Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è un attacco AitM (Adversary-in-the-Middle)?
Cybersecurity 101/Informazioni sulle minacce/Avversario nel mezzo (AitM)

Che cos'è un attacco AitM (Adversary-in-the-Middle)?

Gli attacchi Adversary-in-the-Middle (AiTM) manipolano le comunicazioni per scopi dannosi. Comprendi le loro tattiche e come difenderti da essi.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Aggiornato: July 16, 2025

Gli attacchi Adversary-in-the-Middle (AITM) sono una forma sofisticata di attacchi MITM che comportano l'impersonificazione di entrambe le parti. Questa guida esplora il funzionamento degli attacchi AITM, i loro rischi e le strategie per il loro rilevamento e la loro prevenzione.

Scopri l'importanza di un'autenticazione e una crittografia forti. Comprendere gli attacchi AITM è essenziale per le organizzazioni che desiderano migliorare le proprie difese di sicurezza informatica.

Breve panoramica degli attacchi Adversary-in-the-Middle (AitM)

Gli attacchi AitM sono caratterizzati dal loro coinvolgimento attivo, che va oltre l'intercettazione passiva per manipolare attivamente dati e comunicazioni. Ciò li rende una potente minaccia nel panorama della sicurezza informatica.

Il concetto di attacchi AitM affonda le sue radici nello sviluppo storico degli attacchi MitM, originariamente concepiti come mezzo per intercettare le comunicazioni tra due parti. I primi attacchi MitM spesso comportavano l'intercettazione di canali di comunicazione non crittografati, come reti Wi-Fi non protette o traffico e-mail non crittografato. Questi attacchi miravano a compromettere la riservatezza dei dati senza necessariamente manomettere il contenuto trasmesso.

Oggi, gli attacchi AitM si sono evoluti fino a diventare altamente sofisticati e dannosi. Possono manifestarsi in varie forme, tra cui:

  • Raccolta di credenziali – Gli autori degli attacchi AitM possono intercettare le credenziali di accesso, come nomi utente e password, per ottenere l'accesso non autorizzato ad account e sistemi sensibili.
  • Manipolazione dei dati – Questi aggressori possono modificare il contenuto dei pacchetti di dati in transito, alterando potenzialmente le informazioni o iniettando codice dannoso nei flussi di dati legittimi.
  • Intercettazione – Sebbene gli attacchi AitM comportino spesso una manipolazione attiva, possono anche intercettare passivamente comunicazioni sensibili a scopo di spionaggio o furto di dati.
  • Phishing & Spoofing – Gli attacchi AitM possono comportare l'impersonificazione di entità legittime per indurre le vittime a divulgare informazioni sensibili o a effettuare transazioni fraudolente.
  • Malware Distribuzione – In alcuni casi, gli autori degli attacchi AitM possono sfruttare la loro posizione per distribuire aggiornamenti software o payload dannosi al fine di compromettere i sistemi bersaglio.

L'importanza degli attacchi AitM risiede nel loro potenziale di causare danni gravi. Possono compromettere l'integrità dei dati, violare la privacy, facilitare il furto di identità e consentire frodi finanziarie. In settori critici come la finanza, la sanità e la pubblica amministrazione, gli attacchi AitM possono causare violazioni devastanti con conseguenze di vasta portata.

Comprendere il funzionamento degli attacchi Adversary-in-the-Middle (AitM)

In un attacco AitM, l'autore malintenzionato si posiziona strategicamente tra il mittente e il destinatario dei dati o della comunicazione. Questa posizione consente all'aggressore di intercettare, manipolare o reindirizzare il traffico che passa tra le due parti. Ciò può essere ottenuto con vari mezzi, come compromettere i dispositivi di rete, sfruttare le vulnerabilità o infiltrarsi in una rete con altri mezzi.

Una volta in posizione strategica, l'aggressore intercetta il traffico di dati che passa tra la vittima e la destinazione prevista. L'intercettazione può avvenire a vari livelli di comunicazione, tra cui il livello di rete (ad esempio, instradando il traffico attraverso un server proxy dannoso), il livello di trasporto (ad esempio, intercettando le connessioni TCP/IP) o persino il livello di applicazione (ad esempio, manipolando le richieste e le risposte HTTP).

Manipolazione attiva

Ciò che distingue gli attacchi AitM è la manipolazione attiva dei dati intercettati. L'autore dell'attacco può modificare il contenuto dei pacchetti, inserire payload dannosi o alterare i dati in transito. Questa manipolazione può assumere diverse forme:

  • Modifica del contenuto – Gli aggressori possono modificare il contenuto di messaggi, file o pacchetti di dati per inserire contenuti dannosi, come malware o informazioni fraudolente.
  • Esfiltrazione dei dati – Gli autori degli attacchi AitM possono sottrarre informazioni sensibili dal traffico intercettato, come credenziali di accesso, dati finanziari o documenti riservati.
  • Iniezione di payload – Payload dannosi, come malware o ransomware, possono essere iniettati in flussi di dati legittimi, consentendo l'esecuzione di codice remoto o un'ulteriore compromissione dei sistemi.

Dirottamento di sessione

Gli autori degli attacchi AitM possono dirottare le sessioni di comunicazione stabilite tra la vittima e l'endpoint legittimo. Ciò comporta spesso l'assunzione del controllo dei token di sessione o dei cookie, impersonando efficacemente la vittima per ottenere l'accesso non autorizzato a sistemi o account protetti.

Phishing e spoofing

Gli autori degli attacchi AitM possono sfruttare la loro posizione per impersonare entità affidabili, come siti web, server di posta elettronica o portali di accesso. Ciò consente loro di ingannare le vittime e indurle a divulgare informazioni sensibili o a compiere attività fraudolente, come avviare transazioni non autorizzate.

Bypass della crittografia

Nei casi in cui la comunicazione è crittografata (ad esempio, utilizzando HTTPS per il traffico web), gli autori degli attacchi AitM spesso impiegano tecniche per aggirare la crittografia. Ciò può comportare la sostituzione dei certificati di sicurezza legittimi con i propri, l'esecuzione di un attacco man-in-the-browser o lo sfruttamento delle vulnerabilità della crittografia.

Esfiltrazione e persistenza

Una volta raggiunti i propri obiettivi, gli aggressori possono esfiltrare i dati rubati o mantenere la persistenza all'interno della rete compromessa. Questa persistenza consente loro di continuare a monitorare, manipolare o esfiltrare dati per un periodo di tempo prolungato.

Ottenere informazioni più approfondite sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Esplorazione dei casi d'uso degli attacchi Adversary-in-the-Middle (AitM)

Gli attacchi Adversary in the Middle (AitM) si sono manifestati in diversi casi d'uso reali in vari settori, sottolineando la loro importanza come potente minaccia alla sicurezza informatica. Questi attacchi sofisticati possono causare violazioni dei dati, compromissione della privacy, perdite finanziarie e danni significativi a individui e organizzazioni.

  • Frode finanziaria – Gli attacchi AitM sono stati utilizzati per colpire istituti bancari e finanziari online. Gli autori degli attacchi intercettano le transazioni bancarie, manipolano i dettagli del conto del destinatario e reindirizzano i fondi verso conti fraudolenti. Ciò può comportare perdite finanziarie sostanziali sia per i privati che per le aziende.
  • Manipolazione dell'e-commerce – Gli aggressori possono sfruttare le tecniche AitM per modificare le transazioni di e-commerce, alterando le informazioni di pagamento del destinatario per reindirizzare i fondi sui propri conti. Questo tipo di manipolazione può essere difficile da individuare, causando perdite monetarie per i rivenditori online e i loro clienti.
  • Furto di dati e spionaggio – Gli attacchi AitM sono spesso utilizzati per lo spionaggio industriale e il furto di dati. I criminali informatici intercettano le comunicazioni sensibili all'interno delle organizzazioni, estraendo documenti riservati, segreti commerciali o proprietà intellettuale. Questi dati rubati possono essere venduti sul dark web o utilizzati per ottenere un vantaggio competitivo.
  • Violazione della privacy – Gli attacchi AitM possono compromettere la privacy delle persone intercettando e monitorando le loro attività su Internet. Gli aggressori possono raccogliere informazioni personali sensibili, monitorare i comportamenti online e persino intercettare messaggi privati, compromettendo la riservatezza degli utenti.

Come le aziende si proteggono dagli attacchi Adversary-in-the-Middle (AitM)

Per difendersi dagli attacchi AitM, le organizzazioni e gli individui devono utilizzare tecniche di crittografia robuste, impiegare canali di comunicazione sicuri e implementare l'autenticazione a più fattori (MFA). La vigilanza nel rilevare attività di rete insolite, il monitoraggio degli accessi non autorizzati e il mantenimento di un aggiornamento costante sui vettori di minaccia in evoluzione sono componenti essenziali di una strategia di difesa efficace contro gli attacchi AitM nell'attuale panorama della sicurezza informatica.

La difesa dagli attacchi AitM richiede un approccio multiforme:

  • Crittografia e protocolli sicuri – L'implementazione di una crittografia forte per i dati in transito e l'adozione di protocolli di comunicazione sicuri come HTTPS e VPN possono proteggere dall'intercettazione e dall'intercettazione dei dati.
  • Autorità di certificazione – Le aziende utilizzano autorità di certificazione (CA) affidabili per emettere certificati digitali, riducendo il rischio che gli aggressori sostituiscano certificati dannosi.
  • Segmentazione della rete – La separazione dei segmenti di rete può limitare il movimento laterale di un aggressore, rendendo più difficile stabilire una posizione AitM all'interno di una rete.
  • Formazione sulla consapevolezza della sicurezza – Formare regolarmente  ai dipendenti per riconoscere tentativi di phishing, siti web dannosi e comunicazioni sospette può prevenire attacchi AitM avviati tramite ingegneria sociale.
  • Autenticazione a più fattori (MFA) – L'MFA aggiunge un ulteriore livello di sicurezza, richiedendo più forme di autenticazione e riducendo il rischio di accessi non autorizzati anche in caso di compromissione delle credenziali.
  • Sistemi di rilevamento delle intrusioni (IDS) – Gli IDS e i sistemi di prevenzione delle intrusioni (IPS) possono aiutare a identificare e bloccare gli attacchi AitM monitorando il traffico di rete e i modelli di comportamento.
  • Aggiornamenti regolari del software – Mantenere i sistemi e il software aggiornati con le ultime patch di sicurezza patches può mitigare le vulnerabilità che gli aggressori potrebbero sfruttare.
  • Monitoraggio della sicurezza – Implementare un monitoraggio continuo della sicurezza per rilevare e rispondere ad attività di rete insolite o comportamenti sospetti indicativi di attacchi AitM.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Conclusione

Poiché gli aggressori continuano a evolvere le loro tattiche, misure di sicurezza proattive e una strategia di difesa completa sono fondamentali per mitigare i rischi posti dagli attacchi AitM e salvaguardare i dati sensibili e le risorse digitali. Comprendere le loro implicazioni nel mondo reale, implementare misure di sicurezza robuste e rimanere vigili sono passi essenziali per gli individui e le organizzazioni per difendersi da questi attacchi sempre più sofisticati.

Domande frequenti sull'attacco Aitm

Un attacco AitM si verifica quando un aggressore si posiziona tra due parti in comunicazione per intercettare e manipolare i dati. Utilizza server proxy per posizionarsi tra gli utenti e i siti web legittimi, acquisendo credenziali e token di sessione in tempo reale. Questa tecnica consente agli aggressori di aggirare l'autenticazione a più fattori (MFA) rubando i cookie di sessione attivi.

AitM sta per Adversary-in-the-Middle (avversario nel mezzo). Si tratta del termine ufficiale utilizzato nel framework MITRE ATT&CK per gli attacchi in cui gli autori delle minacce intercettano le comunicazioni tra due parti. Il termine sottolinea l'intento attivo e malizioso dell'aggressore rispetto all'intercettazione passiva.

MITM si riferisce a tutti i vettori di attacco di tipo intercettazione, mentre AitM prende di mira specificamente operazioni complesse di phishing e social engineering. Gli attacchi AitM sono più sofisticati e comportano la manipolazione attiva dell'infrastruttura di rete. Gli attacchi MITM sono spesso opportunistici, mentre quelli AitM sono mirati e progettati per aggirare l'autenticazione sicura.

Gli aggressori utilizzano proxy web inversi per creare repliche convincenti di siti web legittimi. Impiegando la manipolazione DNS, lo spoofing ARP e il dirottamento di sessione, intercettano le comunicazioni. Le e-mail di phishing con link dannosi reindirizzano le vittime verso siti AitM che catturano i token di autenticazione. Utilizzano anche lo stripping SSL e la manipolazione dei certificati.

Microsoft ha segnalato attacchi AitM rivolti agli utenti di Office 365, con gli aggressori che utilizzavano kit di phishing Evilginx2. Il gruppo APT Blackwood ha utilizzato AitM per prendere di mira gli aggiornamenti software di applicazioni come Tencent QQ. Dal 2021, campagne su larga scala hanno preso di mira oltre 10.000 organizzazioni. I servizi finanziari e le organizzazioni sanitarie sono spesso oggetto di attacchi.

Monitorare i modelli di accesso sospetti e i comportamenti di autenticazione insoliti da luoghi inaspettati. Implementare sistemi avanzati di rilevamento delle minacce che analizzano il traffico di rete alla ricerca di indicatori proxy. Utilizzare politiche di accesso condizionale per rilevare scenari di viaggio impossibili e incongruenze dei dispositivi. Distribuire token canary con il marchio aziendale per rilevare i siti di phishing.

Utilizzare metodi di autenticazione resistenti al phishing come i token hardware WebAuthn. Implementare politiche di accesso condizionale che valutino l'affidabilità e la posizione dei dispositivi. Implementare la gestione dei cookie di sessione con durata ridotta e istruire gli utenti sul riconoscimento del phishing.

Utilizzare la segmentazione della rete e il monitoraggio continuo per individuare modelli di autenticazione anomali

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo