Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Best practice per la sicurezza dell’accesso remoto: guida completa
Cybersecurity 101/Sicurezza dell'identità/Best practice per la sicurezza dell’accesso remoto

Best practice per la sicurezza dell’accesso remoto: guida completa

Guida pratica alla sicurezza dell’accesso remoto che copre il rafforzamento di VPN, SSH e RDP; implementazione zero-trust; e monitoraggio delle sessioni per bloccare gli attacchi basati sulle credenziali.

CS-101_Identity.svg
Indice dei contenuti
Che cos'è la sicurezza dell'accesso remoto?
Perché la sicurezza dell'accesso remoto è importante
Rischi comuni per la sicurezza dell'accesso remoto
Best practice per la sicurezza dell'accesso remoto
Rafforzamento VPN
Rafforzamento SSH
Rafforzamento RDP
Implementazione Zero-Trust
Controlli di accesso per terze parti e fornitori
Imponi MFA resistente al phishing
Verifica la postura del dispositivo prima di concedere l'accesso
Monitora le sessioni in modo continuo
Applica la gestione degli accessi privilegiati per gli account admin remoti
Come SentinelOne migliora la sicurezza dell'accesso remoto
Punti chiave

Articoli correlati

  • Che cos'è l'LDAP Injection? Come funziona e come fermarla
  • Che cos'è la Broken Authentication? Cause, impatto e prevenzione
  • Che cos'è l'Authentication Bypass? Tecniche ed esempi
  • Autenticazione adattiva a più fattori: guida completa
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: March 16, 2026

Che cos'è la sicurezza dell'accesso remoto?

Nel maggio 2021, l'attacco ransomware a Colonial Pipeline è stato ricondotto a un singolo account VPN compromesso che non disponeva di autenticazione a più fattori. Questa unica lacuna ha interrotto le operazioni del gasdotto per diversi giorni e ha portato al pagamento di un riscatto di 4,4 milioni di dollari. Successivamente, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato circa 63,7 Bitcoin, valutati circa 2,3 milioni di dollari all'epoca, collegati a quel riscatto.

La sicurezza dell'accesso remoto è il framework di protezione stratificato che si costruisce attorno a ogni connessione tra utenti esterni, dispositivi e le risorse interne dell'azienda. Comprende le policy, le tecnologie e i controlli che regolano il modo in cui dipendenti, collaboratori e terze parti si connettono ai sistemi aziendali dall'esterno del perimetro di rete. Questo include ogni tunnel VPN, sessione SSH, connessione RDP e accesso ad applicazioni cloud utilizzati quotidianamente dalla forza lavoro distribuita.

Secondo il DBIR Verizon 2025, le credenziali rubate sono state coinvolte nel 22% di tutte le violazioni confermate. Il SANS Institute ha rilevato che, tra le organizzazioni che hanno subito incidenti di sicurezza, il 50% di tali incidenti ha avuto origine da connettività esterna o percorsi di accesso remoto. Questi dati confermano che i percorsi di accesso remoto rimangono uno dei punti di ingresso più presi di mira per le violazioni aziendali.

NIST SP 800-46 definisce la sicurezza dell'accesso remoto come comprensiva di ambienti "telelavoro aziendale, accesso remoto e bring your own device (BYOD)". NIST impone che tutti i componenti di queste tecnologie, inclusi i dispositivi client BYOD, debbano essere protetti contro le minacce previste come identificate tramite modelli di minaccia.

Per rendere operativo tale mandato, è necessario comprendere dove si inserisce l'accesso remoto all'interno del proprio modello di cybersecurity più ampio.

Remote Access Security Best Practices - Featured Image | SentinelOne

Perché la sicurezza dell'accesso remoto è importante

La sicurezza dell'accesso remoto si trova all'intersezione tra gestione delle identità, sicurezza di rete e protezione degli endpoint. Il NIST Cybersecurity Framework la colloca all'interno della funzione "Protect (PR)" sotto "Identity Management, Authentication, and Access Control (PR.AA)" come dominio di controllo fondamentale. Ogni endpoint VPN, jump server e gateway desktop remoto rappresenta un punto di ingresso attivamente preso di mira dagli attaccanti.

Per un ripasso dei termini fondamentali citati in questa guida, consulta la libreria Cybersecurity 101 di SentinelOne. Con queste basi, comprendere i pattern di attacco specifici che prendono di mira i percorsi di accesso remoto aiuta a stabilire le priorità su dove rafforzare per primi.

Rischi comuni per la sicurezza dell'accesso remoto

Gli attaccanti considerano l'infrastruttura di accesso remoto come punto di ingresso primario, non secondario. Comprendere i pattern di minaccia specifici aiuta a dare priorità al rafforzamento dove conta di più.

  • Sfruttamento di VPN e appliance di perimetro: I gateway VPN e i firewall si trovano al bordo della rete, rendendoli obiettivi di alto valore sia per gruppi statali che per operatori ransomware. L'avviso di CISA 2023 Top Routinely Exploited Vulnerabilities mostra che la maggior parte delle CVE più sfruttate quell'anno sono state inizialmente sfruttate come zero-day, con prodotti di Citrix, Fortinet e Ivanti in evidenza. Nel 2024 il pattern è continuato: CISA ha emesso un avviso congiunto dopo che attori della minaccia hanno concatenato più vulnerabilità Ivanti Connect Secure per bypassare l'autenticazione, installare web shell e raccogliere credenziali. Gli attaccanti si sono poi mossi lateralmente utilizzando strumenti nativi delle appliance stesse, tra cui RDP, SSH e nmap.
  • Furto di credenziali e attacchi brute-force: Le credenziali rubate restano il metodo più comune con cui gli attaccanti ottengono accesso remoto. Come indicato nell'introduzione, quasi un quarto di tutte le violazioni confermate coinvolge credenziali rubate, e gli attacchi brute-force e credential-stuffing contro RDP, portali VPN ed endpoint SSH sono costanti. Oltre l'85% delle organizzazioni ha RDP accessibile via internet per almeno il 25% di ogni mese, offrendo agli attaccanti un bersaglio persistente per campagne di password spraying.
  • Hijacking di sessione e abuso post-autenticazione: L'autenticazione da sola non elimina il rischio. Gli attaccanti che ottengono token di sessione o cookie validi possono bypassare completamente l'MFA. La CVE-2023-4966 ("CitrixBleed") di Citrix NetScaler ha permesso la fuoriuscita di token di sessione, dando agli attaccanti accesso autenticato senza mai fornire credenziali. Una volta all'interno, il movimento laterale tramite RDP, SMB e strumenti amministrativi è la prassi standard. I dati di incident response di Sophos mostrano che gli attaccanti hanno dirottato RDP per movimento laterale nel 69% degli incidenti analizzati, rendendolo il protocollo più abusato in quella fase.
  • Abuso dell'accesso di terze parti e fornitori: Collaboratori, fornitori di servizi gestiti e vendor della supply chain con credenziali di accesso remoto rappresentano una categoria di minaccia distinta. Le connessioni di terze parti hanno rappresentato il 35,5% di tutte le violazioni segnalate nel 2024, in aumento del 6,5% rispetto all'anno precedente. Il rischio si amplifica perché gli account dei vendor spesso hanno permessi ampi, mancano di monitoraggio delle sessioni e restano attivi molto dopo la fine di un progetto. La violazione del 2023 a Caesars Entertainment ha illustrato questo pattern: gli attaccanti hanno usato tecniche di social engineering contro un fornitore di supporto IT esternalizzato per ottenere l'accesso iniziale, con un impatto di circa 15 milioni di dollari.
  • Attacchi supply-chain agli strumenti di accesso remoto: Gli attaccanti prendono di mira anche gli strumenti stessi. Lo sfruttamento nel 2024 delle vulnerabilità di ScreenConnect (CVE-2024-1708 e CVE-2024-1709) ha mostrato quanto rapidamente le piattaforme di gestione remota diventino vettori di attacco. Gruppi ransomware come Black Basta e Bl00dy hanno iniziato a sfruttare queste falle in pochi giorni, utilizzando le funzionalità integrate degli strumenti per diffondere malware sugli endpoint collegati. Quando la tua piattaforma di accesso remoto è compromessa, ogni dispositivo che gestisce diventa raggiungibile.

Ognuno di questi pattern di minaccia corrisponde a un insieme specifico di azioni di rafforzamento. Le best practice di seguito li affrontano protocollo per protocollo.

Best practice per la sicurezza dell'accesso remoto

La maggior parte dei programmi di accesso remoto fallisce nelle fasi operative, non a livello tecnologico. I log VPN spesso registrano solo eventi di connessione e disconnessione senza contesto a livello di risorsa, creando punti ciechi. Considerare VPN più MFA come traguardo è uno degli errori più comuni: senza segmentazione, conformità dei dispositivi e monitoraggio delle sessioni, il movimento laterale dopo il login resta completamente aperto. Le pratiche seguenti sono best practice focalizzate sul protocollo che puoi applicare senza riscrivere tutta l'architettura in un'unica fase.

Rafforzamento VPN

Segui le indicazioni NSA/CISA per il rafforzamento delle VPN:

  • Imponi IKEv2/IPsec con crittografia AES-GCM-256 secondo i requisiti CNSA Suite
  • Elimina suite di cifratura legacy e gruppi Diffie-Hellman deprecati
  • Imponi MFA tramite un livello AAA centralizzato per ogni tentativo di accesso remoto
  • Monitora eventi di connessione e cambiamenti di account con alerting chiaro

La velocità di patching qui conta più che altrove nello stack. Secondo un avviso CISA, lo sfruttamento delle vulnerabilità di accesso remoto può avvenire entro 9-13 giorni dalla divulgazione, il che significa che i cicli di patch mensili lasciano un ampio intervallo per i gateway VPN esposti a internet. Considera le appliance di perimetro come candidati per patch di emergenza con obiettivi di pochi giorni.

Per un contesto più ampio sul perché la sicurezza VPN resta una priorità elevata, l'approfondimento di SentinelOne su rischi della sicurezza VPN offre una mappatura tra minacce e controlli. Una volta rafforzato il gateway VPN, concentra l'attenzione sul protocollo più comunemente usato per l'accesso a server e infrastrutture.

Rafforzamento SSH

Applica controlli di sicurezza SSH che riducono la proliferazione delle chiavi e il rischio di replay delle credenziali:

  • Imponi solo SSH Protocol Version 2 e cifrari moderni (AES-256-GCM, ChaCha20-Poly1305)
  • Richiedi autenticazione basata su chiave e disabilita completamente il login tramite password
  • Centralizza il ciclo di vita delle chiavi: emissione, rotazione e revoca tramite una certificate authority o un secrets manager
  • Registra i metadati delle sessioni e indaga su pattern di comandi anomali
  • Imposta un numero massimo di tentativi di autenticazione e timeout di connessione per rallentare i tentativi brute-force

La centralizzazione della gestione delle chiavi SSH è il passo a maggior impatto per la maggior parte dei team, poiché le chiavi orfane su server a lunga esecuzione sono un punto cieco frequentemente segnalato dagli auditor.

Rafforzamento RDP

Le indicazioni di CISA per l' eviction RDP sono esplicite sul blocco della porta 3389 al perimetro. Da lì, aggiungi ulteriori controlli:

  • Richiedi VPN o accesso intermediato prima che RDP raggiunga i sistemi interni
  • Imponi NLA e una configurazione TLS robusta per il gateway
  • Applica MFA per il passaggio di accesso tramite broker o gateway
  • Imposta timeout di inattività delle sessioni e limita il reindirizzamento di clipboard o drive dove la sensibilità dei dati lo richiede

Consentire a dispositivi non gestiti di connettersi senza controlli di postura significa accettare il rischio di furto di credenziali da macchine che non puoi ispezionare, patchare o controllare. Se il tuo ambiente supporta BYOD, instrada tali sessioni tramite un percorso intermediato che verifica lo stato di salute del dispositivo prima di concedere l'accesso. Anche con controlli forti per protocollo, però, l'accesso a livello di rete dopo il login crea ancora rischio di movimento laterale, che è dove l'architettura zero-trust colma il divario.

Implementazione Zero-Trust

Per ridurre il movimento laterale dopo il login, implementa cambiamenti zero-trust a fasi seguendo il Zero Trust Maturity Model di CISA:

  • Sostituisci l'accesso VPN a livello di rete con accesso a livello di applicazione, iniziando dagli asset di maggior valore
  • Utilizza decisioni per sessione basate su identità, stato del dispositivo e comportamento
  • Applica micro-segmentazione per contenere il raggio d'azione delle sessioni remote
  • Considera lo zero-trust come un aggiornamento incrementale che si integra con lo stack esistente

La guida di SentinelOne sulla sicurezza zero trust illustra come tradurre i principi di accesso remoto zero trust in policy di accesso applicabili. Una volta segmentati i percorsi di accesso interni, l'esposizione residua spesso riguarda le parti esterne che si connettono all'ambiente con meno supervisione rispetto al personale interno.

Controlli di accesso per terze parti e fornitori

Collaboratori, MSP e vendor della supply chain necessitano di controlli diversi rispetto ai dipendenti. I loro account spesso hanno permessi più ampi di quanto richiesto dal progetto, mancano di monitoraggio delle sessioni e restano attivi molto dopo la fine dei lavori. Rafforza questa categoria con azioni mirate:

  • Imponi accesso just-in-time che scade automaticamente al termine della finestra di manutenzione o del progetto
  • Limita le sessioni dei vendor alla specifica applicazione o sistema necessario, non all'intero segmento di rete
  • Registra e controlla le sessioni dei vendor, soprattutto per operazioni privilegiate
  • Rivedi e disabilita gli account vendor inattivi secondo una cadenza definita, non solo durante audit annuali

I controlli di accesso dei vendor sono spesso l'ultima cosa che i team implementano e la prima che gli attaccanti sfruttano, quindi trattare questa categoria con la stessa attenzione dei protocolli interni porta benefici rapidi.

Imponi MFA resistente al phishing

MFA è il requisito minimo, ma i metodi basati su SMS e push non lo sono. Gli attaccanti aggirano entrambi tramite proxy di phishing in tempo reale e campagne di push fatigue, in cui richieste di approvazione ripetute sfiniscono gli utenti fino a farli cliccare su approva. Le linee guida NSA e CISA sono esplicite: usa metodi resistenti al phishing basati su standard PKI e FIDO2 per l'accesso remoto aziendale, non alternative basate sulla comodità.

  • Richiedi chiavi di sicurezza hardware (FIDO2) o autenticazione basata su certificato per account privilegiati e sessioni di amministrazione remota
  • Disabilita MFA via SMS e voce per i percorsi di accesso remoto dove sono disponibili opzioni resistenti al phishing
  • Imponi MFA tramite un livello AAA centralizzato invece che tramite impostazioni delle singole applicazioni per chiudere i gap di configurazione
  • Monitora i pattern di approvazione MFA e segnala comportamenti anomali, inclusi approvazioni rapide da nuove registrazioni di dispositivi

L'MFA resistente al phishing elimina la maggior parte degli attacchi di accesso remoto basati su credenziali a livello di autenticazione. Una volta rafforzato l'MFA, la postura del dispositivo diventa il prossimo gap sfruttato dagli attaccanti.

Verifica la postura del dispositivo prima di concedere l'accesso

Un utente autenticato su un dispositivo non gestito e non patchato non rappresenta una connessione sicura. La verifica della postura dell'endpoint controlla lo stato di sicurezza del dispositivo che si connette prima dell'apertura della sessione, bloccando l'accesso da macchine che non soddisfano la baseline minima di sicurezza.

  • Conferma lo stato delle patch, la versione del sistema operativo e la protezione endpoint attiva prima di concedere l'accesso
  • Blocca o instrada i dispositivi non gestiti verso un percorso di remediation invece di concedere pieno accesso alla rete
  • Richiedi la cifratura del disco su tutti i dispositivi autorizzati per l'accesso remoto
  • Rivaluta la postura del dispositivo all'avvio della sessione e segnala drift di configurazione su connessioni di lunga durata

I dispositivi non gestiti sono un punto cieco perché non puoi ispezionarli, patcharli o controllarli secondo lo stesso standard degli asset aziendali. Con la postura del dispositivo verificata all'ingresso, la visibilità continua su ciò che accade durante la sessione è l'ultimo gap da colmare.

Monitora le sessioni in modo continuo

L'autenticazione una tantum al login non protegge da ciò che accade dopo. Gli attaccanti che rubano credenziali valide o dirottano una sessione si comportano in modo diverso dagli utenti legittimi. Il monitoraggio continuo delle sessioni identifica tali deviazioni prima che il movimento laterale raggiunga asset critici.

  • Stabilisci baseline dei pattern normali: posizione di origine, orari tipici di accesso, risorse consultate e volume di comandi per le sessioni lato server
  • Segnala viaggi impossibili, accessi amministrativi fuori orario e picchi improvvisi di accesso alle risorse per indagine immediata
  • Combina telemetria VPN, endpoint e identità per poter correlare la sessione remota a ogni azione a valle
  • Imposta risposte automatiche per anomalie ad alta affidabilità, come il blocco di una sessione che passa a strumenti di credential dumping

Per ulteriori dettagli sulla copertura di rilevamento intorno alle sessioni remote, consulta la guida di SentinelOne su threat hunting.

Applica la gestione degli accessi privilegiati per gli account admin remoti

Le sessioni remote associate ad account privilegiati sono gli obiettivi di maggior valore nel tuo ambiente. Una sessione admin compromessa con accesso di rete illimitato può passare dall'accesso iniziale al domain controller in pochi minuti. La gestione degli accessi privilegiati (PAM) limita questa finestra controllando come, quando e da dove possono essere utilizzate le credenziali amministrative.

  • Ruota automaticamente le credenziali privilegiate dopo ogni utilizzo per prevenire il riutilizzo tra sessioni
  • Registra tutte le sessioni remote privilegiate e conserva i log per indagini forensi
  • Richiedi una workstation di accesso privilegiato (PAW) dedicata per le sessioni amministrative, isolata dagli endpoint generici
  • Limita l'accesso admin a sistemi e finestre temporali specifici tramite provisioning just-in-time

Gli account privilegiati senza questi controlli rappresentano il percorso più rapido dall'accesso remoto iniziale al compromesso completo del dominio. Applicare PAM chiude il gap che una singola credenziale admin rubata può altrimenti aprire verso la compromissione totale dell'ambiente.

Come SentinelOne migliora la sicurezza dell'accesso remoto

Proteggere l'accesso remoto in una forza lavoro distribuita richiede visibilità, velocità e correlazione che strumenti isolati non possono offrire. La Singularity™ Platform unifica la telemetria di endpoint, identità e cloud in una singola console, così puoi indagare su un accesso VPN sospetto e sull'attività endpoint successiva senza dover passare tra più sistemi.

Per i team sommersi dal rumore, l'efficienza quantificata conta. Nelle MITRE ATT&CK Evaluations, SentinelOne ha prodotto l'88% di rumore in meno rispetto alla mediana di tutti i vendor, riducendo direttamente il carico di triage e consentendo agli analisti di concentrarsi su intrusioni remote reali. La telemetria Storyline ricostruisce automaticamente catene di processi e connessioni, offrendo un'analisi della causa radice più rapida quando un attaccante utilizza una sessione remota per spostarsi lateralmente.

Quando una credenziale compromessa innesca movimento laterale alle 2 di notte, serve una risposta autonoma, non la correlazione manuale su cinque dashboard. 

L'AI comportamentale di SentinelOne segnala attività sospette post-login, come esecuzione di processi insoliti dopo una sessione RDP o credential dumping dopo accesso VPN. Singularity™ Identity estende questa protezione all'infrastruttura di identità, rilevando attacchi in corso contro Active Directory ed Entra ID con difese in tempo reale. Singularity™ Identity esegue anche scansioni continue per credenziali deboli, esposte o compromesse, offrendo risposte automatiche per la loro remediation. Lo fa sia in ambienti on-prem (Active Directory) che cloud (come Entra ID, Okta, Ping, SecureAuth e Duo).

Per la velocità di indagine, Purple AI trasforma il linguaggio naturale in ricerche mirate sull'ambiente. I primi utilizzatori riportano che Purple AI rende threat hunting e indagini fino all'80% più veloci. Questa velocità è fondamentale quando devi rispondere a domande come: "Mostrami tutte le sessioni RDP da dispositivi non gestiti nelle ultime 48 ore."

Richiedi una demo di SentinelOne per vedere come la Singularity Platform rafforza la visibilità e la risposta sull'accesso remoto nel tuo ambiente.

Ridurre il rischio di identità in tutta l'organizzazione

Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.

Richiedi una demo

Punti chiave

L'accesso remoto è il punto di convergenza tra identità, postura degli endpoint e controlli di rete, e gli attaccanti prendono di mira ogni interstizio con zero-day su appliance VPN, credential-stuffing contro RDP esposti, hijacking di sessione dopo l'autenticazione e attacchi supply-chain contro strumenti di gestione remota. Riduci questo rischio seguendo le best practice per l'accesso remoto: rafforzamento dei controlli VPN, SSH e RDP; imposizione di MFA resistente al phishing; verifica della postura dei dispositivi; e applicazione del principio del minimo privilegio con accesso segmentato. 

Se il tuo programma si basa ancora su "VPN più MFA", presumi che un attaccante possa muoversi lateralmente dopo il login, e per una mappa pratica di come il furto di credenziali si traduca in impatto a livello di dominio, la guida di SentinelOne su ransomware copre le tattiche adiacenti che vedrai durante intrusioni guidate da accesso remoto.

Domande frequenti

No. VPN autentica gli utenti al momento della connessione e cripta il traffico in transito, ma non applica il principio del privilegio minimo dopo l’accesso. Una volta connessi, gli utenti spesso ereditano un ampio accesso alla rete, il che rende il movimento laterale semplice quando le credenziali vengono rubate o una sessione viene compromessa. 

Per colmare questa lacuna sono necessarie la segmentazione per limitare ciò a cui una sessione può accedere, i controlli dello stato del dispositivo per verificare da dove si connette e il monitoraggio continuo per rilevare abusi post-accesso prima che raggiungano asset critici.

I rischi a più alta frequenza sono il furto di credenziali e l’abuso di sessione. Le credenziali rubate consentono agli attaccanti di ottenere accesso autenticato tramite VPN o RDP senza attivare i controlli perimetrali. Il dirottamento di sessione, come dimostrato da CitrixBleed (CVE-2023-4966), permette agli attaccanti di bypassare completamente l’MFA utilizzando token di sessione validi. 

L’abuso di accesso da parte di terzi, appliance di accesso remoto non aggiornate e attacchi alla supply chain contro strumenti di gestione remota completano il quadro. Ogni modello di attacco ha un controllo di hardening diretto, ma il rischio aumenta rapidamente quando sono presenti più vulnerabilità contemporaneamente.

MFA verifica che la persona che si connette sia effettivamente chi dichiara di essere, e non solo qualcuno che conosce la password. Per l'accesso remoto, rappresenta il principale controllo che impedisce il successo di attacchi di credential-stuffing e brute-force. 

Tuttavia, la qualità dell'MFA è importante quanto la sua presenza. I metodi basati su SMS e push sono vulnerabili a proxy di phishing in tempo reale e ad attacchi di push fatigue. I metodi resistenti al phishing basati su FIDO2 o certificati PKI eliminano queste debolezze e sono lo standard raccomandato da NSA e CISA per l'accesso remoto aziendale.

I dispositivi personali non gestiti, i laptop di fornitori e gli endpoint BYOD rappresentano il rischio maggiore perché non è possibile verificarne lo stato delle patch, il software installato o la configurazione di base. Gli aggressori prendono di mira questi dispositivi sapendo che le organizzazioni spesso concedono loro lo stesso accesso di rete riservato alle risorse aziendali gestite. 

Instrada i dispositivi non gestiti attraverso un percorso di accesso intermediato che verifica la postura prima di aprire qualsiasi sessione e limita le risorse a cui possono accedere anche dopo aver superato i controlli di postura.

Inizia dove si sovrappongono esposizione e probabilità di sfruttamento. Se RDP è raggiungibile da internet, blocca immediatamente la porta 3389 e obbliga l’accesso tramite un percorso intermediato. Successivamente, verifica gli appliance VPN per CVE non corretti, autenticazione debole e crittografia legacy. 

Poi affronta SSH su larga scala inventariando le chiavi e centralizzando emissione e rotazione. Dai priorità in base all’esposizione su internet, al livello di privilegio e alla tua storia di incidenti.

Tratta i sistemi di accesso remoto perimetrali come candidati per patch di emergenza perché gli attaccanti li sfruttano rapidamente. CISA ha documentato casi di sfruttamento entro 9-13 giorni dalla divulgazione, il che significa che i cicli mensili lasciano una finestra ampia. 

Per gateway VPN esposti a internet, broker RDP e bastion SSH, punta a una finestra di patch a cifra singola di giorni, includendo validazione e pianificazione del rollback. Se non puoi correggere rapidamente, riduci l’esposizione con controlli compensativi.

Concentrati su comportamento e contesto della sessione, non solo sul successo del login. Definisci una baseline dei pattern normali come geolocalizzazione della fonte, tipo di dispositivo, orario e risorse tipicamente accessibili. 

Segnala poi anomalie come viaggi impossibili, avvio insolito di strumenti amministrativi dopo login remoto o accesso improvviso a condivisioni di file di alto valore. Combina telemetria VPN, endpoint e identità per poter correlare la sessione remota all’attività post-login.

Scopri di più su Sicurezza dell'identità

Che cos'è l'MFA resistente al phishing? Sicurezza modernaSicurezza dell'identità

Che cos'è l'MFA resistente al phishing? Sicurezza moderna

L'MFA resistente al phishing utilizza l'associazione crittografica al dominio per impedire il furto di credenziali. Scopri come funzionano i metodi basati su FIDO2 e PKI e perché CISA li definisce il gold standard.

Per saperne di più
Sicurezza Identity Provider (IDP): Cos'è e perché è importanteSicurezza dell'identità

Sicurezza Identity Provider (IDP): Cos'è e perché è importante

Scopri come i sistemi di rilevamento delle intrusioni e l'autenticazione FIDO2 bloccano gli attacchi IdP rivolti alla tua infrastruttura.

Per saperne di più
Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazioneSicurezza dell'identità

Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazione

NTLM è un protocollo di autenticazione Windows con vulnerabilità critiche. Scopri gli attacchi Pass-the-Hash, i rischi di relay e la migrazione prima di ottobre 2026.

Per saperne di più
Password vs Passkey: differenze chiave e confronto sulla sicurezzaSicurezza dell'identità

Password vs Passkey: differenze chiave e confronto sulla sicurezza

Password vs Passkey: le password utilizzano segreti condivisi vulnerabili a phishing e violazioni, mentre le passkey utilizzano la crittografia FIDO2, mantenendo le chiavi private sicure sul tuo dispositivo.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano