Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è un autore di minacce? Tipi ed esempi
Cybersecurity 101/Informazioni sulle minacce/Attore di minaccia

Che cos'è un autore di minacce? Tipi ed esempi

Comprendere gli autori delle minacce è fondamentale per una difesa efficace. Esplora le motivazioni e le tattiche dei vari avversari informatici.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Aggiornato: August 13, 2025

Gli attori di minacce sono individui o gruppi che compiono attacchi informatici. Questa guida esplora i diversi tipi di attori di minacce, le loro motivazioni e le loro tattiche.

Scopri l'importanza di comprendere gli attori di minacce nello sviluppo di strategie efficaci di sicurezza informatica. Comprendere gli attori di minacce è fondamentale per le organizzazioni per anticipare e mitigare i rischi.

Attori delle minacce - Immagini in primo piano | SentinelOne

Questo articolo illustra chi sono gli attori delle minacce, quali sono i loro obiettivi, quali tipi esistono e come prevenire i loro attacchi.

Che cos'è un attore di minaccia?

Un attore di minaccia informatica è qualsiasi individuo o gruppo che rappresenta una minaccia per la sicurezza informatica. Gli attori di minaccia sono i responsabili degli attacchi informatici e sono spesso classificati in base a una serie di fattori, tra cui il movente, il tipo di attacco e il settore preso di mira.

Oggi, l'ambiente delle minacce informatiche è senza dubbio più dinamico che mai e gli attori delle minacce stanno diventando sempre più sofisticati.

Comprendere gli attori delle minacce e le loro motivazioni può aiutare le organizzazioni a proteggersi meglio dai danni che questi attori causano quando sfruttano le vulnerabilità, compromettono le identità degli utenti>identità con privilegi elevati, eludono i controlli di sicurezza, danneggiano o cancellano dati o manipolano informazioni sensibili.

Obiettivi degli autori delle minacce

Gli autori delle minacce prendono di mira principalmente le grandi organizzazioni per ottenere guadagni monetari, dati e informazioni sensibili, o per causare interruzioni del servizio e danni alla reputazione. Tuttavia, anche le piccole e medie imprese (PMI) sono diventate bersagli frequenti per gli autori delle minacce, poiché la loro relativa mancanza di risorse può significare che i loro sistemi di sicurezza sono più deboli di quelli delle grandi imprese.

Nell'attuale panorama delle minacce, la maggior parte delle organizzazioni è suscettibile di essere presa di mira da un autore di minacce, indipendentemente dalle dimensioni o dal settore di appartenenza. Infatti, nel 2021 le aziende hanno dovuto affrontare il 50% in più di tentativi di attacchi informatici a settimana nel 2021 rispetto al 2020. Oggi, gli autori delle minacce possono trovare e troveranno una strada diretta verso i gioielli della corona se il percorso non è protetto.

Tipi e caratteristiche degli autori delle minacce

"Attore malintenzionato" è un termine generico che comprende un'ampia varietà di individui e gruppi classificati in base alle loro competenze, risorse o motivazioni per l'attacco.

Ecco alcuni dei tipi più comuni di attori malintenzionati e le motivazioni che tipicamente stanno dietro alle loro azioni:

1. Cybercriminali

I cybercriminali sono individui o gruppi che utilizzano la tecnologia digitale per svolgere attività illegali. Spesso sono motivati dal guadagno economico.

Questo tipo di attore di minaccia impiega tipicamente tattiche di ingegneria sociale come e-mail di phishing per indurre le vittime a cliccare su un link dannoso o a scaricare software dannoso (malware). Altri esempi di crimini informatici includono il furto di dati, l'inganno delle vittime per indurle a trasferire denaro, il furto di credenziali di accesso e la richiesta di riscatti.

2. Stati-nazione

Gli Stati-nazione possono finanziare gruppi di attori malintenzionati per svolgere una serie di attività dannose sulle reti di altri enti governativi, tra cui spionaggio o guerra informatica. Poiché gli attori malintenzionati finanziati dagli Stati-nazione tendono ad avere risorse elevate, il loro comportamento è spesso persistente e più difficile da individuare.

Prendendo di mira le reti dei loro avversari in modo furtivo, gli attori malintenzionati finanziati dagli Stati-nazione cercano in genere di sottrarre o corrompere dati e risorse sensibili, interrompere il funzionamento di infrastrutture critiche o raccogliere informazioni riservate.

3. Gruppi terroristici

Come nel caso degli atti di terrorismo fisico, l'obiettivo dei cyberterroristi è in genere quello di causare danni e distruzione che favoriscano la loro causa. Questo tipo di attore malintenzionato prende di mira aziende, apparati statali e infrastrutture o servizi critici che causeranno i danni o i disagi maggiori.

4. Cercatori di emozioni forti

I cercatori di emozioni forti sono attori che attaccano sistemi informatici o reti per divertimento personale. Sia che vogliano vedere quanti dati e informazioni sensibili riescono a rubare, sia che siano interessati al funzionamento di reti e sistemi informatici specifici, i thrill-seekers non intendono necessariamente causare gravi danni ai loro obiettivi. Tuttavia, possono interferire con i sistemi informatici e le reti o sfruttare le vulnerabilità per attacchi informatici più sofisticati in futuro.

5. Minacce interne

Le minacce interne sono in aumento. Queste minacce possono essere classificate nei seguenti tipi:

  • Insider malintenzionati: gli insider malintenzionati sono individui che hanno accesso all'ambiente aziendale e decidono di rivoltarsi contro i propri datori di lavoro aiutando gli autori delle minacce, solitamente per guadagno economico.
  • Insider incauti: gli insider incauti sono dipendenti che potrebbero non avere intenzioni maligne, ma che finiscono per causare una violazione dei dati a causa della loro disattenzione. Potrebbero cliccare su un'e-mail di phishing, installare software non approvato o smarrire i dispositivi aziendali.

6. Hacker

Sebbene il termine "autore della minaccia" sia spesso usato in modo intercambiabile con "hacker", gli hacker e gli autori delle minacce non sono la stessa cosa. Un hacker è una persona che utilizza le proprie competenze informatiche per superare una sfida o un problema, nel bene e nel male, mentre gli attori di minacce hanno quasi sempre intenzioni maligne.

Hollywood ha reso popolare il termine per evocare immagini di individui malvagi con intenzioni maligne, come causare disordini o infrangere la legge. Tuttavia, esistono molti tipi di hacker con capacità diverse.

Ecco alcuni esempi di diversi tipi di hacker e di ciò che sono in grado di fare:

Hacker black hat

Gli hacker black hat agiscono contro organizzazioni o agenzie governative nel tentativo di penetrare nelle reti o nei sistemi informatici con intenti malevoli. Gli hacker black hat lavorano spesso da soli o con gruppi criminali organizzati e utilizzano una serie di tecniche per hackerare i loro obiettivi, tra cui l'ingegneria sociale, l'hacking delle password, l'infezione dei dispositivi con malware, la registrazione dei tasti digitati o la creazione di botnet per eseguire un attacco Distributed-Denial-of-Services (DDoS).

Hacker white hat

Gli hacker white hat, chiamati anche hacker etici, collaborano con organizzazioni o agenzie governative per identificare le vulnerabilità e proteggere i sistemi informatici dagli hacker malintenzionati. A differenza di altri tipi di hacker, gli hacker white hat hanno sempre il permesso dell'organizzazione o dell'agenzia con cui collaborano per hackerare reti o sistemi informatici.

Hacker grey hat

Gli hacker grey hat si collocano a metà strada tra gli hacker white hat e gli hacker black hat. Gli hacker grey hat hackerano reti o sistemi informatici per attirare l'attenzione del bersaglio sulle vulnerabilità o sui potenziali percorsi di attacco e poi chiedono un compenso per risolvere i problemi che hanno scoperto. Molto spesso, questo tipo di hacker sfrutta i problemi di sicurezza senza intenzioni malevole, ma lo fa senza autorizzazione e spesso attraverso tattiche illegali.

Hacker green hat

Gli hacker green hat sono principianti e spesso cercano informazioni dai membri più esperti della comunità degli hacker. Sebbene gli hacker green hat non sempre dispongano delle competenze o delle conoscenze necessarie per lanciare un attacco coordinato, possono comunque causare gravi danni se non hanno una chiara comprensione di ciò che hanno fatto o di come risolverlo.

Hacker blue hat

Gli hacker blue hat sono molto simili agli hacker white hat: sono professionisti della sicurezza che lavorano presso società di consulenza e vengono assunti specificamente per testare un sistema prima del suo lancio. A volte, gli hacker blue hat prendono di mira anche individui o aziende per vendicarsi di qualche illecito senza pensare troppo alle conseguenze delle loro azioni.

Hacker red hat

Gli hacker red hat sono spesso considerati i "cavalli oscuri" del mondo dell'hacking, che lavorano da soli o in gruppi privati per disarmare gli hacker black hat. A differenza degli hacker white hat che denunciano gli hacker black hat alle autorità, gli hacker red hat spesso si concentrano sulla distruzione delle risorse e sul causare danni.

Script kiddies

A differenza di altri tipi di hacker, gli script kiddies sono spesso motivati dalla noia e non scrivono i propri script o codici informatici. Inseriscono invece script o codici esistenti in virus o applicazioni per hackerare i sistemi informatici di altri. Nel mondo dell'hacking, gli script kiddies sono noti per essere relativamente inesperti e immaturi rispetto ad altri tipi di hacker.

Hacktivisti

Gli hacktivisti sono spesso considerati hacker black hat, ma le loro motivazioni per l'hacking sono politiche. Che si tratti di preservare la libertà di parola o di denunciare casi di violazione dei diritti umani, gli hacktivisti prendono di mira individui, organizzazioni o agenzie governative.

Il più delle volte, gli hacktivisti credono di cercare di attuare un cambiamento positivo nel mondo. Ad esempio, il gruppo di hacker Anonymous è ben noto per i suoi numerosi attacchi informatici contro diversi governi ed è stato definito "combattenti per la libertà" dai propri sostenitori.

Tra i diversi tipi di hacker, il termine "attori di minaccia" si applica più direttamente agli hacker black hat, agli hacker blue hat, agli script kiddies e agli hacktivisti. Che si tratti di criminali informatici o di insider, la threat intelligence di Singularity aiuta a tracciare e difendersi da tutti i tipi di threat actor.

Concetti correlati alla sicurezza informatica da conoscere

Oltre a comprendere le componenti essenziali dei threat actor e le loro caratteristiche, è utile rivedere questi concetti di sicurezza informatica:

Malware

Il malware è un tipo di software dannoso progettato per danneggiare o disabilitare i computer. Il malware può essere utilizzato per rubare dati, assumere il controllo dei sistemi o lanciare attacchi ad altri computer.

Esistono molti tipi diversi di malware, tra cui virus, worm, trojan e ransomware. Il malware può diffondersi tramite allegati e-mail, siti web infetti o software compromessi.

Phishing

Il phishing è un tipo di attacco informatico che utilizza e-mail o siti web che sembrano provenire da fonti legittime per indurre gli utenti a rivelare informazioni sensibili o a cliccare su link dannosi.

Gli attacchi di phishing possono essere molto difficili da individuare perché spesso utilizzano indirizzi e-mail e siti web contraffatti che sembrano simili a quelli legittimi. Gli aggressori prendono anche di mira individui o organizzazioni specifici per aumentare le loro possibilità di successo.

Attacco Denial-of-Service

Un attacco Denial-of-Service (attacco DoS) è un tipo di attacco informatico che tenta di rendere un sistema o una rete non disponibili agli utenti. Gli attacchi DoS prendono di mira siti web o servizi online e possono essere utilizzati per mettere fuori uso interi sistemi.

Gli attacchi DoS vengono solitamente effettuati inondando il bersaglio di traffico o richieste fino a quando non è più in grado di gestire il carico e diventa inaccessibile. Possono anche essere utilizzati per disabilitare sistemi o reti corrompendo i dati, sfruttando le vulnerabilità o sovraccaricando le risorse.

Ransomware

Il ransomware è un tipo di malware che crittografa i file o blocca i sistemi, rendendoli inaccessibili agli utenti. Può essere diffuso tramite allegati e-mail, siti web infetti o software compromessi. Questo tipo di malware blocca l'accesso o crittografa le risorse, costringendo spesso l'utente a pagare un riscatto per riottenere l'accesso al proprio dispositivo, ai propri file o al proprio sistema.

Considerare il ransomware come una semplice crittografia di dati rubati in modo casuale non è più una rappresentazione accurata della pletora di strategie di estorsione di dati odierne. Gli autori del ransomware hanno recentemente virato verso il furto di dati invece che verso la crittografia, che richiede molto tempo. Le tendenze indicano che la crittografia completa dei dati delle vittime è spesso troppo ardua e lenta per molti autori delle minacce e aumenta il rischio di essere scoperti.

È emersa una gamma di autori delle minacce che stanno abbandonando la crittografia tradizionale, che richiede molto tempo, per concentrarsi sulla distruzione di tutti i dati rubati. Ora, gli autori sembrano dare la priorità ad attacchi più rapidi, attraverso l'estorsione di dati che vengono più o meno preservati, o solo un danneggiamento parziale che consente loro di agire rapidamente e richiedere riscatti sempre più elevati.

Drive-by Download

Il drive-by download è un tipo di attacco informatico che consiste nell'infettare un sistema con malware all'insaputa e senza il consenso dell'utente. I drive-by download avvengono solitamente quando un utente visita un sito web infetto o clicca su un link dannoso.

Questa forma di attacco può essere utilizzata per installare tutti i tipi di malware, inclusi virus, trojan e ransomware.

Esempi di autori delle minacce

Alcuni autori delle minacce possono essere aggressori solitari, mentre altri possono far parte di un'organizzazione criminale più ampia e organizzata o di un'organizzazione che si occupa di minacce informatiche.

Esaminare alcuni esempi recenti di attacchi informatici può aiutare le organizzazioni a prevedere meglio quale tipo di autore delle minacce potrebbe prendere di mira le loro reti o i loro sistemi e a prepararsi per incidenti simili in futuro.

MeteorExpress

Nel luglio del 2021, un attacco wiper – un attacco che utilizza malware progettato per cancellare il disco rigido del computer che infetta – ha paralizzato il sistema ferroviario nazionale iraniano. Una volta effettuato l'hacking, i display hanno istruito i passeggeri ferroviari a indirizzare eventuali reclami al numero di telefono dell'ufficio del leader supremo iraniano Khamenei.

Soprannominata "MeteorExpress", questa campagna dimostra come un autore di minacce possa utilizzare le proprie competenze tecniche per accedere a un sistema informativo e sfruttarlo per scopi politici. Ad oggi, l'autore di questo attacco rimane ancora un mistero.

8220 Gang

Un gruppo di criminali informatici noto come 8220 Gang prende di mira servizi di infrastruttura cloud quali AWS, Microsoft Azure, Google Cloud, Aliyun e Qcloud, per distribuire miner di criptovalute illegali a spese delle vittime. Sebbene il gruppo sia attivo da anni, a metà del 2021 nuove campagne che utilizzavano infrastrutture di lunga durata hanno portato il numero di botnet da circa 2.000 host infetti alla cifra odierna di circa 30.000.

Gli autori delle minacce come 8220 Gang spesso impiegano anni per evolvere lentamente le loro campagne fino a renderle troppo grandi per essere smantellate.

REvil Ransomware

Il ransomware REvil è stato distribuito con successo a migliaia di endpoint aziendali attraverso un attacco zero-day mirato ai server Kaseya VSA comunemente utilizzati dai fornitori di servizi di sicurezza gestiti (MSSP) e società di gestione IT. Questo attacco sembra essere uno dei più grandi incidenti ransomware mai verificatisi fino ad oggi, con gli aggressori che offrono uno strumento di decrittazione universale per tutte le vittime al prezzo forfettario di 50 milioni di dollari (inizialmente 70 milioni).

Sebbene inizialmente considerato un attacco alla catena di approvvigionamento, questa campagna ransomware ben orchestrata e su larga scala rivela quanto possano essere redditizi gli attacchi informatici per gli autori delle minacce e quanto sia importante un moderno sistema di rilevamento e risposta degli endpoint (EDR) sia per le organizzazioni.

Aoqin Dragon

Denominato e tracciato come "Aoqin Dragon" dai ricercatori di SentinelLabs , questo gruppo di hacker finanziato dallo Stato è responsabile di una serie di attività dannose risalenti al 2013 che hanno preso di mira organizzazioni governative, educative e di telecomunicazioni in tutto il Sud-Est asiatico e in Australia. Sebbene le motivazioni esatte siano sconosciute, è probabile che l'obiettivo principale di questo gruppo cinese advanced persistent threat (APT) sia lo spionaggio.

Questo esempio illustra come gli autori delle minacce possano condurre silenziosamente campagne di lunga durata per rimanere sotto il radar mentre svolgono operazioni di spionaggio e continuano a migliorare il loro trade-off.

Moshen Dragon

Soprannominato "Moshen Dragon", questo attore malintenzionato di origine cinese è stato accusato di aver dirottato prodotti di sicurezza legacy, tra cui Symantec, TrendMicro, McAfee, BitDefender e Kaspersky, per condurre attacchi. Oltre alle cinque diverse triadi di malware distribuite da Moshen Dragon, sono stati utilizzati anche una serie di altri strumenti, tra cui un pacchetto di notifiche LSA e una backdoor passiva nota come GUNTERS.

Gli autori delle minacce tendono spesso a utilizzare più tattiche, tecniche e strumenti per violare i sistemi informatici e le reti. Una volta stabilito un punto d'appoggio, spesso procedono con il movimento laterale all'interno della rete, inseriscono una backdoor passiva nell'ambiente, raccolgono quante più credenziali possibile e poi si concentrano sull'esfiltrazione dei dati.

Come prevenire e fermare gli attacchi informatici degli autori delle minacce

Il miglior consiglio per i difensori è quello di agire sempre partendo dal presupposto che le loro reti ospitino già autori di minacce. Il modo migliore per prevenire gli autori delle minacce è disporre di una soluzione di sicurezza completa. La soluzione di sicurezza ideale dovrebbe includere le seguenti funzionalità:

1. Protezione, rilevamento e risposta degli endpoint (EDR)

Per proteggere le organizzazioni dagli autori delle minacce, i team di sicurezza utilizzano soluzioni complete per la sicurezza degli endpoint come Singularity™ Endpoint con funzionalità di rilevamento e risposta.

"La "protezione degli endpoint" si riferisce alla tecnologia e ai processi utilizzati per difendere gli endpoint di rete, come laptop, server e dispositivi mobili, da malware e altre minacce. Gli strumenti EDR si differenziano dalle altre soluzioni di sicurezza in quanto non si concentrano solo sull'identificazione e la messa in quarantena di malware specifici o incidenti dichiarati ufficialmente. Gli strumenti EDR cercano invece attività anomale e forniscono avvisi ai team di sicurezza per ulteriori indagini.

Secondo Gartner, le soluzioni EDR:

Registrano e memorizzano i comportamenti a livello di sistema endpoint, utilizzano varie tecniche di analisi dei dati per rilevare comportamenti sospetti del sistema, forniscono informazioni contestuali, bloccano attività dannose e forniscono suggerimenti di correzione per ripristinare le soluzioni interessate.

2. Sicurezza Zero Trust

Un modello di sicurezza Zero Trust è un approccio alla sicurezza informatica che non si basa su livelli di fiducia predefiniti. Al contrario, considera tutti gli utenti, i dispositivi e le reti come non affidabili fino a quando non vengono verificati attraverso controlli continui di autenticazione e autorizzazione.

L'architettura zero trust può aiutare a impedire agli autori delle minacce di accedere ai sistemi informatici o alle reti, poiché non fornisce l'accesso automatico ai dati sensibili. Ogni singolo utente, compresi i dipendenti e gli appaltatori, deve sottoporsi al processo di verifica ogni volta che desidera accedere a qualcosa.

3. Autenticazione a più fattori

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire due o più prove, o fattori, prima di poter accedere ai dati sensibili. Ad esempio, a un utente potrebbe essere richiesto di inserire la propria password e quindi confermare la propria identità con un'impronta digitale o un codice inviato al proprio telefono cellulare.

L'autenticazione a più fattori è efficace contro gli autori delle minacce perché rende più difficile l'accesso ai dati sensibili da parte di utenti non autorizzati. Anche se dispongono di una password valida, per accedere ai sistemi o alle reti devono anche disporre dell'altro fattore, come un token fisico o uno smartphone.

4. Difesa contro le minacce persistenti avanzate (APT)

Una minaccia persistente avanzata è un attacco informatico in cui i criminali collaborano per rubare dati o infiltrarsi nei sistemi, spesso senza essere rilevati per un lungo periodo di tempo. Nella maggior parte dei casi, questi attacchi sono eseguiti da Stati nazionali che cercano di minare un altro governo.

Mentre altri attacchi informatici, come il malware e gli schemi di phishing, agiscono in pochi giorni, un APT può protrarsi per mesi o addirittura anni.

Alcuni dei metodi più comuni utilizzati dagli APT includono:

  • Spear phishing: Invio di e-mail mirate che sembrano provenire da fonti legittime al fine di indurre gli utenti a cliccare su link dannosi o ad aprire allegati infetti.
  • Ingegneria sociale: Indurre gli utenti a rivelare informazioni sensibili o compromettere i loro sistemi utilizzando tattiche ingannevoli come siti web falsi o telefonate.
  • Attacchi watering hole: Infettare siti web comunemente visitati dai dipendenti di un'organizzazione bersaglio al fine di infettare i loro sistemi quando visitano il sito web.

Gli APT sono più difficili da contrastare perché solitamente vengono messi in atto da organizzazioni sofisticate e dotate di ingenti risorse finanziarie. Tuttavia, con la giusta preparazione e le giuste misure di sicurezza, è possibile rendere molto più difficile il loro successo. Una difesa efficace contro gli autori delle minacce richiede una soluzione integrata come Singularity XDR, che fornisce rilevamento e risposta in tempo reale.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Fermate gli autori delle minacce con SentinelOne

Gli autori delle minacce cambiano continuamente tattica, rendendo essenziale disporre di una soluzione di sicurezza in grado di adattarsi con la stessa rapidità. La piattaforma di sicurezza endpoint di nuova generazione leader a livello mondiale, SentinelOne, è stata appositamente progettata per bloccare le minacce in ogni fase del ciclo di vita di un attacco.

SentinelOne risolve in modo proattivo le minacce in tempo reale, utilizzando modelli basati sull'intelligenza artificiale per identificare i malware e i ransomware prima che possano attaccare. Inoltre, crea un contesto critico per il rilevamento e la risposta proattivi in tempo reale in grado di proteggere i sistemi dalle minacce persistenti avanzate.

ActiveEDR, una tecnologia rivoluzionaria progettata da SentinelOne, identifica gli atti dannosi in tempo reale, automatizzando le risposte necessarie e consentendo una facile ricerca delle minacce. Sfruttando la potenza dell'apprendimento automatico e dell'intelligenza artificiale, allevia il carico di lavoro dei team SOC ed è in grado di mitigare autonomamente gli eventi sull'endpoint senza fare affidamento sulle risorse cloud.

Consentendo ai team di sicurezza e agli amministratori IT di concentrarsi sugli avvisi importanti, ActiveEDR riduce il tempo e i costi necessari per contestualizzare la quantità complessa e schiacciante di dati richiesti da altre soluzioni passive soluzioni EDR. Al contrario, offre visibilità completa, protezione e capacità di risposta in un'unica architettura agente/console.

Scoprite come SentinelOne protegge in modo proattivo le organizzazioni dagli autori delle minacce e prenotate una demo oggi stesso.

"

Domande frequenti sugli autori delle minacce

Un attore di minacce è qualsiasi individuo o gruppo che causa intenzionalmente danni nel mondo della sicurezza informatica. Sfruttano le vulnerabilità di computer, reti e sistemi per sferrare attacchi contro individui o organizzazioni. Gli attori di minacce possono essere hacker solitari, gruppi criminali organizzati, agenti di Stati nazionali o persino malintenzionati interni alla propria azienda.

Utilizzano vari metodi come malware, phishing, ransomware e ingegneria sociale per raggiungere i propri obiettivi. Le loro motivazioni vanno dal guadagno finanziario e dall'attivismo politico allo spionaggio e alla semplice interruzione delle attività.

I cinque tipi principali sono i criminali informatici, gli attori statali, gli hacktivisti, le minacce interne e gli script kiddies. I criminali informatici cercano di ottenere guadagni finanziari attraverso ransomware, frodi e furti di dati. Gli attori statali lavorano per i governi per condurre attività di spionaggio e guerra informatica. Gli hacktivisti utilizzano gli attacchi per promuovere cause politiche o sociali.

Le minacce interne provengono da dipendenti attuali o ex dipendenti che abusano del loro accesso. Gli script kiddies sono aggressori inesperti che utilizzano strumenti esistenti senza una profonda conoscenza tecnica.

Non proprio. "Hacker" è un termine più ampio che include sia gli attori etici che quelli malintenzionati. Gli hacker possono essere classificati come white hat (etici), black hat (malintenzionati) o gray hat (una via di mezzo). Tutti gli autori di minacce sono hacker, ma non tutti gli hacker sono autori di minacce. Gli hacker white hat lavorano per migliorare la sicurezza attraverso test di penetrazione legittimi e ricerche sulle vulnerabilità.

Gli autori di minacce si riferiscono specificamente agli hacker malintenzionati che intendono causare danni. La differenza fondamentale è l'intento: gli attori che rappresentano una minaccia hanno sempre scopi dannosi, mentre gli hacker potrebbero cercare di contribuire a migliorare la sicurezza o semplicemente esplorare i sistemi senza intenzioni dannose.

Gli autori delle minacce iniziano con una ricognizione per raccogliere informazioni sui loro obiettivi. Quindi ottengono l'accesso iniziale attraverso metodi come e-mail di phishing, sfruttamento delle vulnerabilità o ingegneria sociale. Una volta all'interno, aumentano i privilegi per ottenere un accesso di livello superiore. Successivamente, conducono una fase di scoperta per mappare la rete e identificare obiettivi di valore.

Si muovono lateralmente attraverso i sistemi per espandere la loro presenza. Dopodiché, eseguono il loro obiettivo principale, che sia rubare dati, distribuire ransomware o stabilire una persistenza a lungo termine.

Sì, possono esserlo. Le minacce interne sono tra le più pericolose perché gli autori hanno già accesso autorizzato ai sistemi e ai dati. Possono essere insider malintenzionati che rubano intenzionalmente informazioni o sabotano i sistemi, insider negligenti che creano accidentalmente vulnerabilità o insider compromessi i cui account sono stati violati da aggressori esterni. Gli insider malintenzionati spesso hanno una profonda conoscenza delle procedure di sicurezza e possono aggirare molti controlli.

La difesa richiede più livelli di controlli di sicurezza. Iniziate con la formazione dei dipendenti sulle tattiche di phishing e social engineering. Implementate l'autenticazione a più fattori e controlli di accesso rigorosi. Implementate strumenti di rilevamento e risposta degli endpoint per individuare attività dannose. Monitorate il traffico di rete alla ricerca di modelli sospetti e indicatori di compromissione. Mantenete i sistemi aggiornati e patchati regolarmente.

Utilizzate le informazioni sulle minacce per rimanere informati sui metodi di attacco attuali. Condurre valutazioni di sicurezza e test di penetrazione regolari. Sviluppare piani di risposta agli incidenti e metterli in pratica. La chiave è assumere una mentalità di violazione – sono necessarie capacità di rilevamento e risposta, non solo di prevenzione.

Le informazioni sulle minacce trasformano i dati grezzi sulle minacce in informazioni utilizzabili per difendere la vostra organizzazione. Vi aiutano a capire quali attori delle minacce potrebbero prendere di mira il vostro settore, le loro tattiche e tecniche preferite e le attuali campagne di attacco. Sarete in grado di dare priorità alle vostre difese contro le minacce più rilevanti. È possibile utilizzare gli indicatori di compromissione per rilevare gli attacchi in corso e i profili degli autori delle minacce per prevedere gli attacchi futuri.

Aiutano inoltre i team di risposta agli incidenti a comprendere con cosa hanno a che fare e come rispondere in modo efficace. L'obiettivo è passare da una sicurezza reattiva a una proattiva.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo