Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Come prevenire gli attacchi di escalation dei privilegi?
Cybersecurity 101/Informazioni sulle minacce/Come prevenire gli attacchi di escalation dei privilegi

Come prevenire gli attacchi di escalation dei privilegi?

L'escalation dei privilegi e il controllo di altri account e reti è uno dei primi passi compiuti dagli avversari per attaccare la tua organizzazione. La nostra guida ti insegna come prevenire gli attacchi di escalation dei privilegi.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Aggiornato: July 29, 2025

Se non ti concentri sui controlli di identità e accesso, è inevitabile che prima o poi sarai vittima di un attacco di escalation dei privilegi. Oggigiorno i malintenzionati agiscono in modi molto diversi. Le vecchie soluzioni di sicurezza non funzionano contro di loro e possono facilmente aggirare le misure di sicurezza tradizionali. Avere una solida strategia di protezione dei dati e lavorare partendo da lì è il primo passo per imparare a prevenire gli attacchi di escalation dei privilegi. Le identità non personali possono assumere principi di servizio, ruoli, chiavi di accesso, funzioni, ecc. Una volta gettate le basi, gli aggressori possono sfruttare identità, dati e autorizzazioni.

Gli autori delle minacce possono trascorrere giorni, settimane e mesi all'interno del vostro ambiente senza che ve ne accorgiate. Possono esporre o divulgare i vostri dati sensibili e, quando causano una violazione dei dati, quando un fornitore di servizi terzo vi informa, è troppo tardi.

In questa guida imparerete come prevenire gli attacchi di escalation dei privilegi e vedrete come affrontarli.

Come prevenire gli attacchi di escalation dei privilegi - Immagine in primo piano | SentinelOne

Cosa sono gli attacchi di escalation dei privilegi?

In senso stretto, un attacco di escalation dei privilegi si verifica quando un avversario aumenta i privilegi di un account.

Ciò accade quando un autore di minacce ottiene l'accesso autorizzato e i diritti amministrativi sui sistemi e sulle reti. Può sfruttare le vulnerabilità di sicurezza, modificare le autorizzazioni di identità e concedersi diritti e capacità maggiori. Gli aggressori possono muoversi lateralmente attraverso le reti e modificare in modo significativo account, risorse e altre risorse.

Alla fine, passano da permessi limitati ad avere un senso di controllo completo. Vanno oltre il diventare utenti di base e possono trasformare i loro account in utenti avanzati con diritti aggiuntivi. Un attacco di privilegio riuscito può aumentare il suo livello di privilegio e ottenere un maggiore controllo. Può aprire nuovi vettori di attacco, prendere di mira tutti gli utenti della rete ed evolvere gli attacchi, dalle infezioni da malware alle violazioni di dati su larga scala e alle intrusioni nella rete.

Come funzionano gli attacchi di escalation dei privilegi?

Un attacco di escalation dei privilegi può verificarsi adottando un'identità di basso livello e sfruttando le autorizzazioni. L'aggressore si muove lateralmente attraverso il vostro ambiente e ottiene autorizzazioni aggiuntive che gli consentono di causare danni irreparabili. Molte organizzazioni trascurano le nozioni di base sulla sicurezza del cloud, lasciando lacune di cui non si accorgono. Le aziende hanno anche difficoltà a ottenere visibilità sui propri utenti interni, identità e autorizzazioni in ambienti cloud complessi.

Un attacco di escalation dei privilegi funziona tentando di assumere il controllo del tuo account e dei privilegi esistenti. Può variare da privilegi guest limitati solo agli accessi locali, a privilegi di amministratore e root per sessioni remote. Gli attacchi di escalation dei privilegi utilizzano metodi come lo sfruttamento delle credenziali degli utenti, l'approfittare delle vulnerabilità del sistema, configurazioni errate, l'installazione di malware e persino ingegneria sociale. Gli aggressori ottengono l'accesso all'ambiente, cercano le patch di sicurezza mancanti e utilizzano tecniche come il basic password stuffing e l'intelligenza artificiale generativa per individuare le falle dell'organizzazione. Una volta trovato un modo per infiltrarsi, eseguono una sorveglianza per un periodo prolungato.

Quando si presenta l'occasione giusta, lanciano un attacco più ampio. Possono anche cancellare le tracce delle loro attività quando non vengono rilevati. Alcuni dei metodi che utilizzano consistono nell'eliminare i log basati sulle credenziali degli utenti, mascherare gli indirizzi IP di origine ed eliminare qualsiasi prova che possa indicare la presenza di indicatori di compromissione.

Metodi standard utilizzati negli attacchi di escalation dei privilegi

Esistono diversi tipi di attacchi di escalation dei privilegi. Essi sono i seguenti:

1. Escalation orizzontale dei privilegi

In questo caso l'aggressore può evolvere i propri privilegi controllando un altro account e abusando dei suoi privilegi originali. Può assumere il controllo di qualsiasi privilegio concesso all'utente precedente e progredire da lì. L'escalation orizzontale dei privilegi si verifica anche quando un aggressore riesce ad accedere allo stesso livello di autorizzazione di altri utenti, ma utilizza identità utente diverse. Un aggressore che utilizza le credenziali rubate a un dipendente può essere classificato come un escalatore di privilegi orizzontale.

L'obiettivo di questo attacco non è ottenere privilegi di root, ma accedere a dati sensibili appartenenti ad altri utenti con livelli di privilegio uguali o simili. Gli attacchi di escalation orizzontale dei privilegi sfruttano pratiche di sicurezza deboli su livelli di privilegio o autorizzazione simili.

2. Escalation verticale dei privilegi

Si tratta di una forma più avanzata di escalation dei privilegi in cui l'autore dell'attacco cerca di ottenere l'accesso da un account utente standard e tenta di aggiornarlo. Evolveranno i loro privilegi standard in privilegi di livello superiore, passando ad esempio da utente base a superutente o amministratore. Ciò consentirà loro di ottenere il controllo illimitato su reti e sistemi. Nel tempo, otterranno l'accesso completo ai sistemi e saranno in grado di modificare le configurazioni, installare software, creare nuovi account e bandire o inserire altri nella lista dei blocchi. Potranno persino cancellare i dati dell'organizzazione.

Come rilevare i tentativi di escalation dei privilegi?

È possibile rilevare gli attacchi di escalation dei privilegi nei seguenti modi:

  • Osservate come i vostri dipendenti interagiscono tra loro quotidianamente. Se sospettate che stia succedendo qualcosa di strano e improvvisamente assumono un atteggiamento negativo, è segno che è in corso un attacco di escalation dei privilegi. Ricordate che non tutti gli attacchi di escalation dei privilegi sono uguali, quindi qui discuteremo di quelli basati sul social engineering. Un dipendente che nutre rancore può utilizzare il proprio accesso autorizzato per svolgere attività illegali nell'intera infrastruttura.
  • Verificate la presenza di attività di accesso insolite e controllate se alcuni file o applicazioni sono stati consultati per la prima volta da account con privilegi bassi. Se i vostri token di accesso sono stati manipolati e notate alcuni segnali, prestate attenzione.
  • Cercate attacchi di iniezione della cronologia SID e di iniezione di processi. Anche l'avvio della sincronizzazione DC e gli attacchi shadow indicano attacchi di escalation dei privilegi.
  • Qualsiasi modifica non autorizzata ai servizi autorizzati a funzionare solo con privilegi di livello amministrativo è un indicatore standard di attacchi di escalation dei privilegi.
  • Altri eventi di sistema, come arresti improvvisi delle applicazioni o spegnimenti del sistema, malfunzionamenti delle applicazioni o attori di minacce che manomettono il kernel e il sistema operativo, portano alla fine ad attacchi di escalation dei privilegi.

Best practice per prevenire gli attacchi di escalation dei privilegi

Ecco le migliori pratiche che è possibile utilizzare per prevenire gli attacchi di escalation dei privilegi:

  • Uno dei modi migliori per prevenire gli attacchi di escalation dei privilegi è comprendere e applicare il principio dell'accesso con privilegi minimi. Questo concetto di sicurezza informatica consente di limitare i diritti di accesso per tutti gli utenti. Ciò significa che essi ottengono solo i diritti necessari e quelli strettamente richiesti per il loro lavoro.
  • Il principio dell'accesso con privilegi minimi garantirà che le operazioni quotidiane non vengano influenzate o rallentate. Inoltre, protegge le risorse di sistema da varie minacce. È possibile utilizzare controlli di accesso, implementare politiche di sicurezza e garantire che il team IT controlli quali applicazioni vengono eseguite come amministratori locali senza concedere agli utenti diritti di amministratore locale.
  • Il secondo passo per prevenire gli attacchi di accesso privilegiato è mantenere aggiornato il software. Se si rilevano difetti, applicare immediatamente le patch alle vulnerabilità su tutti i sistemi operativi. Eseguire regolarmente scansioni delle vulnerabilità e identificare gli exploit prima che gli hacker ne approfittino.
  • Monitorare le attività del sistema per assicurarsi che non ci siano malintenzionati in agguato nella rete. Se si rilevano anomalie o comportamenti sospetti durante gli ordini di sicurezza, si tratta di un segnale rivelatore.
  • Il ring-fencing è una tecnica ampiamente utilizzata dalle organizzazioni per limitare le funzionalità delle app, sia che interagiscano con altre app, file, dati o utenti. Si tratta di una barriera che impedisce alle applicazioni di uscire dai confini dell'organizzazione.
  • Inoltre, istruisci i tuoi dipendenti sull'importanza della consapevolezza in materia di sicurezza. Assicuratevi che siano in grado di riconoscere i segnali di malware di social engineering e phishing. La consapevolezza è una delle migliori strategie per prevenire gli attacchi di escalation dei privilegi. È la soluzione più efficace nella lotta contro gli hacker.
  • Applicate un approccio zero-trust alla sicurezza informatica creando un'architettura di sicurezza di rete zero-trust. Non fidatevi di nessuno. Verifica sempre.
  • Utilizza tecnologie di rilevamento delle minacce basate sull'intelligenza artificiale per eseguire scansioni in background quando nessuno presta attenzione. Se gli esseri umani non individuano eventuali falle nella sicurezza, gli strumenti di automazione le rileveranno.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Esempi reali di attacchi di escalation dei privilegi

Un driver firmato da Microsoft è stato utilizzato in un recente attacco di escalation dei privilegi. Gli autori dell'attacco hanno sfruttato una falla nel gestore di partizioni Paragon per un programma "bring-your-own-vulnerable-driver" (porta il tuo driver vulnerabile). Questa vulnerabilità zero-day è stata coinvolta in un attacco ransomware, consentendo agli aggressori di compromettere i sistemi ed eludere il rilevamento. CVE-2025-0289 era una vulnerabilità di accesso alle risorse del kernel non sicura utilizzata per elevare i privilegi.

Ha eseguito attacchi denial-of-service sui dispositivi presi di mira. Il CERT Coordination Center ha avvertito che questa vulnerabilità poteva essere utilizzata sui dispositivi Windows, anche se il gestore di partizioni Paragon non era installato.

La variante del ransomware non è stata rivelata e Microsoft non ha potuto commentare l'attività né sfruttarla ulteriormente. Si sono rifiutati di fornire qualsiasi risposta. È comune che le bande di ransomware sfruttino driver vulnerabili e aggirino i meccanismi di rilevamento e risposta degli endpoint.

Gli attacchi di privilegio Kubernetes sono un altro tipo di attacco di escalation dei privilegi che si verifica tra i cluster. Prendono di mira i container e abusano delle porte di sistema all'interno delle catene di attacco.

Una volta che gli avversari ottengono l'accesso a privilegi di livello superiore, possono sfruttare vulnerabilità, configurazioni errate e abusare di politiche di controllo degli accessi basate sui ruoli troppo permissive. Possono interrompere servizi critici, distribuire carichi di lavoro dannosi e ottenere il controllo totale dell'intero cluster Kubernetes.

Conclusione

La prevenzione degli attacchi di escalation dei privilegi inizia con l'adozione delle misure di sicurezza necessarie per applicare controlli di accesso rigorosi e l'esecuzione di regolari audit di sicurezza. Se non si è a conoscenza di ciò che accade nella propria organizzazione, può essere difficile individuare con precisione quando si verifica un movimento laterale. Incorporate i migliori programmi di sensibilizzazione e formazione sulla sicurezza e assicuratevi che i vostri dipendenti vi partecipino.

Non trascurate le nozioni di base, perché sono fondamentali per imparare a prevenire gli attacchi di escalation dei privilegi. Inoltre, consultate esperti di sicurezza come SentinelOne per ulteriore assistenza.

"

FAQs

Un attacco di escalation dei privilegi si verifica quando una persona ottiene più diritti di accesso di quelli che già possiede, consentendole di controllare una parte maggiore di un sistema o di una rete. È come ricevere la chiave di un luogo in cui non si dovrebbe entrare e poi usarla per aprire altre porte.

Gli aggressori acquisiscono privilegi più elevati sfruttando le debolezze del sistema o le credenziali compromesse. Possono scoprire una debolezza nel software o manipolare qualcuno affinché conceda loro l'accesso. Quindi, possono vagare e acquisire più autorità, di solito senza essere notati.

Gli attacchi di escalation dei privilegi possono essere prevenuti limitando ciò che un utente può fare. In altre parole, fornendo alle persone solo l'accesso necessario per completare i loro compiti.

Anche mantenere aggiornato il software e formare il personale sulla sicurezza è un'ottima idea. Un'altra opzione è quella di monitorare i comportamenti sospetti.

La sicurezza degli endpoint blocca l'escalation dei privilegi proteggendo i singoli dispositivi come computer e smartphone. È in grado di identificare e bloccare gli attacchi prima che si diffondano. Questo è importante perché gli aggressori in genere iniziano prendendo di mira un singolo endpoint per ottenere l'accesso a una rete più estesa.

In caso di attacco di escalation dei privilegi, le organizzazioni devono reagire immediatamente. Devono mettere in quarantena le aree infette, rimuovere il malware e modificare le password. È necessario esaminare ciò che è accaduto in modo che non si ripeta. È possibile utilizzare strumenti di sicurezza per facilitare questa operazione.

Esistono due tipi principali di attacchi di escalation dei privilegi: orizzontali e verticali. Gli attacchi orizzontali comportano l'acquisizione dei privilegi di un utente di livello pari. Gli attacchi verticali includono il passaggio da utente normale a superutente o amministratore con maggiore accesso alle reti e ai sistemi.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo