15/07/2026 di redazione

Sophos lancia un allarme sulle identità (e rilancia la sua piattaforma)

In base all’ultimo report, 79% degli attacchi ransomware parte da account validi compromessi. Con Sophos Fusion un’unica architettura aperta a fonti esterne.

Le identità sono diventate il fulcro della cybersicurezza e, specularmente, del rischio cyber: un nuovo allarme lanciato da Sophos. L’allarme è nuovo perché filtra dal report “State of Ransomware” appena pubblicato dall’azienda di sicurezza informatica, ma è una verità confermata, negli ultimi anni, dalle statistiche di diversi altri vendor. Lo sfruttamento delle vulnerabilità rimane una tecnica di attacco primaria ma non è più al primo posto come lo è stata fino a ieri, nei report di Sophos, dal 2022 in poi.

Così risulta dalle interviste condotte da Vanson Bourne su 2.158 responsabili IT e della cybersicurezza di medie e grandi aziende di 17 Paesi (Italia inclusa), tutte realtà colpite da ransomware almeno una volta nei dodici mesi precedenti. Le email malevole sono state la tecnica che ha avviato la catena d’attacco nel 26% dei casi, seguite dalle campagne di phishing (24%) e, solo in terza battuta, dallo sfruttamento di vulnerabilità.

Nel 79% dei casi, inoltre, l’attacco ransomware è partito da account validi compromessi, dunque da uno “scippo” di identità. Invertendo la prospettiva, è anche interessante notare come il ransomware rappresenti un tipo di attacco alle identità particolarmente grave: per il 67% degli intervistati, è stato il peggiore incidente di compromissione delle identità subìto dalla propria azienda nell’ultimo anno.

L’intelligenza artificiale sta alimentando il fenomeno, come sottolineato dal Ciso di Sophos, Ross McKerchar: "Stiamo osservando come i gruppi ransomware stiano iniziando a sperimentare l'intelligenza artificiale, una tecnologia che potrebbe aumentare drasticamente la loro capacità di sottrarre dati di valore, prenderli in ostaggio e operare su una scala mai vista prima. Questa evoluzione rende indispensabile un monitoraggio continuo dei principali vettori di compromissione, che i nostri dati identificano soprattutto negli account validi rubati o compromessi”. 

Le vulnerabilità non escono di scena

Sophos invita, comunque, a non sottovalutare il problema degli exploit, sia perché le vulnerabilità rimangono endemiche sia perché le richieste di riscatto tendono a essere più salate della media dei ransomware, considerati nel loro insieme. E sia perché, soprattutto, anche in questo caso l’intelligenza artificiale ha amplificato i rischi. Dunque, se il backup è essenziale per il ripristino, un’attività di difesa preventiva è altrettanto cruciale per arginare il problema degli exploit.

“Il continuo miglioramento dei modelli AI open-weight non adeguatamente protetti offrirà agli attaccanti un vantaggio crescente nell'individuare e sfruttare vulnerabilità software”, ha sottolineato McKerchar. “ Affidarsi esclusivamente all'applicazione delle patch non è più sufficiente: ridurre la superficie esposta a Internet e mantenere una solida protezione degli endpoint è oggi fondamentale”.

Elaborazione grafica su dati di Sophos, "State of Ransomware Report 2026", luglio 2026

Elaborazione grafica su dati di Sophos, "State of Ransomware Report 2026", luglio 2026

Progressi e regressi sul ransomware

Da un lato, nel confronto con anni recenti la capacità di difesa delle aziende sembra migliorata, ma d’altro canto moltissime continuano a cedere alle richieste di pagamento. Grazie agli investimenti fatti in backup e ripristino, il 55% delle aziende del campione ha potuto riprendere completamente le attività entro una settimana dall'attacco, ma solo il 16% è tornata operativa in meno di 24 ore. 

Le grandi e grandissimi aziende si dimostrano più capaci, rispetto alle altre, di evitare la temuta cifratura dei dati. Tra le realtà da 100 a 250 dipendenti, solo il 34% ha saputo bloccare l'attacco ransomware prima della cifratura dei dati o dell'estorsione; tra le imprese da oltre tremila dipendenti, la percentuale sale al 46%. L’autenticazione a più fattori, benché certamente necessaria, non è da sola una garanzia: nel 97% degli attacchi ransomware originati da credenziali compromesse era presente almeno una forma di autenticazione multifattore.

Non è l’unica cattiva notizia. Di fronte alla cifratura dei dati, il 48% delle vittime ha accettato di pagare il riscatto, pur tentando e in qualche caso riuscendo a contrattare sulla cifra: il 51% ha ottenuto uno “sconto” sulla richiesta iniziale. Intanto, però, i costi medi di ripristino continuano a crescere: nel campione d’indagine la media è di 1,7 milioni di dollari per incidente, escludendo il pagamento del riscatto. Il 56% degli attacchi ransomware ha portato alla cifratura dei dati, e la quota include un 16% di casi in cui i dati sono stati sia crittografati sia sottratti.

sophos-fusion.jpg

La “sicurezza sincronizzata” di Sophos Fusion

Insieme ai risultati del report è stata presentata una nuova offerta, Sophos Fusion, che rappresenta l’evoluzione e l’ampliamento della piattaforma Sophos Central per effetto dell'integrazione di alcune tecnologie di Secureworks, società acquisita nel 2025. Sophos l’ha definita come “il primo e più completo sistema di difesa per la cybersecurity AI-native del settore”, e come “una nuova categoria nel mercato della sicurezza informatica”.

La piattaforma unisce funzionalità di difesa preventiva e reattiva, come protezione degli endpoint, sicurezza di rete, identità, email e cloud, rilevamento, risposta e investigazione sugli incidenti. Per dirla più tecnicamente, Sophos Fusion include funzionalità antivirus, Endpoint Detection and Response (Edr), Extended Detection and Response (Xdr), Siem di nuova generazione, Identity Threat Detection and Response (Itdr), Managed Detection and Response (Mdr), sicurezza di rete, protezione della posta elettronica del cloud e servizi di consulenza.

Fin qui Sophos Fusion è, sì, un prodotto esteso e completo, ma non unico sul mercato. L’elemento distintivo è la sua architettura aperta, che permette di raccogliere e sincronizzare dati e segnali provenienti dalle diverse soluzioni in utilizzo, sia di Sophos sia di vendor terzi in utilizzo. Sono oltre 500 le integrazioni con soluzioni di terze parti previste, tra protezione endpoint, firewall e sistemi di gestione delle identità.

Per rendere tutto ciò possibile c’è, alla base di Sophos Fusion, un data lake contestuale su cui confluiscono tutti i segnali provenienti dalle più disparate fonti. E sono davvero, spesso, disparate: in media, ci ricorda Sophos, le aziende utilizzano 45 soluzioni di cybersicurezza diverse. Secondo aspetto distintivo, con Sophos Fusion si ottiene una “sicurezza sincronizzata”: il rilevamento di una minaccia su un qualsiasi punto di controllo (nativo o di terze parti) attiva automaticamente una risposta coordinata su tutti gli altri, nello stesso momento.

Il terzo elemento peculiare è quella che Sophos chiama “autonomia agentica con supervisione umana”, cioè un’automazione basata su intelligenza artificiale che opera entro i limiti definiti (e continuamente aggiornati) dagli analisti. Infine, il quarto elemento distintivo è l’intelligenza “cumulativa”: ogni minaccia rilevata nella base installata contribuisce a rafforzare la protezione di tutti i clienti. Questa condivisione di intelligence non è cosa da poco, considerando che Sophos Central conta 625mila aziende clienti.

“L'intelligenza artificiale aumenta velocità, scala e complessità degli attacchi, perciò le organizzazioni hanno bisogno di una difesa moderna, connessa, intelligente e adattiva", da dichiarato Joe Levy, Ceo di Sophos. "Sophos Fusion è stato progettato come un sistema di difesa ottimizzato per flussi di lavoro Human-AI. Portiamo sul mercato la soluzione più completa per una nuova categoria, un'evoluzione resa necessaria dall'era dell'intelligenza artificiale”.

Joe Levy, Ceo di Sophos

Joe Levy, Ceo di Sophos

Potenziamenti e novità

Per Sophos Fusion sono già state annunciate alcune espansioni che arriveranno sul mercato tra l'estate e l’autunno. A metà agosto sarà introdotto il modulo Next-Gen Siem, per conservazione a lungo termine dei dati, reportistica a fini di compliance e analisi basate sui dati di telemetria raccolti nel data lake. Il modello di licensing sarà basato sul numero di utenti e server, anziché sul volume dei dati, per permettere di raccogliere dati di telemetria senza limiti o timori di costi elevati.

Sempre a metà agosto debutteranno anche l’aggiornamento del servizio Sophos Mdr, (potenziato con attività continue di threat hunting, basate sia sull’AI sia sul lavoro dei ricercatori del team Sophos X-Ops) e una versione completamente nuova di Sophos Xdr, basata sulle funzionalità di Secureworks Taegis (con migliaia di nuovi rilevatori, nuovi strumenti per analisti e funzionalità di orchestrazione integrate con playbook di automazione).

Arriverà a ottobre in disponibilità generale (ma già ad agosto per chi richieda l’accesso anticipato) una soluzione per la sicurezza dell’intelligenza artificiale usata in azienda. Sophos AI Defense, questo il nome, protegge i modelli in uso e i dati sensibili che vi transitano, oltre a dare visibilità sulla shadow AI e sulle violazioni di policy. Debutto previsto a ottobre anche per Sophos Ciso Advantage, prodotto già annunciato e conseguenza della recente acquisizione di Arco Cyber: la soluzione impiega l’AI, la threat intelligence e il supporto dei Managed Service Provider della rete di Sophos per affiancare i chief information security officer delle aziende o per sopperire alla loro mancanza, nei casi in cui questa figura non sia prevista. 

scopri altri contenuti su

ARTICOLI CORRELATI