Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è la ricognizione informatica?
Cybersecurity 101/Informazioni sulle minacce/Riconoscimento

Che cos'è la ricognizione informatica?

La ricognizione informatica raccoglie informazioni sui bersagli. Scopri come gli aggressori utilizzano questa fase per pianificare i loro attacchi e come contrastarli.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Aggiornato: July 29, 2025

La ricognizione informatica consiste nel raccogliere informazioni su un obiettivo prima di sferrare un attacco. Questa guida esplora le tecniche utilizzate nella ricognizione informatica e le sue implicazioni per la sicurezza.

Scopri l'importanza delle misure di difesa proattive per mitigare gli sforzi di ricognizione. Comprendere la ricognizione informatica è essenziale per le organizzazioni che desiderano migliorare le proprie difese di sicurezza informatica.

Effettuare una ricognizione consente agli autori delle minacce di identificare i punti deboli nelle difese di un'organizzazione, adattare le proprie strategie di attacco e aumentare le probabilità di successo di una violazione. Con l'aumentare della complessità e della frequenza delle minacce informatiche, la ricognizione è diventata una componente fondamentale per comprendere come operano gli autori delle minacce nell'attuale panorama delle minacce.

Breve panoramica e storia della ricognizione informatica

La ricognizione informatica, spesso la fase iniziale di un attacco informatico, è il processo sistematico di raccolta di informazioni su potenziali obiettivi, vulnerabilità e risorse nel dominio digitale. La raccolta completa di dati consente agli autori delle minacce di costruire una comprensione precisa o un profilo dei loro obiettivi, che potranno poi sfruttare.

Il concetto di ricognizione informatica risale agli albori delle reti informatiche, dove inizialmente veniva impiegato per scopi legittimi quali l'analisi dei sistemi e la gestione delle reti. Con l'espansione delle reti e il progresso delle misure di sicurezza, i criminali informatici e gli attori statali hanno riconosciuto il potenziale di questa pratica per le loro attività dannose. Nel corso del tempo, la ricognizione si è evoluta in una pratica sofisticata, spesso svolta con l'ausilio di strumenti automatizzati e tattiche di ingegneria sociale.

Oggi, la ricognizione informatica è diventata parte integrante della guerra informatica, dello spionaggio e della criminalità informatica. Gli attori malintenzionati, siano essi entità sponsorizzate dallo Stato o attori indipendenti, utilizzano varie tecniche per raccogliere informazioni sui potenziali obiettivi. Le preziose informazioni includono nomi di dominio, indirizzi IP, indirizzi e-mail, nomi dei dipendenti, versioni software, configurazioni di sicurezza e persino informazioni personali trovate sulle piattaforme dei social media. Tutti questi dati vengono utilizzati per identificare le vulnerabilità, pianificare strategie di attacco e mettere a punto schemi di phishing o di ingegneria sociale convincenti.

Effettuando una ricognizione approfondita, gli autori delle minacce possono lanciare attacchi mirati e altamente efficaci, riducendo le possibilità di essere scoperti e aumentando le loro possibilità di raggiungere i propri obiettivi.

Capire come funziona la ricognizione informatica

Una delle prime fasi della cyber kill chain, la ricognizione informatica svolge un ruolo fondamentale nell'aiutare gli attori malintenzionati a pianificare ed eseguire attacchi informatici precisi ed efficaci. In genere comprende i seguenti elementi:

Ricognizione passiva

La ricognizione passiva consiste nella raccolta di dati su un obiettivo senza interagire attivamente con i suoi sistemi. Questa fase inizia spesso con la raccolta di informazioni open source (OSINT) utilizzando informazioni disponibili pubblicamente su siti web, social media, annunci di lavoro e altre fonti online. Strumenti come Shodan e Censys scansionano Internet alla ricerca di porte aperte, servizi e banner, fornendo informazioni preziose sull'impronta digitale di un obiettivo. Gli strumenti di ricognizione DNS, come Dig e NSLookup, vengono utilizzati per raccogliere informazioni su nomi di dominio, indirizzi IP e record DNS. La ricognizione passiva può rivelare l'architettura di rete di un'organizzazione, le tecnologie in uso e le potenziali vulnerabilità.

Ricognizione attiva

La ricognizione attiva comporta l'analisi diretta dei sistemi e delle reti del bersaglio. Le tecniche più comuni includono:

  • Scansione delle porte – Strumenti come Nmap, Masscan e ZMap vengono utilizzati per eseguire la scansione delle reti target, identificare le porte aperte e scoprire i servizi in esecuzione su tali porte. Queste informazioni aiutano gli aggressori a comprendere la superficie di attacco e i potenziali punti di ingresso.
  • Scansione delle vulnerabilità – Gli scanner di vulnerabilità, come Nessus e OpenVAS, vengono utilizzati per identificare i punti deboli nel software e nelle configurazioni del bersaglio. Questo passaggio è fondamentale per individuare le vulnerabilità che possono essere sfruttate.
  • Enumerazione – Gli aggressori utilizzano spesso strumenti come SMBenum, SNMPwalk o strumenti di enumerazione LDAP per estrarre dati preziosi, come account utente, condivisioni di rete e configurazioni di sistema, dai sistemi di destinazione.

Ingegneria sociale

Sebbene non sia puramente tecnico, l'ingegneria sociale è un aspetto essenziale della ricognizione informatica. Consiste nel manipolare le persone affinché rivelino informazioni sensibili. Gli aggressori possono utilizzare tecniche come il phishing, il pretexting o il baiting per indurre i dipendenti a divulgare credenziali, dati riservati o accessi alla rete. L'ingegneria sociale spesso integra la ricognizione tecnica, poiché le informazioni raccolte con queste tattiche possono essere integrate nel piano di attacco.

Aggregazione dei dati

La ricognizione informatica culmina nell'aggregazione dei dati raccolti da varie fonti. Questi includono indirizzi IP, nomi di dominio, indirizzi e-mail, informazioni sui dipendenti, versioni software, configurazioni di rete e altro ancora. Questi dati consolidati diventano la base per le fasi successive dell'attacco informatico, aiutando gli aggressori a personalizzare le loro strategie e ad aumentare le probabilità di successo della violazione.

Utilizzo dei dati di ricognizione

Una volta raccolti i dati di ricognizione, questi guidano la selezione dei vettori e delle strategie di attacco. Ad esempio, se viene identificata una versione vulnerabile del software, gli aggressori possono cercare exploit noti o svilupparne di personalizzati per colpire quella specifica vulnerabilità. Se viene identificato un potenziale dipendente come bersaglio, potrebbero essere create e-mail di phishing personalizzate per indurlo a cliccare su link dannosi o a scaricare allegati infetti.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Esplorazione dei casi d'uso della ricognizione informatica

Gli Stati nazionali si dedicano alla ricognizione informatica per raccogliere informazioni su altri paesi, sia per scopi militari che economici. Ciò può comportare l'infiltrazione in agenzie governative, infrastrutture critiche e imprese private per ottenere l'accesso a informazioni riservate. L'importanza di tale ricognizione risiede nel potenziale impatto sulla sicurezza nazionale e sulle relazioni diplomatiche. In risposta, i governi investono in intelligence avanzata sulle minacce, misure di sicurezza informatica e accordi internazionali per scoraggiare tali attività.

Le aziende concorrenti spesso si dedicano alla ricognizione informatica per ottenere un vantaggio competitivo. Raccogliendo dati sulla ricerca e sviluppo, sui dati finanziari o sugli elenchi dei clienti di un'azienda rivale, le società possono elaborare strategie e adattarsi alle dinamiche di mercato. L'importanza in questo caso è la potenziale perdita di proprietà intellettuale e posizione di mercato. Le aziende implementano la prevenzione della perdita di dati, solide misure di sicurezza informatica e misure legali per salvaguardare le loro informazioni proprietarie. I criminali informatici utilizzano la ricognizione per identificare le vulnerabilità e lanciare attacchi mirati alle organizzazioni, spesso alla ricerca di guadagni finanziari. Le campagne di phishing e la distribuzione di malware sono tattiche comuni dopo una ricognizione riuscita. L'importanza risiede nel potenziale rischio di violazioni dei dati, perdite finanziarie e danni alla reputazione di un'azienda. Per difendersi da tali minacce, le organizzazioni impiegano sistemi avanzati di rilevamento delle minacce, formazione dei dipendenti e solide soluzioni di sicurezza degli endpoint.

Nel campo dei conflitti tra Stati nazionali, la ricognizione informatica è un precursore della guerra informatica. Comprende la mappatura di potenziali obiettivi, l'identificazione delle vulnerabilità e la pianificazione di sofisticati attacchi informatici a infrastrutture critiche, sistemi militari e organizzazioni governative. L'importanza risiede nel potenziale di gravi interruzioni e distruzioni. I governi investono nella sicurezza informatica militare, nelle capacità di risposta agli incidenti e negli sforzi diplomatici per affrontare queste minacce.

Le organizzazioni terroristiche utilizzano la ricognizione informatica per raccogliere informazioni su potenziali obiettivi di attacchi fisici o digitali. Questa ricognizione può includere l'identificazione dei punti deboli delle infrastrutture critiche, dei sistemi di trasporto o dei servizi pubblici. L'importanza in questo caso è il potenziale di gravi violazioni della sicurezza e minacce alla sicurezza pubblica. Le agenzie antiterrorismo si concentrano sul monitoraggio delle comunicazioni digitali, sulla condivisione di informazioni e sulle misure di sicurezza informatica per contrastare tali minacce.

Come le aziende possono proteggersi dalla ricognizione informatica

Comprendere il panorama in evoluzione della ricognizione informatica è fondamentale per salvaguardare le risorse digitali e garantire la resilienza dei sistemi interconnessi odierni. Per contrastare i rischi posti dalla ricognizione informatica, le organizzazioni devono adottare misure proattive di sicurezza informatica. Queste misure di difesa includono:

  • Monitoraggio della rete – Utilizzo di sistemi di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS) per rilevare e rispondere ad attività di rete insolite.
  • Formazione sulla consapevolezza della sicurezza – Educare i dipendenti sulle tattiche di ingegneria sociale e su come riconoscere e segnalare i tentativi di phishing.
  • Firewall e controlli di accesso – Configurare correttamente i firewall e i controlli di accesso per ridurre al minimo l'esposizione e limitare l'accesso ai sistemi critici.
  • Gestione delle patch – Applicazione regolare di patch di sicurezza e aggiornamenti per eliminare le vulnerabilità note.
  • Monitoraggio del dark web – Monitoraggio del dark web per rilevare la presenza di dati e credenziali rubati e individuare potenziali violazioni.
  • Threat Intelligence avanzata – Le aziende investono in servizi di intelligence sulle minacce per monitorare il dark web e altre fonti alla ricerca di informazioni su potenziali minacce e vulnerabilità.
  • Crittografia dei dati e misure di privacy – La crittografia viene utilizzata per proteggere i dati sia in transito che inattivi, riducendo la probabilità di fuga di informazioni sensibili.
  • Difesa collaborativa – La condivisione delle informazioni sulle minacce e la collaborazione con i colleghi del settore e le forze dell'ordine migliorano le capacità di difesa collettiva.

Conclusione

Comprendere le sfumature tecniche della ricognizione informatica è fondamentale per le organizzazioni che desiderano proteggere le proprie risorse digitali. Riconoscendo gli strumenti e le tecniche utilizzati dagli attori malintenzionati durante questa fase iniziale, le aziende possono sviluppare strategie di difesa più solide e mitigare i rischi posti dalle minacce informatiche.

Domande frequenti sulla ricognizione informatica

La ricognizione nella sicurezza informatica è il processo attraverso il quale gli aggressori raccolgono informazioni sui loro obiettivi prima di sferrare un attacco. Raccolgono dati sulla vostra infrastruttura di rete, sui sistemi, sui dipendenti e sulle misure di sicurezza per identificare le vulnerabilità e pianificare la loro strategia di attacco.

Questa fase di raccolta di informazioni aiuta i criminali informatici a comprendere le vostre difese e a trovare i punti di accesso migliori per sferrare attacchi efficaci.

Potreste incontrare aggressori che scansionano le porte della vostra rete per identificare i servizi aperti, cercano informazioni sui dipendenti sui social media o inviano e-mail di phishing per testare la vostra consapevolezza in materia di sicurezza. Potrebbero anche utilizzare strumenti per mappare la topologia della tua rete, identificare le versioni del software o raccogliere indirizzi e-mail dal sito web della tua azienda. Queste attività li aiutano a pianificare attacchi mirati contro la tua infrastruttura specifica.

I tre tipi principali sono la ricognizione passiva (raccolta di informazioni senza interagire direttamente con i sistemi), la ricognizione attiva (analisi diretta delle reti e dei sistemi) e la ricognizione sociale (raccolta di informazioni sui dipendenti e sull'organizzazione attraverso i social media e fonti pubbliche).

Ciascun tipo fornisce informazioni diverse che gli aggressori utilizzano per costruire un quadro completo della vostra posizione di sicurezza.

La ricognizione è importante perché è la prima fase della maggior parte degli attacchi informatici e comprenderla aiuta a individuare i primi segnali di allarme. Monitorando le attività di ricognizione, è possibile identificare potenziali minacce prima che sferrino attacchi effettivi. Aiuta anche a capire quali informazioni sulla tua organizzazione sono disponibili pubblicamente, consentendoti di ridurre la superficie di attacco e migliorare le misure di sicurezza.

La ricognizione e lo spionaggio sono simili ma non esattamente uguali. La ricognizione della sicurezza informatica si concentra specificamente sulla raccolta di informazioni tecniche su sistemi, reti e misure di sicurezza a fini di attacco. Lo spionaggio tradizionale è più ampio e può includere la raccolta di qualsiasi tipo di informazione.

Tuttavia, entrambi comportano la raccolta di informazioni segrete e i criminali informatici spesso utilizzano tecniche di spionaggio durante le loro attività di ricognizione.

Gli hacker utilizzano la ricognizione per mappare l'infrastruttura di rete, identificare i sistemi vulnerabili e raccogliere informazioni sui dipendenti per attacchi di ingegneria sociale. Analizzano i tuoi strumenti di sicurezza, i livelli di patch e la topologia di rete per trovare i punti di accesso più deboli.

Queste informazioni li aiutano a scegliere i metodi di attacco giusti, a creare e-mail di phishing convincenti e a programmare i loro attacchi quando sei più vulnerabile.

È possibile identificare gli attacchi informatici attraverso diversi segnali di allarme: attività di rete insolita, prestazioni del sistema lente, modifiche impreviste ai file, nuovi account utente, tentativi di accesso non riusciti e avvisi antivirus. Altri indicatori includono attività e-mail sospette, installazioni di software non autorizzate, connessioni di rete strane e segnalazioni di comunicazioni sospette da parte dei dipendenti.

Controlla regolarmente i tuoi registri e indaga immediatamente su eventuali anomalie per confermare potenziali attacchi.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo