dati dei clienti, modelli proprietari e knowledge base interne vengano trasformati in un canale di esfiltrazione.

Proteggi carichi di lavoro cloud, storage e dati con CNAPP, AI SPM e DSPM

Singularity™ Cloud Security offre una CNAPP potenziata dall'AI che unifica Cloud Security Posture Management, AI Security Posture Management (AI SPM), Data Security Posture Management (DSPM) e Cloud Detection and Response per fermare il furto di informazioni negli ambienti cloud. Individua e corregge configurazioni errate, identità sovra-privilegiate e percorsi di esposizione rischiosi che possono portare ad accessi non autorizzati ai dati. Singularity™ Cloud Data Security aggiunge protezione avanzata per storage oggetti come Amazon S3, Azure Blob Storage, Amazon FSxN e NetApp, eseguendo scansioni continue per malware e dati sensibili e impedendone la fuoriuscita dall'ambiente. Insieme, queste capacità garantiscono che dati cloud, backup e pipeline AI rimangano sicuri dal compromesso iniziale fino a qualsiasi tentativo di esfiltrazione.

Unifica tutto con Singularity XDR

Singularity™ XDR aggrega telemetria ad alta fedeltà da endpoint, identità, carichi di lavoro cloud e data store in una vista unica, così i team di sicurezza possono vedere il contesto completo di un tentativo di furto di informazioni e rispondere a velocità macchina. I workflow automatizzati, alimentati da Purple AI, correlano eventi, danno priorità ai rischi più critici e orchestrano azioni di risposta su ogni superficie — chiudendo le lacune su cui gli aggressori fanno affidamento per rubare dati.
Richiedi una demo di SentinelOne per vedere come la protezione autonoma e potenziata dall'AI può aiutare la tua organizzazione a fermare il furto di informazioni prima che impatti il tuo business.