Zero-day e tecniche invisibili mettono alla prova la sicurezza delle reti: occorrono approcci predittivi, AI e visibilità end-to-end per passare dalla difesa reattiva alla resilienza cyber
Autore: Filippo Gaggioli
Nell’ottobre dello scorso anno, l’azienda di sicurezza Darktrace ha confermato ciò che molti nel settore delle telecomunicazioni ritenevano inevitabile. Un fornitore europeo di servizi di comunicazione (CSP) è infine caduto vittima di un exploit zero-day perpetrato dal noto gruppo di advanced persistent threat (APT), Salt Typhoon.
È stato osservato che il gruppo sfruttava una vulnerabilità del software utilizzato dal CSP, attraverso un attacco noto come Living off the Land (LOTL). In questo tipo di attacco, gli hacker ottengono accesso a un sistema utilizzando applicazioni già presenti sul target, senza dover installare un malware aggiuntivo.
Questo evento ha rappresentato un campanello d’allarme per il settore in Europa. Fino a quel momento, si riteneva che Salt Typhoon si concentrasse principalmente su fornitori di servizi pubblici, operatori di telecomunicazioni e organizzazioni del settore pubblico negli Stati Uniti. Questo attacco ha confermato che anche i CSP europei sono ora nel mirino. Per i CSP europei, ciò significa che non si tratta più di capire se la propria rete verrà attaccata, ma quando.
La grande domanda è: il settore è pronto? Il Threat Intelligence report 2025 di Nokia ha rilevato che solo il 13% dei professionisti della sicurezza delle reti di telecomunicazioni intervistati ritiene di essere pienamente preparato a rispondere a un attacco zero-day, un tipo di exploit che colpisce una vulnerabilità sconosciuta al momento della sua attivazione.
Storicamente, gli attacchi zero-day tendevano a colpire aziende che utilizzavano sistemi IT generici. Negli ultimi tempi, anche settori con stack tecnologici più specializzati stanno registrando un aumento degli attacchi. È il caso delle telecomunicazioni, con gruppi come Salt Typhoon che personalizzano gli attacchi per protocolli e sistemi specifici del settore telco. Una volta ottenuto un punto d’accesso alla rete, gli aggressori si spostano attraverso più sistemi per sottrarre dati utilizzando tecniche avanzate post-compromissione.
Gli episodi che coinvolgono i CSP sono in aumento. Il 64% dei professionisti della sicurezza delle reti di telecomunicazioni ha sperimentato almeno un attacco LOTL lo scorso anno, e circa un terzo ne ha affrontati quattro o più. Poiché gli attacchi LOTL sfruttano processi legittimi e strumenti autorizzati, risultano intrinsecamente difficili da individuare, con intrusioni quasi invisibili sullo sfondo della normale attività di rete. Questo rende estremamente complesso rilevarli con i tradizionali strumenti di CyberSecurity e monitoraggio.
Se gli strumenti tradizionali faticano a identificare attacchi LOTL e zero-day, la domanda diventa: cosa deve cambiare?
Un primo cambiamento riguarda il luogo e il modo in cui vengono rilevate le minacce. Negli ambienti Telecom, gli attacchi si sviluppano alla velocità della rete e spesso colpiscono tecnologie operative (OT) come elementi del core network, piattaforme di gestione e sistemi di controllo. Il rilevamento deve quindi avvenire in tempo reale e su larga scala, senza introdurre latenza o compromettere i servizi.
Invece di basarsi su firme di attacco note o su regole rigide, gli approcci più avanzati si concentrano sull’analisi comportamentale. Questi metodi individuano deviazioni rispetto alla normale attività di rete attraverso protocolli specifici delle telecomunicazioni, anche quando non esiste un exploit noto, risultando fondamentali per la protezione contro minacce zero-day. Un esempio è il “motore di clustering non supervisionato”, che può rilevare autonomamente modelli di attacco tramite un’ispezione continua a livello di pacchetto. A differenza degli approcci basati esclusivamente su firme e indicatori predefiniti, questa analisi dinamica consente di identificare tecniche di attacco nuove o personalizzate.
Le reti di telecomunicazioni sono ambienti complessi, multi-vendor, che includono sistemi legacy, virtualizzati e cloud-native. Questa complessità crea zone d’ombra che gli aggressori sfruttano, soprattutto quando iniziano a muoversi lateralmente nella rete.
Una visibilità coerente in tutti gli ambienti OT, inclusi traffico di rete, interfacce di gestione e sistemi di controllo critici, è essenziale. Senza di essa, i team di sicurezza devono lavorare con informazioni frammentarie provenienti da sistemi disomogenei, rallentando la risposta e aumentando il rischio.
La “fatica da allerta” è un’altra sfida crescente. Con l’aumento del volume delle minacce, la sovrabbondanza di alert provenienti da strumenti isolati può sopraffare i team e nascondere incidenti reali.
Gli approcci di sicurezza che privilegiano la correlazione e l’analisi unificata affrontano questo problema collegando eventi correlati in una singola visione contestualizzata dell’incidente. Questo è particolarmente utile per rilevare attività LOTL, che si nascondono all’interno di processi operativi legittimi.
Eliminando falsi positivi, duplicazioni e altro “noise”, i team di sicurezza possono avere maggiore fiducia nel fatto che gli alert richiedano un’analisi approfondita.
L’intelligenza artificiale viene sempre più utilizzata non solo per il rilevamento, ma anche per il threat hunting continuo. Analizzando i comportamenti nel tempo e adattandosi sia ai cambiamenti della rete sia all’evoluzione delle tecniche di attacco, l’AI può individuare pattern anomali che spesso sfuggono ai processi manuali.
Questo consente operazioni di sicurezza più autonome, riducendo il lavoro manuale di triage e permettendo ai team di analisti di concentrarsi su decisioni strategiche legate al rischio e alla resilienza.
Nel loro insieme, questi sviluppi indicano un passaggio verso una resilienza informatica predittiva: anticipare gli attacchi, limitarne l’impatto e mantenere la continuità del servizio.
Per i CSP, sempre più coinvolti nel supporto alle infrastrutture nazionali critiche, questo cambiamento sta diventando essenziale. Gli exploit zero-day e le tecniche LOTL sono ormai realtà persistenti, non casi isolati, e la loro diffusione è destinata ad aumentare nei prossimi anni.
In questo contesto, sarà la resilienza e non la reazione a definire la prossima generazione di reti di telecomunicazioni sicure e affidabili.
Filippo Gaggioli (nella foto di apertura) è Product Manager Security di Nokia