Security

Sicurezza infrastrutture critiche: preparazione 2026

3 min di lettura

Riepilogo

Microsoft afferma che il modello di minaccia per le infrastrutture critiche è passato da attacchi opportunistici ad accessi persistenti basati sull’identità, pensati per causare future interruzioni. Per i responsabili IT e della sicurezza, il messaggio è chiaro: ridurre l’esposizione, rafforzare l’identità e validare subito la preparazione operativa, mentre aumentano regolamentazioni e attività degli stati nazione.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Le organizzazioni che gestiscono infrastrutture critiche stanno affrontando un tipo diverso di rischio cyber nel 2026. Secondo Microsoft Threat Intelligence, gli attaccanti non si concentrano più solo sul furto di dati o su interruzioni di breve durata: stanno invece stabilendo accessi persistenti da utilizzare in seguito per ottenere il massimo impatto operativo.

Questo è rilevante per i responsabili della sicurezza e gli amministratori IT, perché identità, servizi cloud e accesso remoto collegano ora i sistemi IT tradizionali con la operational technology (OT). Una singola debolezza in questa catena può causare reali interruzioni dei servizi.

Cosa c’è di nuovo nell’ultima valutazione di Microsoft

Microsoft evidenzia cinque realtà principali che stanno modellando la resilienza delle infrastrutture critiche nel 2026:

  • L’identità è ora il principale vettore di attacco. Oltre il 97% degli attacchi basati sull’identità prende di mira l’autenticazione basata su password, spesso tramite password spray e tentativi di brute force.
  • Gli ambienti ibridi e cloud ampliano la portata degli attaccanti. Microsoft segnala che gli incidenti cloud e hybrid sono aumentati del 26% all’inizio del 2025, con asset esposti sul web e servizi remoti esposti che restano punti di ingresso comuni.
  • Il preposizionamento da parte degli stati nazione è in corso. Campagne come Volt Typhoon mostrano come i threat actor utilizzino credenziali valide e tecniche living-off-the-land per mantenere un accesso silenzioso e di lungo periodo.
  • Le misconfigurations continuano a favorire le compromissioni. Account privilegiati inattivi, VPN esposte, identità di contractor obsolete e tenant cloud configurati in modo errato continuano a consentire l’accesso iniziale.
  • L’interruzione operativa è l’obiettivo finale. Gli attaccanti prendono sempre più di mira i sistemi che influenzano disponibilità, processi fisici e servizi critici, non solo i dati sensibili.

Perché è importante per gli amministratori

Per gli amministratori delle infrastrutture critiche, l’articolo ribadisce che la preparazione alla cybersecurity è ora una questione di resilienza operativa. I sistemi di identità rappresentano il livello di controllo tra cloud, IT e OT, quindi autenticazione debole e percorsi di accesso eccessivamente esposti possono avere conseguenze sproporzionate.

Microsoft richiama inoltre l’attenzione su una crescente spinta normativa negli Stati Uniti, in Europa, Giappone e Canada. Questo significa che le organizzazioni devono andare oltre la semplice consapevolezza e passare a una preparazione verificata, con controlli misurabili, esercitazioni pratiche e piani di risposta testati.

Prossimi passi consigliati

I team di sicurezza dovrebbero dare priorità ad alcune azioni immediate:

  1. Ridurre il rischio legato all’identità abbandonando, dove possibile, gli accessi dipendenti da password e rivedendo gli account privilegiati.
  2. Verificare l’esposizione dell’accesso remoto incluse VPN, sistemi esposti sul web e account dei contractor.
  3. Rivedere le configurazioni cloud e hybrid per identificare deviazioni, permessi eccessivi e asset non gestiti.
  4. Rafforzare la visibilità tra IT e OT in modo da rilevare più facilmente attività sospette che utilizzano strumenti legittimi.
  5. Testare la resilienza operativa tramite esercitazioni tabletop, validazione della incident response e formazione specifica per settore.

Il messaggio centrale di Microsoft è semplice: le organizzazioni che gestiscono infrastrutture critiche dovrebbero presumere di essere già nel mirino e concentrarsi da subito su una preparazione continua, non rimandarla.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Sherrod DeGrippo
critical infrastructurecybersecurityidentity securityoperational resilienceMicrosoft Threat Intelligence

Articoli correlati

Security

Sicurezza AI per CISO: guida pratica Microsoft

Microsoft consiglia ai CISO di proteggere i sistemi AI usando gli stessi controlli fondamentali già applicati a software, identità e accesso ai dati. La guida evidenzia il principio del privilegio minimo, le difese contro il prompt injection e l’uso della stessa AI per individuare problemi di autorizzazione prima che lo facciano utenti o attaccanti.

Security

Campagna malware WhatsApp con backdoor VBS e MSI

Gli esperti di Microsoft Defender hanno scoperto una campagna di fine febbraio 2026 che usa messaggi WhatsApp per distribuire file VBS dannosi, quindi installa pacchetti MSI non firmati per persistenza e accesso remoto. L’attacco combina social engineering, utility Windows rinominate e servizi cloud affidabili per eludere il rilevamento, rendendo fondamentali i controlli sugli endpoint e la consapevolezza degli utenti.

Security

Copilot Studio: rischi OWASP per Agentic AI

Microsoft spiega come Copilot Studio e l’imminente disponibilità generale di Agent 365 possano aiutare le organizzazioni ad affrontare la OWASP Top 10 per le applicazioni agentic. Questa guida è importante perché i sistemi di agentic AI possono usare identità reali, dati e strumenti, creando rischi di sicurezza che vanno ben oltre output imprecisi.

Security

Microsoft Defender HVA Protection Blocks Critical Attacks

Microsoft detailed how Microsoft Defender uses high-value asset awareness to detect and stop attacks targeting domain controllers, web servers, and identity infrastructure. By combining Security Exposure Management context with differentiated detections and automated disruption, Defender can raise protection levels on Tier-0 assets and reduce the blast radius of sophisticated intrusions.

Security

Sicurezza delle identità in Microsoft Entra: novità RSAC 2026

Microsoft sta posizionando la sicurezza delle identità come un piano di controllo unificato che combina infrastruttura delle identità, decisioni di accesso e protezione dalle minacce in tempo reale. Al RSAC 2026, l’azienda ha annunciato nuove funzionalità di Microsoft Entra e Defender, tra cui una dashboard di sicurezza delle identità, un punteggio di rischio unificato e la mitigazione adattiva del rischio per aiutare le organizzazioni a ridurre la frammentazione e rispondere più rapidamente agli attacchi basati sull’identità.

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.