Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Best practice per la sicurezza dell’accesso remoto: guida completa
Cybersecurity 101/Sicurezza dell'identità/Best practice per la sicurezza dell’accesso remoto

Best practice per la sicurezza dell’accesso remoto: guida completa

Guida pratica alla sicurezza dell’accesso remoto che copre il rafforzamento di VPN, SSH e RDP; implementazione zero-trust; e monitoraggio delle sessioni per bloccare gli attacchi basati su credenziali.

CS-101_Identity.svg
Indice dei contenuti
Che cos'è la sicurezza dell'accesso remoto?
Perché la sicurezza dell'accesso remoto è importante
Rischi comuni per la sicurezza dell'accesso remoto
Best practice per la sicurezza dell'accesso remoto
Rafforzamento VPN
Rafforzamento SSH
Rafforzamento RDP
Implementazione Zero-Trust
Controlli di accesso per terze parti e fornitori
Imponi MFA resistente al phishing
Verifica la postura del dispositivo prima di concedere l'accesso
Monitora le sessioni in modo continuo
Applica Privileged Access Management per account admin remoti
Come SentinelOne migliora la sicurezza dell'accesso remoto
Punti chiave

Articoli correlati

  • Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazione
  • Password vs Passkey: differenze chiave e confronto sulla sicurezza
  • Come risolvere l'errore di manipolazione del token di autenticazione?
  • Che cos'è l'autenticazione passwordless? Fondamenti spiegati
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: March 16, 2026

Che cos'è la sicurezza dell'accesso remoto?

Nel maggio 2021, l'attacco ransomware a Colonial Pipeline è stato ricondotto a un singolo account VPN compromesso che non disponeva di autenticazione a più fattori. Questa unica lacuna ha interrotto le operazioni del gasdotto per diversi giorni e ha portato al pagamento di un riscatto di circa 4,4 milioni di dollari. Successivamente, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato circa 63,7 Bitcoin, valutati circa 2,3 milioni di dollari all'epoca, collegati a quel riscatto.

La sicurezza dell'accesso remoto è il framework di protezione stratificato che costruisci attorno a ogni connessione tra utenti esterni, dispositivi e le risorse interne della tua azienda. Comprende le policy, le tecnologie e i controlli che regolano come dipendenti, collaboratori e terze parti si connettono ai sistemi aziendali dall'esterno del perimetro di rete. Questo include ogni tunnel VPN, sessione SSH, connessione RDP e accesso ad applicazioni cloud utilizzati quotidianamente dalla tua forza lavoro distribuita.

Secondo il DBIR Verizon 2025, le credenziali rubate sono state coinvolte nel 22% di tutte le violazioni confermate. Il SANS Institute ha rilevato che, tra le organizzazioni che hanno subito incidenti di sicurezza, il 50% di tali incidenti ha avuto origine da connettività esterna o percorsi di accesso remoto. Questi dati confermano che i percorsi di accesso remoto restano uno dei punti di ingresso più presi di mira per le violazioni aziendali.

NIST SP 800-46 definisce la sicurezza dell'accesso remoto come comprensiva di ambienti "telelavoro aziendale, accesso remoto e bring your own device (BYOD)". NIST impone che tutti i componenti di queste tecnologie, inclusi i dispositivi client BYOD, siano protetti contro le minacce previste come identificate tramite modelli di minaccia.

Per rendere operativo tale mandato, è necessario comprendere dove si inserisce l'accesso remoto all'interno del tuo modello di cybersecurity più ampio.

Perché la sicurezza dell'accesso remoto è importante

La sicurezza dell'accesso remoto si trova all'intersezione tra gestione delle identità, sicurezza di rete e protezione degli endpoint. Il NIST Cybersecurity Framework la colloca all'interno della funzione "Protect (PR)" sotto "Identity Management, Authentication, and Access Control (PR.AA)" come dominio di controllo fondamentale. Ogni endpoint VPN, jump server e gateway desktop remoto rappresenta un punto di ingresso attivamente preso di mira dagli attaccanti.

Per un ripasso dei termini fondamentali citati in questa guida, consulta la libreria Cybersecurity 101 di SentinelOne. Con questa base, comprendere i pattern di attacco specifici che prendono di mira i percorsi di accesso remoto ti aiuta a stabilire le priorità su dove rafforzare per primo.

Rischi comuni per la sicurezza dell'accesso remoto

Gli attaccanti considerano l'infrastruttura di accesso remoto come punto di ingresso primario, non secondario. Comprendere i pattern di minaccia specifici ti aiuta a dare priorità al rafforzamento dove conta di più.

  • Sfruttamento di VPN e appliance di perimetro: I gateway VPN e i firewall si trovano al bordo della rete, rendendoli obiettivi di alto valore sia per gruppi statali che per operatori ransomware. L'avviso di CISA 2023 Top Routinely Exploited Vulnerabilities mostra che la maggior parte delle CVE più sfruttate quell'anno sono state inizialmente sfruttate come zero-day, con prodotti Citrix, Fortinet e Ivanti in evidenza. Nel 2024 il pattern è continuato: CISA ha emesso un avviso congiunto dopo che attori della minaccia hanno concatenato più vulnerabilità Ivanti Connect Secure per bypassare l'autenticazione, installare web shell e sottrarre credenziali. Gli attaccanti si sono poi mossi lateralmente utilizzando strumenti nativi delle appliance stesse, inclusi RDP, SSH e nmap.
  • Furto di credenziali e attacchi brute-force: Le credenziali rubate restano il metodo più comune con cui gli attaccanti ottengono accesso remoto. Come indicato nell'introduzione, quasi un quarto di tutte le violazioni confermate coinvolge credenziali rubate, e gli attacchi brute-force e credential-stuffing contro RDP, portali VPN ed endpoint SSH sono costanti. Oltre l'85% delle organizzazioni ha RDP accessibile via internet per almeno il 25% di ogni mese, offrendo agli attaccanti un bersaglio persistente per campagne di password spraying.
  • Hijacking di sessione e abuso post-autenticazione: L'autenticazione da sola non elimina il rischio. Gli attaccanti che ottengono token di sessione o cookie validi possono bypassare completamente l'MFA. La CVE-2023-4966 ("CitrixBleed") di Citrix NetScaler ha permesso la fuoriuscita di token di sessione, dando agli attaccanti accesso autenticato senza mai fornire credenziali. Una volta all'interno, il movimento laterale tramite RDP, SMB e strumenti amministrativi è la prassi. I dati di incident response di Sophos mostrano che gli attaccanti hanno dirottato RDP per il movimento laterale nel 69% degli incidenti analizzati, rendendolo il protocollo più abusato in quella fase.
  • Abuso dell'accesso di terze parti e fornitori: Collaboratori, managed service provider e fornitori della supply chain con credenziali di accesso remoto rappresentano una categoria di minaccia distinta. Le connessioni di terze parti hanno rappresentato il 35,5% di tutte le violazioni segnalate nel 2024, in aumento del 6,5% rispetto all'anno precedente. Il rischio si amplifica perché gli account dei fornitori spesso hanno permessi ampi, mancano di monitoraggio delle sessioni e restano attivi molto dopo la fine di un progetto. La violazione di Caesars Entertainment del 2023 ha illustrato questo pattern: gli attaccanti hanno usato tecniche di social engineering contro un fornitore IT esternalizzato per ottenere l'accesso iniziale, con un impatto di circa 15 milioni di dollari.
  • Attacchi supply-chain agli strumenti di accesso remoto: Gli attaccanti prendono di mira anche gli strumenti stessi. Lo sfruttamento nel 2024 delle vulnerabilità di ScreenConnect (CVE-2024-1708 e CVE-2024-1709) ha mostrato quanto rapidamente le piattaforme di gestione remota diventino vettori di attacco. Gruppi ransomware come Black Basta e Bl00dy hanno iniziato a sfruttare queste falle in pochi giorni, utilizzando le funzionalità integrate degli strumenti per diffondere malware sugli endpoint collegati. Quando la tua piattaforma di accesso remoto è compromessa, ogni dispositivo gestito diventa raggiungibile.

Ognuno di questi pattern di minaccia corrisponde a un insieme specifico di azioni di rafforzamento. Le best practice seguenti li affrontano protocollo per protocollo.

Best practice per la sicurezza dell'accesso remoto

La maggior parte dei programmi di accesso remoto fallisce nelle fasi operative, non a livello tecnologico. I log VPN spesso registrano solo eventi di connessione e disconnessione senza contesto a livello di risorsa, creando punti ciechi. Considerare VPN più MFA come traguardo è uno degli errori più comuni: senza segmentazione, conformità dei dispositivi e monitoraggio delle sessioni, il movimento laterale dopo il login resta completamente aperto. Le pratiche seguenti sono best practice focalizzate sui protocolli che puoi applicare senza riscrivere tutta la tua architettura in un'unica fase.

Rafforzamento VPN

Segui le indicazioni NSA/CISA per il rafforzamento delle VPN:

  • Imponi IKEv2/IPsec con crittografia AES-GCM-256 secondo i requisiti CNSA Suite
  • Elimina suite di cifratura legacy e gruppi Diffie-Hellman deprecati
  • Imponi MFA tramite un livello AAA centralizzato per ogni tentativo di accesso remoto
  • Monitora eventi di connessione e cambi account con alerting chiaro

La velocità di patching qui conta più che altrove nello stack. Secondo un avviso CISA, lo sfruttamento delle vulnerabilità di accesso remoto può avvenire entro 9-13 giorni dalla divulgazione, il che significa che cicli di patch mensili lasciano un ampio margine per i gateway VPN esposti a internet. Considera le appliance di perimetro come candidati per patch di emergenza con obiettivi di pochi giorni.

Per un contesto più ampio sul perché la sicurezza VPN resta una priorità, l'approfondimento di SentinelOne su rischi VPN offre una mappatura tra minacce e controlli. Una volta rafforzato il gateway VPN, concentra l'attenzione sul protocollo più usato per l'accesso a server e infrastrutture.

Rafforzamento SSH

Applica controlli di sicurezza SSH che riducono la dispersione delle chiavi e il rischio di replay delle credenziali:

  • Imponi solo SSH Protocol Version 2 e cifrari moderni (AES-256-GCM, ChaCha20-Poly1305)
  • Richiedi autenticazione basata su chiave e disabilita completamente il login tramite password
  • Centralizza il ciclo di vita delle chiavi: emissione, rotazione e revoca tramite una certificate authority o un secrets manager
  • Registra i metadati delle sessioni e indaga su pattern di comandi anomali
  • Imposta un numero massimo di tentativi di autenticazione e timeout di connessione per rallentare i tentativi brute-force

La centralizzazione della gestione delle chiavi SSH è il passo a maggior impatto per la maggior parte dei team, poiché le chiavi orfane su server di lunga durata sono un punto cieco frequentemente segnalato dagli auditor.

Rafforzamento RDP

Le indicazioni di CISA per l' eviction RDP sono esplicite sul blocco della porta 3389 al perimetro. Da lì, aggiungi ulteriori controlli:

  • Richiedi VPN o accesso intermediato prima che RDP raggiunga i sistemi interni
  • Imponi NLA e una configurazione TLS robusta per il gateway
  • Applica MFA per l'accesso al broker o al gateway
  • Imposta timeout di inattività delle sessioni e limita il reindirizzamento di clipboard o drive dove la sensibilità dei dati lo richiede

Consentire a dispositivi non gestiti di connettersi senza controlli di postura significa accettare il rischio di furto di credenziali da macchine che non puoi ispezionare, patchare o controllare. Se il tuo ambiente supporta BYOD, indirizza tali sessioni tramite un percorso intermediato che verifica lo stato del dispositivo prima di concedere l'accesso. Anche con controlli per protocollo robusti, però, l'accesso a livello di rete dopo il login crea ancora rischio di movimento laterale, che è dove l'architettura zero-trust colma il divario.

Implementazione Zero-Trust

Per ridurre il movimento laterale dopo il login, implementa cambiamenti zero-trust a fasi seguendo il Zero Trust Maturity Model di CISA:

  • Sostituisci l'accesso VPN a livello di rete con accesso a livello di applicazione, iniziando dagli asset di maggior valore
  • Usa decisioni per sessione basate su identità, stato del dispositivo e comportamento
  • Applica micro-segmentazione per contenere il raggio d'azione delle sessioni remote
  • Considera lo zero-trust come un upgrade incrementale che si integra con lo stack esistente

La guida alla sicurezza zero trust di SentinelOne illustra come tradurre i principi di accesso remoto zero trust in policy di accesso applicabili. Una volta segmentati i percorsi di accesso interni, l'esposizione residua spesso riguarda le parti esterne che si connettono al tuo ambiente con meno supervisione rispetto al personale interno.

Controlli di accesso per terze parti e fornitori

Collaboratori, MSP e fornitori della supply chain necessitano di controlli diversi rispetto ai dipendenti. I loro account spesso hanno permessi più ampi di quanto richiesto dal progetto, mancano di monitoraggio delle sessioni e restano attivi molto dopo la fine dei lavori. Rafforza questa categoria con azioni mirate:

  • Imponi accesso just-in-time che scade automaticamente al termine della finestra di manutenzione o del progetto
  • Limita le sessioni dei fornitori alla specifica applicazione o sistema necessario, non all'intero segmento di rete
  • Registra e controlla le sessioni dei fornitori, soprattutto per operazioni privilegiate
  • Rivedi e disabilita gli account fornitori inattivi secondo una cadenza definita, non solo durante gli audit annuali

I controlli di accesso dei fornitori sono spesso l'ultima cosa che i team implementano e la prima che gli attaccanti sfruttano, quindi trattare questa categoria con la stessa attenzione dei protocolli interni porta benefici rapidi.

Imponi MFA resistente al phishing

MFA è il requisito minimo, ma i metodi basati su SMS e push non lo sono. Gli attaccanti bypassano entrambi tramite proxy di phishing in tempo reale e campagne di push fatigue, in cui richieste di approvazione ripetute sfiniscono gli utenti fino a farli cliccare su approva. Le linee guida NSA e CISA sono esplicite: usa metodi resistenti al phishing basati su standard PKI e FIDO2 per l'accesso remoto aziendale, non alternative basate sulla comodità.

  • Richiedi chiavi di sicurezza hardware (FIDO2) o autenticazione basata su certificato per account privilegiati e sessioni di amministrazione remota
  • Disabilita MFA via SMS e voce per i percorsi di accesso remoto dove sono disponibili opzioni resistenti al phishing
  • Imponi MFA tramite un livello AAA centralizzato invece che tramite impostazioni delle singole applicazioni per chiudere i gap di configurazione
  • Monitora i pattern di approvazione MFA e segnala comportamenti anomali, inclusi approvazioni rapide da nuove registrazioni di dispositivi

L'MFA resistente al phishing elimina la maggior parte degli attacchi di accesso remoto basati su credenziali a livello di autenticazione. Una volta rafforzato l'MFA, la postura del dispositivo diventa il prossimo gap sfruttato dagli attaccanti.

Verifica la postura del dispositivo prima di concedere l'accesso

Un utente autenticato su un dispositivo non gestito e non patchato non è una connessione sicura. La verifica della postura dell'endpoint controlla lo stato di sicurezza del dispositivo che si connette prima dell'apertura della sessione, bloccando l'accesso da macchine che non rispettano il baseline minimo di sicurezza.

  • Conferma lo stato delle patch, la versione del sistema operativo e la protezione endpoint attiva prima di concedere l'accesso
  • Blocca o indirizza i dispositivi non gestiti verso un percorso di remediation invece di concedere pieno accesso alla rete
  • Richiedi la cifratura del disco su tutti i dispositivi autorizzati all'accesso remoto
  • Rivaluta la postura del dispositivo all'avvio della sessione e segnala drift di configurazione su connessioni di lunga durata

I dispositivi non gestiti sono un punto cieco perché non puoi ispezionarli, patcharli o controllarli secondo lo stesso standard degli asset aziendali. Con la postura del dispositivo verificata all'ingresso, la visibilità continua su ciò che accade durante la sessione è l'ultimo gap da colmare.

Monitora le sessioni in modo continuo

L'autenticazione una tantum al login non protegge da ciò che accade dopo. Gli attaccanti che rubano credenziali valide o dirottano una sessione si comportano in modo diverso dagli utenti legittimi. Il monitoraggio continuo delle sessioni identifica tali deviazioni prima che il movimento laterale raggiunga asset critici.

  • Stabilisci baseline dei pattern normali: posizione di origine, orari di accesso tipici, risorse accessibili e volume di comandi per le sessioni lato server
  • Segnala viaggi impossibili, accessi admin fuori orario e picchi improvvisi di accesso alle risorse per indagine immediata
  • Combina telemetria VPN, endpoint e identità così da poter correlare la sessione remota a ogni azione a valle
  • Imposta risposte automatiche per anomalie ad alta affidabilità, come il blocco di una sessione che esegue pivot verso strumenti di credential dumping

Per ulteriori dettagli sulla copertura di rilevamento intorno alle sessioni remote, consulta la guida al threat hunting di SentinelOne.

Applica Privileged Access Management per account admin remoti

Le sessioni remote legate ad account privilegiati sono gli obiettivi di maggior valore nel tuo ambiente. Una sessione admin compromessa con accesso di rete illimitato può passare dall'accesso iniziale al domain controller in pochi minuti. Il Privileged Access Management (PAM) limita questa finestra controllando come, quando e da dove possono essere utilizzate le credenziali amministrative.

  • Ruota automaticamente le credenziali privilegiate dopo ogni utilizzo per prevenire il riutilizzo tra sessioni
  • Registra tutte le sessioni remote privilegiate e conserva i log per indagini forensi
  • Richiedi una workstation di accesso privilegiato (PAW) dedicata per le sessioni amministrative, isolata dagli endpoint generici
  • Limita l'accesso admin a sistemi e finestre temporali specifici tramite provisioning just-in-time

Gli account privilegiati senza questi controlli sono la via più rapida dall'accesso remoto iniziale al compromesso completo del dominio. Applicare PAM chiude il gap che una singola credenziale admin rubata può altrimenti aprire verso la compromissione totale dell'ambiente.

Come SentinelOne migliora la sicurezza dell'accesso remoto

Proteggere l'accesso remoto in una forza lavoro distribuita richiede visibilità, velocità e correlazione che strumenti isolati non possono offrire. La Singularity™ Platform unifica la telemetria di endpoint, identità e cloud in una singola console, così puoi indagare su un accesso VPN sospetto e sull'attività endpoint successiva senza dover passare tra più sistemi.

Per i team sommersi dal rumore, l'efficienza quantificata conta. Nelle MITRE ATT&CK Evaluations, SentinelOne ha prodotto l'88% di rumore in meno rispetto alla mediana di tutti i vendor, riducendo direttamente il carico di triage e consentendo agli analisti di concentrarsi su intrusioni remote reali. La telemetria Storyline ricostruisce automaticamente catene di processi e connessioni, offrendo un'analisi della causa radice più rapida quando un attaccante usa una sessione remota per effettuare un pivot.

Quando una credenziale compromessa innesca movimento laterale alle 2 di notte, serve una risposta autonoma, non la correlazione manuale su cinque dashboard. 

L'AI comportamentale di SentinelOne segnala attività sospette post-login, come esecuzione di processi insoliti dopo una sessione RDP o credential dumping dopo accesso VPN. Singularity™ Identity estende questa protezione all'infrastruttura di identità, rilevando attacchi in corso contro Active Directory ed Entra ID con difese in tempo reale. Singularity™ Identity esegue anche una scansione continua di credenziali deboli, esposte e compromesse, offrendo risposte automatiche per la loro remediation. Lo fa sia su ambienti on-prem (Active Directory) che cloud (come Entra ID, Okta, Ping, SecureAuth e Duo).

Per la velocità di indagine, Purple AI trasforma il linguaggio naturale in ricerche mirate sull'intero ambiente. I primi utilizzatori riportano che Purple AI rende threat hunting e investigazioni fino all'80% più veloci. Questa velocità è fondamentale quando devi rispondere a domande come: "Mostrami tutte le sessioni RDP da dispositivi non gestiti nelle ultime 48 ore."

Richiedi una demo di SentinelOne per vedere come la Singularity Platform rafforza la visibilità e la risposta sull'accesso remoto nel tuo ambiente.

Ridurre il rischio di identità in tutta l'organizzazione

Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.

Richiedi una demo

Punti chiave

L'accesso remoto è il punto in cui convergono identità, postura degli endpoint e controlli di rete, e gli attaccanti prendono di mira ogni interstizio con zero-day su appliance VPN, credential-stuffing contro RDP esposti, hijacking di sessione dopo l'autenticazione e attacchi supply-chain contro strumenti di gestione remota. Riduci questo rischio seguendo le best practice per l'accesso remoto: rafforzando i controlli VPN, SSH e RDP; imponendo MFA resistente al phishing; verificando la postura dei dispositivi; e applicando il principio del minimo privilegio con accesso segmentato. 

Se il tuo programma si basa ancora su "VPN più MFA", considera che un attaccante può effettuare un pivot dopo il login, e per una mappa pratica di come il furto di credenziali si traduca in impatto a livello di dominio, la guida al ransomware di SentinelOne copre le tattiche adiacenti che vedrai durante intrusioni guidate da accesso remoto.

Domande frequenti

No. VPN autentica gli utenti al momento della connessione e cripta il traffico in transito, ma non applica il principio del privilegio minimo dopo l’accesso. Una volta connessi, gli utenti spesso ereditano un ampio accesso alla rete, il che rende il movimento laterale semplice quando le credenziali vengono rubate o una sessione viene compromessa. 

Per colmare questa lacuna sono necessarie la segmentazione per limitare ciò a cui una sessione può accedere, i controlli dello stato del dispositivo per verificare da dove si connette e il monitoraggio continuo per rilevare abusi post-accesso prima che raggiungano risorse critiche.

I rischi a più alta frequenza sono il furto di credenziali e l’abuso di sessione. Le credenziali rubate consentono agli attaccanti di ottenere accesso autenticato tramite VPN o RDP senza attivare i controlli perimetrali. Il dirottamento di sessione, come dimostrato da CitrixBleed (CVE-2023-4966), permette agli attaccanti di bypassare completamente l’MFA utilizzando token di sessione validi. 

L’abuso di accesso da parte di terzi, appliance di accesso remoto non aggiornate e attacchi alla supply chain contro strumenti di gestione remota completano il quadro. Ogni modello di attacco ha un controllo di hardening diretto, ma il rischio aumenta rapidamente quando sono presenti più vulnerabilità contemporaneamente.

MFA verifica che la persona che si connette sia effettivamente chi dichiara di essere, e non solo qualcuno che conosce la password. Per l'accesso remoto, rappresenta il principale controllo che impedisce il successo di attacchi di credential-stuffing e brute-force. 

Tuttavia, la qualità dell'MFA è importante quanto la sua presenza. I metodi basati su SMS e push sono vulnerabili a proxy di phishing in tempo reale e ad attacchi di push fatigue. I metodi resistenti al phishing basati su FIDO2 o certificati PKI eliminano queste debolezze e sono lo standard raccomandato da NSA e CISA per l'accesso remoto aziendale.

I dispositivi personali non gestiti, i laptop di fornitori e gli endpoint BYOD rappresentano il rischio maggiore perché non è possibile verificarne lo stato delle patch, il software installato o la configurazione di base. Gli aggressori prendono di mira questi dispositivi sapendo che le organizzazioni spesso concedono loro lo stesso accesso di rete riservato alle risorse aziendali gestite. 

Instrada i dispositivi non gestiti attraverso un percorso di accesso intermediato che verifica la postura prima di aprire qualsiasi sessione e limita le risorse a cui possono accedere anche dopo aver superato i controlli di postura.

Inizia dove si sovrappongono esposizione e probabilità di sfruttamento. Se RDP è raggiungibile da internet, blocca immediatamente la porta 3389 e obbliga l’accesso tramite un percorso intermediato. Successivamente, verifica i dispositivi VPN per CVE non corretti, autenticazione debole e crittografia legacy. 

Poi affronta SSH su larga scala inventariando le chiavi e centralizzando emissione e rotazione. Dai priorità in base all’esposizione su internet, al livello di privilegio e alla tua storia di incidenti.

Considera i sistemi di accesso remoto perimetrali come candidati per patch di emergenza perché gli attaccanti li sfruttano rapidamente. CISA ha documentato casi di sfruttamento entro 9-13 giorni dalla divulgazione, il che significa che i cicli mensili lasciano una finestra ampia. 

Per gateway VPN esposti a internet, broker RDP e bastion SSH, punta a una finestra di patch a cifra singola di giorni, includendo validazione e pianificazione del rollback. Se non puoi applicare le patch rapidamente, riduci l’esposizione con controlli compensativi.

Concentrati su comportamento e contesto della sessione, non solo sul successo dell’accesso. Definisci una baseline dei pattern normali come geolocalizzazione della fonte, tipo di dispositivo, orario e risorse tipicamente accessibili. 

Segnala poi anomalie come viaggi impossibili, avvio insolito di strumenti amministrativi dopo l’accesso remoto o accesso improvviso a file share di alto valore. Combina telemetria VPN, endpoint e identità per poter correlare la sessione remota all’attività post-login.

Scopri di più su Sicurezza dell'identità

Che cos'è l'RBAC (Role Based Access Control, controllo degli accessi basato sui ruoli)?Sicurezza dell'identità

Che cos'è l'RBAC (Role Based Access Control, controllo degli accessi basato sui ruoli)?

Il controllo degli accessi basato sui ruoli (RBAC) migliora la sicurezza limitando l'accesso. Scopri come implementare efficacemente l'RBAC nella tua organizzazione.

Per saperne di più
Che cos'è la gestione della sicurezza dell'identità (ISPM)?Sicurezza dell'identità

Che cos'è la gestione della sicurezza dell'identità (ISPM)?

L'Identity Security Posture Management (ISPM) aiuta ad affrontare le crescenti minacce informatiche legate all'identità gestendo in modo efficace le identità digitali. Scopri come l'ISPM rafforza la sicurezza.

Per saperne di più
LDAP vs. Active Directory: 18 differenze fondamentaliSicurezza dell'identità

LDAP vs. Active Directory: 18 differenze fondamentali

LDAP e Active Directory sono entrambi utilizzati per accedere e gestire le directory tra i sistemi, ma differiscono nelle loro funzionalità. LDAP è un protocollo, mentre Active Directory è un servizio di directory.

Per saperne di più
Che cos'è l'architettura Zero Trust (ZTA)?Sicurezza dell'identità

Che cos'è l'architettura Zero Trust (ZTA)?

Scopri in dettaglio l'architettura Zero Trust in questa guida completa, che ne illustra i principi, i vantaggi, le sfide e le best practice. Scopri come migliora la sicurezza informatica in tutti i settori.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano