Che cos'è la sicurezza di Remote Monitoring and Management (RMM)?

Che cos'è l'RMM?

Il software di Remote Monitoring and Management (RMM) consente ai team IT e ai managed service provider di monitorare, mantenere e gestire da remoto endpoint distribuiti. Le funzionalità principali includono accesso remoto, monitoraggio dei sistemi, patching autonomo ed esecuzione di script con privilegi elevati. Secondo la Remote Access Guide di CISA, gli strumenti RMM funzionano come software che consente a "managed service provider (MSP), provider di software-as-a-service (SaaS), help desk IT e altri amministratori di rete di eseguire da remoto diverse funzioni."

Considera questo scenario: il tuo team IT distribuisce ConnectWise ScreenConnect alle 9:00 per una manutenzione di sistema legittima. Alle 9:15, gli operatori del ransomware BlackSuit utilizzano lo stesso strumento per cifrare l'intera rete. Questo scenario si è verificato nel periodo 2024-2025, con FBI e CISA che hanno documentato oltre 900 vittime della sola campagna ransomware Play fino a maggio 2025.

Come l'RMM si collega alla cybersecurity

Gli strumenti RMM si sono evoluti da piattaforme essenziali per l'amministrazione IT a superfici di attacco sfruttate da attori delle minacce che vanno dai cybercriminali agli APT statali. Questa trasformazione è avvenuta perché il software RMM fornisce esattamente ciò di cui gli aggressori hanno bisogno: accesso privilegiato ai sistemi, infrastruttura di comando e controllo e traffico di rete apparentemente legittimo che aggira i controlli di sicurezza tradizionali.

Secondo CISA Advisory AA23-061A su BlackSuit Ransomware, "l'FBI ha osservato attori BlackSuit utilizzare software RMM legittimo per mantenere la persistenza nelle reti delle vittime." MITRE ATT&CK T1219.002 identifica la sfida fondamentale di sicurezza: gli strumenti RMM "sono comunemente utilizzati come software di supporto tecnico legittimo e possono essere consentiti dal controllo delle applicazioni all'interno di un ambiente target."

Per comprendere perché le piattaforme RMM creano un'esposizione alla sicurezza così significativa, le organizzazioni devono prima esaminare i componenti architetturali che rendono questi strumenti sia potenti che pericolosi.

Componenti principali dell'RMM

Le piattaforme RMM sono costituite da componenti architetturali interconnessi che consentono l'amministrazione remota su larga scala. Comprendere questi componenti rivela perché gli attori delle minacce prendono di mira l'infrastruttura RMM e come lo sfruttamento si propaga negli ambienti.

• Console di gestione centrale funge da piano di controllo amministrativo in cui i team IT configurano le policy, distribuiscono gli agenti e monitorano lo stato degli endpoint. Quando gli attori delle minacce compromettono questa console, ottengono il controllo amministrativo su tutti gli endpoint gestiti contemporaneamente.
• Software agente installato sugli endpoint gestiti esegue comandi, raccoglie dati di sistema e mantiene connessioni persistenti con l'infrastruttura di gestione. Questi agenti operano con privilegi SYSTEM o root per svolgere attività amministrative. Secondo la Remote Access Guide di CISA, questo contesto di esecuzione privilegiato consente agli attori delle minacce di distribuire ransomware, raccogliere credenziali e muoversi lateralmente senza attivare avvisi di escalation dei privilegi.
• Infrastruttura di comunicazione stabilisce connessioni in uscita dagli endpoint gestiti ai server RMM per la ricezione di comandi e la trasmissione di dati. Gli attori delle minacce sfruttano questi canali di comunicazione pre-approvati per comando e controllo, confondendo il traffico malevolo con le sessioni di gestione autorizzate.
• Motore di scripting autonomo consente ai team IT di distribuire patch, configurare sistemi ed eseguire attività di remediation su migliaia di endpoint tramite PowerShell, Bash o linguaggi di scripting proprietari. Secondo la CISA Advisory AA25-071A su Medusa Ransomware, gli attori delle minacce distribuiscono script PowerShell offuscati in base64 tramite piattaforme RMM per raccogliere credenziali di backup Veeam ed enumerare l'infrastruttura di rete prima della distribuzione del ransomware.
• Interfaccia di accesso remoto fornisce controllo desktop interattivo, funzionalità di trasferimento file e accesso shell remoto per troubleshooting e amministrazione. Gruppi come Scattered Spider distribuiscono più strumenti RMM tra cui TeamViewer e AnyDesk, mentre Storm-1811 abusa di ScreenConnect e NetSupport Manager per stabilire accesso interattivo persistente.

Nonostante queste preoccupazioni di sicurezza, gli strumenti RMM rimangono essenziali per le operazioni IT moderne. Comprendere il loro valore legittimo spiega perché le organizzazioni continuano a distribuirli—e perché gli attori delle minacce li trovano così attraenti.

Vantaggi principali dell'RMM

Le piattaforme RMM offrono efficienza operativa misurabile ai team IT che gestiscono infrastrutture distribuite su larga scala. Questi vantaggi legittimi spiegano perché le organizzazioni adottano strumenti RMM e perché gli attori delle minacce li sfruttano sistematicamente.

• Gestione centralizzata su larga scala consente a singoli amministratori di gestire migliaia di endpoint in diverse sedi geografiche tramite console unificate. Tuttavia, secondo la documentazione di CISA e FBI, questa centralizzazione crea rischi di sicurezza significativi quando le piattaforme RMM vengono compromesse, colpendo organizzazioni in campagne ransomware documentate.
• Monitoraggio proattivo dei sistemi consente la registrazione e il monitoraggio continuo dell'attività RMM per individuare accessi non autorizzati e schemi sospetti di movimento laterale. Avvisi autonomi su comportamenti RMM anomali riducono il tempo di permanenza e consentono una risposta agli incidenti più rapida.
• Gestione autonoma delle patch distribuisce aggiornamenti di sicurezza, patch applicative e modifiche di configurazione senza intervento manuale. Le piattaforme RMM gestiscono distribuzione, installazione e verifica sugli endpoint gestiti, chiudendo le finestre di vulnerabilità più rapidamente rispetto ai processi manuali.
• Riduzione delle esigenze di supporto on-site elimina la necessità di accesso fisico per la maggior parte delle attività di troubleshooting e manutenzione. I team di supporto possono risolvere ticket help desk tramite sessioni remote invece di inviare tecnici, riducendo i costi di supporto e accelerando i tempi di risoluzione.

Le stesse funzionalità che rendono l'RMM indispensabile per i team IT—accesso privilegiato, esecuzione remota di comandi e connettività persistente—rendono questi strumenti altrettanto preziosi per gli aggressori che cercano il controllo della rete.

Come gli attori delle minacce sfruttano gli strumenti RMM

Gli attori delle minacce sfruttano gli strumenti RMM attraverso quattro principali vettori di attacco, ciascuno dei quali fa leva sulla fiducia intrinseca che le organizzazioni ripongono nell'infrastruttura di gestione remota.

• Furto di credenziali e compromissione degli account rappresenta il metodo di sfruttamento più comune. Secondo la CISA Advisory AA23-025A, gli attori delle minacce prendono di mira "credenziali legittime compromesse" tramite campagne di phishing, attacchi di credential stuffing utilizzando elenchi di password da precedenti violazioni e acquisto di credenziali rubate da broker di accesso iniziale su marketplace del dark web. Una volta ottenute credenziali RMM valide, gli aggressori ereditano pieni privilegi amministrativi su tutti gli endpoint gestiti senza attivare avvisi di sicurezza. Il furto di credenziali consente agli aggressori di confondersi con l'attività amministrativa legittima, rendendo la rilevazione estremamente difficile. Gli attori delle minacce prendono di mira anche account di servizio e chiavi API che possono avere policy di password più deboli o mancare di enforcement MFA.
• Sfruttamento delle vulnerabilità prende di mira piattaforme RMM non patchate con vulnerabilità note. La CVE-2024-1709 di ConnectWise ScreenConnect ha raggiunto una gravità CVSS di 10.0 con bypass di autenticazione che consente l'esecuzione di codice remoto non autenticato. Nei giorni successivi alla divulgazione, gli attori delle minacce hanno armato questa vulnerabilità per distribuire ransomware su migliaia di organizzazioni. Secondo la CISA Advisory AA25-163A, lo sfruttamento attivo di SimpleHelp RMM ha portato a "interruzioni di servizio e incidenti di doppia estorsione" che hanno colpito un fornitore di software di fatturazione e i suoi clienti a valle.
• Distribuzione RMM non autorizzata implica che gli attori delle minacce installino strumenti di accesso remoto non autorizzati su sistemi compromessi per stabilire accesso persistente indipendente dai controlli di sicurezza esistenti. Gli aggressori distribuiscono software RMM legittimo come AnyDesk o TeamViewer camuffato da documenti aziendali tramite email di phishing. Secondo la CISA Advisory AA23-025A, gli aggressori utilizzano campagne di phishing a tema help-desk per convincere gli utenti a concedere accesso remoto o installare eseguibili RMM portatili che non richiedono privilegi di installazione. Queste versioni portatili aggirano i controlli di whitelisting delle applicazioni e forniscono accesso remoto immediato senza credenziali amministrative.

• Compromissione della supply chain prende di mira MSP e fornitori di servizi IT che gestiscono infrastrutture RMM per più clienti. Una singola compromissione MSP si propaga a tutti i clienti a valle tramite canali di gestione fidati. L'attacco Kaseya VSA del 2021 ha dimostrato questo effetto di amplificazione quando il ransomware REvil si è propagato tramite relazioni MSP cifrando oltre 1.500 organizzazioni a valle in poche ore. Gli aggressori prendono di mira specificamente gli MSP perché un singolo provider compromesso garantisce accesso a decine o centinaia di ambienti clienti.

Alla luce di questi metodi di sfruttamento, i team di sicurezza hanno bisogno di indicatori affidabili per distinguere l'attività RMM malevola dall'amministrazione legittima.

Come rilevare attacchi basati su RMM

Rilevare attacchi basati su RMM richiede il monitoraggio di anomalie comportamentali che distinguano l'attività malevola dall'amministrazione legittima. Il rilevamento tradizionale basato su firme fallisce perché gli strumenti RMM sono software legittimi che svolgono funzioni attese.

• Installazione non autorizzata di strumenti RMM: Monitora la presenza di nuovo software di accesso remoto sugli endpoint senza approvazione del change management. Presta attenzione a strumenti non autorizzati dalla policy IT, inclusi TeamViewer, AnyDesk, ScreenConnect, Atera, Splashtop, LogMeIn, RemotePC e NetSupport Manager. Secondo la documentazione MITRE ATT&CK, gli attori delle minacce distribuiscono frequentemente più strumenti RMM contemporaneamente per stabilire canali di accesso ridondanti.
• Tempistiche e durata anomale delle sessioni: Segnala per indagine i pattern di accesso fuori orario. Le sessioni RMM avviate alle 2:00 da località geografiche incoerenti con quelle degli amministratori richiedono revisione immediata. Monitora sessioni con durata insolita rispetto all'attività amministrativa di base, in particolare sessioni prolungate su sistemi che raramente richiedono amministrazione remota.
• Esecuzione sospetta di comandi: Genera avvisi su comandi PowerShell codificati in base64, strumenti di raccolta credenziali che prendono di mira la memoria LSASS o database di backup Veeam, e comandi di enumerazione di rete come nltest, net group, dsquery o systeminfo eseguiti tramite canali RMM. Secondo la CISA Advisory AA25-071A, gli attori delle minacce utilizzano cmd.exe e PowerShell tramite piattaforme RMM per enumerazione filesystem e raccolta credenziali prima della distribuzione di ransomware.
• Indicatori di movimento laterale: Traccia quali endpoint vengono normalmente gestiti dagli amministratori e genera avvisi quando le sessioni RMM prendono di mira controller di dominio, server di backup, sistemi finanziari o workstation di dirigenti senza richieste di modifica documentate. Accessi improvvisi a asset di alto valore da connessioni RMM precedentemente inattive segnalano una possibile compromissione.
• Installazioni RMM concorrenti multiple: Gli aggressori installano strumenti RMM di backup per mantenere la persistenza se i team di sicurezza disabilitano il loro accesso principale. Genera avvisi quando gli endpoint mostrano più di un agente RMM attivo o quando nuovi strumenti RMM compaiono poco dopo incidenti di sicurezza. Mantieni una whitelist di strumenti RMM approvati e considera ogni deviazione come potenziale indicatore di compromissione.
• Attività di trasferimento file: Monitora trasferimenti di file di grandi dimensioni verso destinazioni esterne, in particolare archivi compressi o esportazioni di database trasferite fuori orario. Gli attori delle minacce utilizzano comunemente le funzionalità di trasferimento file RMM per esfiltrare dati sensibili prima della distribuzione di ransomware.

Centralizza i log RMM in piattaforme SIEM per correlare questi indicatori tra ambienti e consentire una risposta rapida alle minacce emergenti.

Anche con capacità di rilevamento robuste, le organizzazioni affrontano sfide di sicurezza fondamentali insite nell'architettura RMM che complicano gli sforzi difensivi.

Sfide e limitazioni della sicurezza RMM

Le piattaforme RMM presentano sfide di sicurezza fondamentali che gli approcci tradizionali non possono risolvere. Queste sfide derivano da decisioni architetturali che privilegiano la funzionalità amministrativa rispetto ai controlli di sicurezza.

• Bypass del controllo applicazioni per design si verifica perché gli strumenti RMM appaiono come software legittimo e pre-approvato che svolge funzioni amministrative attese. Secondo MITRE ATT&CK T1219.002, gli strumenti RMM "sono comunemente utilizzati come software di supporto tecnico legittimo e possono essere consentiti dal controllo delle applicazioni all'interno di un ambiente target." La protezione endpoint vede software autorizzato e ne consente l'esecuzione.
• Requisiti di accesso privilegiato impongono che gli agenti RMM operino con privilegi SYSTEM o root per svolgere attività amministrative. Quando gli attori delle minacce compromettono sessioni RMM, ereditano questi privilegi elevati mantenendo l'apparenza di attività amministrativa legittima.
• Pattern di traffico legittimo rendono inefficace l'identificazione basata sulla rete perché la comunicazione RMM appare identica alle sessioni di gestione autorizzate. Secondo la Remote Access Guide di CISA, gli attori delle minacce utilizzano infrastruttura RMM legittima per "gestire più intrusioni contemporaneamente," controllando più reti compromesse tramite canali approvati.
• Finestre di esposizione alle vulnerabilità creano requisiti di patching urgenti quando le piattaforme RMM subiscono vulnerabilità di bypass autenticazione o esecuzione di codice remoto. Queste vulnerabilità vengono rapidamente armate dagli attori delle minacce che scansionano Internet alla ricerca di infrastrutture RMM esposte.
• Proliferazione di strumenti multi-vendor crea lacune di visibilità quando le organizzazioni distribuiscono più soluzioni RMM tra dipartimenti, società acquisite o esigenze di progetto specifiche. I dipartimenti IT approvano ScreenConnect mentre i team di sviluppo installano TeamViewer e gli help desk distribuiscono Splashtop senza supervisione centralizzata.

Queste sfide architetturali diventano vulnerabilità critiche se combinate con comuni errori operativi.

Errori comuni nella sicurezza RMM

Le organizzazioni commettono frequentemente errori evitabili che espongono la loro infrastruttura RMM allo sfruttamento:

• Shadow IT e distribuzioni RMM non autorizzate si verificano quando le organizzazioni non inventariano tutti gli strumenti di accesso remoto distribuiti nell'ambiente. Secondo la CISA Advisory AA23-025A, gli attori delle minacce sfruttano le installazioni di shadow IT che proliferano senza la consapevolezza del team di sicurezza.
• Credenziali deboli o di default sulle piattaforme RMM forniscono accesso amministrativo diretto tramite abuso di credenziali. La CISA Advisory AA23-025A identifica l'uso di credenziali deboli o compromesse da precedenti violazioni come vulnerabilità critica.
• Segmentazione di rete inadeguata consente movimento laterale in tutto l'ambiente dopo una compromissione iniziale RMM. Gli attori delle minacce utilizzano l'RMM per spostarsi lateralmente dall'accesso iniziale alla compromissione completa della rete.
• Logging e monitoraggio insufficienti permettono agli attori delle minacce di condurre operazioni malevole mantenendo l'apparenza di sessioni amministrative legittime. La mancata supervisione dei log delle sessioni RMM consente a esfiltrazione dati e distribuzione di malware di passare inosservate.
• Software RMM non patchato fornisce percorsi di sfruttamento noti con codice exploit pubblicamente disponibile. ConnectWise ScreenConnect CVE-2024-1709 interessa le versioni 23.9.7 e precedenti con un punteggio CVSS di 10.0.

Affrontare questi errori richiede l'implementazione sistematica di controlli di sicurezza che bilancino le esigenze operative con la riduzione del rischio.

Best practice per la sicurezza RMM

L'implementazione delle best practice di sicurezza basate sulle linee guida di CISA, NSA e CIS Controls riduce il rischio di sfruttamento RMM mantenendo la funzionalità operativa.

• Inventario e audit obbligatori del software RMM: Stabilisci visibilità su tutti gli strumenti di accesso remoto distribuiti negli ambienti. Audita il software RMM trimestralmente utilizzando strumenti di identificazione endpoint e analisi del traffico di rete. Blocca l'esecuzione di software di accesso remoto non autorizzato tramite policy di controllo applicazioni allineate al CIS Control 2.
• Autenticazione forte e enforcement MFA: Richiedi autenticazione multi-fattore per tutti gli accessi amministrativi RMM. Implementa metodi MFA resistenti al phishing che impediscano il bypass tramite furto di token di sessione.
• Gestione continua delle vulnerabilità con patching prioritario: Monitora il catalogo delle vulnerabilità note sfruttate di CISA per i CVE relativi all'RMM. Stabilisci procedure di patching di emergenza per l'infrastruttura RMM esposta a Internet separate dai cicli di patch standard.
• Segmentazione di rete e restrizioni di accesso: Distribuisci l'infrastruttura RMM in segmenti di rete isolati con regole firewall rigorose. Limita l'accesso RMM a gruppi di endpoint specifici in base alle esigenze amministrative.
• Resistenza al phishing e formazione degli utenti: Forma gli utenti a riconoscere le campagne di phishing legate all'RMM. Implementa controlli di sicurezza email che blocchino allegati eseguibili camuffati da documenti fiscali o fatture.
• Pianificazione della risposta agli incidenti per compromissione RMM: Documenta le procedure per la revoca di emergenza degli accessi RMM. Mantieni metodi di accesso amministrativo di backup che non dipendano da piattaforme RMM potenzialmente compromesse.
• Implementazione di AI comportamentale per il riconoscimento dei pattern: Distribuisci piattaforme di protezione endpoint con capacità di AI comportamentale che monitorino comportamenti sospetti degli strumenti di accesso remoto. Le piattaforme di sicurezza dovrebbero generare avvisi su distribuzione simultanea di più strumenti RMM, azioni amministrative inattese fuori orario o sessioni RMM provenienti da località geografiche insolite.

L'implementazione del rilevamento AI comportamentale richiede piattaforme di sicurezza progettate per identificare attività RMM anomale consentendo al contempo operazioni amministrative legittime.

Blocca gli attacchi basati su RMM con SentinelOne

SentinelOne Singularity Platform utilizza AI comportamentale per individuare e bloccare autonomamente gli attacchi basati su RMM tramite monitoraggio continuo del comportamento degli endpoint. La piattaforma offre prestazioni elevate nelle valutazioni indipendenti MITRE ATT&CK con alta visibilità delle minacce e zero ritardi. SentinelOne è riconosciuta come Leader nel Magic Quadrant di Gartner per le piattaforme di protezione endpoint.

Quando gli attori delle minacce distribuiscono client RMM camuffati da documenti aziendali, Singularity Endpoint utilizza AI comportamentale per individuare catene di esecuzione che includono injection di processi, escalation dei privilegi e connessioni di rete verso infrastrutture RMM non autorizzate. I team di sicurezza ricevono avvisi correlati con contesto forense completo tramite la tecnologia Storyline, che ricostruisce automaticamente l'intera narrazione dell'attacco e la mappa alle TTP MITRE ATT&CK.

Purple AI accelera l'investigazione delle minacce RMM tramite query in linguaggio naturale e analisi generate dall'AI. Quando i team indagano su attività sospette di ScreenConnect alle 2:00, Purple AI fornisce insight conversazionali su quali sistemi sono stati accessibili e perché determinati comportamenti possono indicare intento malevolo. I primi utilizzatori riportano fino all'80% di velocità superiore nell'hunting delle minacce grazie all'interfaccia in linguaggio naturale di Purple AI.

Quando gli attori delle minacce eseguono payload ransomware tramite sessioni RMM compromesse, la behavioral AI di Singularity Platform identifica pattern di attività sospetti e attiva risposte autonome tra cui terminazione dei processi e isolamento di rete. Il rollback con un clic ripristina i sistemi colpiti allo stato pre-attacco, minimizzando i danni ed eliminando la necessità di pagare riscatti. Secondo i risultati della valutazione MITRE di SentinelOne, la piattaforma ha generato l'88% di avvisi in meno rispetto alle soluzioni concorrenti, riducendo la fatica da alert mantenendo la piena visibilità sulle minacce.

Richiedi una demo di SentinelOne per vedere come l'AI comportamentale blocca autonomamente gli attacchi basati su RMM.

Punti chiave

Gli strumenti RMM si sono evoluti da piattaforme IT essenziali a superfici di attacco sfruttate da famiglie ransomware tra cui BlackSuit, Medusa, LockBit, Play, RansomHub, Akira, Phobos e Rhysida. FBI e CISA hanno documentato oltre 900 organizzazioni colpite dalla sola campagna ransomware Play fino a maggio 2025. Gli attori delle minacce sfruttano gli strumenti RMM tramite furto di credenziali, sfruttamento di vulnerabilità, distribuzione di strumenti non autorizzati e compromissione della supply chain che prende di mira gli MSP.

Le linee guida governative di CISA, FBI e NSA identificano lo sfruttamento RMM come una tattica matura e ampiamente adottata che richiede controlli difensivi obbligatori. Le organizzazioni dovrebbero implementare audit software, enforcement MFA, segmentazione di rete e logging e monitoraggio approfonditi per ridurre i rischi di sicurezza RMM. Le strategie di rilevamento devono concentrarsi su anomalie comportamentali tra cui accessi fuori orario, installazione non autorizzata di strumenti e esecuzione sospetta di comandi tramite motori di scripting RMM.

Gli approcci AI comportamentali individuano pattern di utilizzo anomali tramite monitoraggio continuo del comportamento degli endpoint che gli strumenti basati su firme non rilevano. SentinelOne Singularity Platform offre prestazioni elevate nelle valutazioni MITRE ATT&CK con l'88% di avvisi in meno rispetto alle soluzioni concorrenti, fornendo protezione autonoma contro le minacce basate su RMM.