Zero Trust ransomware, come rendere la tua azienda un bersaglio difficile per i criminali informatici

Intervento di Cristiano Guerrieri, Solutions Engineer di ThreatLocker, 14ª Cyber Crime Conference, Roma, 6 maggio 2026

Il punto di partenza scelto da Cristiano Guerrieri per il suo intervento alla 14ª Cyber Crime Conference è un’immagine domestica: l’allarme antifurto.

«Io metto l’allarme a casa, la casa a fianco non lo ha: è più semplice che l’attaccante vada a cercare di entrare nell’altra casa piuttosto che nella mia».

Da qui il filo conduttore di tutto il suo intervento, dedicato a un cambio di paradigma nella postura di sicurezza aziendale: smettere di rincorrere ciò che è “cattivo” e iniziare a permettere soltanto ciò che è esplicitamente necessario.

Il cybercrime come industria matura

Guerrieri ha esordito ricordando che lo stereotipo del nerd solitario nel sottoscala è ormai una rappresentazione del passato. «Adesso sono aziende che fanno questo di mestiere». Il Ransomware-as-a-Service è la dimostrazione più nitida di questa industrializzazione: chi vuole condurre un’estorsione si limita a comprare il ransomware da chi lo sviluppa, esattamente come si acquista un software gestionale.

Da questa premessa discendono tre coordinate che guidano la selezione delle vittime: la scalabilità (quanti dati posso esfiltrare, in quanto tempo), la velocità di accesso all’ambiente, e soprattutto il return on investment. Gli attaccanti non scelgono a caso: scelgono in base ai dati che si possono ottenere e alla facilità con cui si può colpire. Il costo annuale globale del cybercrime continua a salire in modo netto, anche per effetto della situazione geopolitica, e il guadagno non deriva soltanto dal furto dei dati: anche il downtime infrastrutturale, ha ricordato Guerrieri, è ormai parte del repertorio (la guerra, oggi, «è anche questo, non soltanto bombe»).

Perché proprio io? I criteri di selezione del bersaglio

Gli ambienti senza controlli adeguati, ridotti al solo antivirus gratuito, sono per gli attaccanti i più appetibili. I criteri di selezione individuati da Guerrieri sono quattro:

• Esposizione su internet. Servizi pubblicati per errore, firewall mal configurati, porte aperte. Su strumenti come Shodan è possibile filtrare per area geografica e ottenere mappe puntuali di ciò che è raggiungibile da fuori. «Se io espongo su internet dei miei servizi, magari anche a mia insaputa, per l’attaccante sono un bersaglio semplice».
• Disponibilità di credenziali. Account rubati e rivenduti sul dark web: «non li rubano per metterli in tasca, li rivendono». Se per la mia azienda esistono credenziali già in vendita, il lavoro dell’attaccante è enormemente facilitato.
• Configurazioni di default. «Compro il migliore dei firewall, lo accendo, password “administrator”, administrator. E questo succede».
• Controlli deboli sugli endpoint. È sugli endpoint che vivono i dati, ed è lì che spesso le difese sono più sottili.

A tutto questo Guerrieri ha aggiunto la falsa rassicurazione del “sono troppo piccolo per interessare”. Le piccole imprese sono in realtà tra i bersagli preferiti: controlli deboli, strumenti inadeguati, gestione della sicurezza affidata a non specialisti. E il calcolo dell’attaccante è banale: «se riesco a colpire 100.000 aziende che hanno pochissimi dati, e da ognuna ottengo un riscatto da un euro, ho fatto 100.000 euro».

Le porte di accesso più comuni

Sul vettore iniziale, l’analisi di Guerrieri è netta: nella maggioranza dei casi sono gli utenti stessi a “consegnare le chiavi”. Le modalità ricorrenti includono il classico furto di credenziali tramite phishing, l’inganno via social engineering (l’attaccante che si finge “Microsoft Support” e induce l’utente a installare TeamViewer per “ricevere aiuto”), e l’abuso di strumenti perfettamente legittimi: TeamViewer è “buono” quando lo usa l’amministratore, “malevolo” quando lo usa l’attaccante. È il contesto a fare la differenza, non lo strumento.

Lo stesso vale per IP scanner, vulnerability assessment e PowerShell, definito da Guerrieri «l’applicativo più pericoloso del mondo, e ce l’abbiamo tutti»: secondo i dati citati, il 53% degli attacchi ai sistemi SMB utilizza PowerShell almeno una volta. Da qui il punto chiave: «bloccare ciò che accade dopo l’accesso iniziale è cruciale». L’accesso iniziale è spesso inevitabile; ciò che fa la differenza è impedire all’attaccante di muoversi una volta dentro.

Il limite strutturale della detection

Per illustrare i limiti dei soli strumenti reattivi, Guerrieri ha raccontato un episodio realmente accaduto durante un evento di settore (Black Hat). A uno stand di una banca, che esibiva la propria postura di sicurezza, ha inserito una rubber ducky, un cavo del telefono apparentemente identico agli altri ma in grado di iniettare comandi PowerShell come se fosse l’utente a digitarli. Il cavo è stato collegato, il comando ha esfiltrato i dati, due ore dopo il SOC ha rilevato «una possibile data exfiltration». Possibile, non ancora confermata. «Anche se fosse stato quasi immediato, i dati li avevo già presi».

Da qui la critica esplicita ai vincoli del paradigma detection-first:

• EDR e XDR sono per definizione reattivi: per intervenire serve che il problema sia già accaduto.
• L’AI generativa amplifica il problema, perché aiuta più gli attaccanti che i difensori. Guerrieri ha citato un suo esperimento recente: «non sono uno sviluppatore, ho un background in ingegneria. Ho chiesto a Gemini di scrivermi un tool di data exfiltration: ovviamente ha rifiutato. Allora gli ho chiesto una backup solution che prendesse file dalle macchine e li spostasse altrove. Il software è stato scritto». Risultato: codice unico, mai visto prima, che i sistemi di rilevamento basati su firme o pattern noti non possono intercettare.
• Gli alert non sono protezioni: sono notifiche di un problema in corso. Con il fenomeno della alert fatigue, i SOC sono sommersi e gli attacchi reali vengono offuscati da rumore legittimo.
• I tempi di risposta possono variare da minuti a ore. Nel frattempo l’attaccante ha già completato l’obiettivo.

La svolta Zero Trust: fermare il ransomware prima dell’esecuzione

Il cuore propositivo dell’intervento è stato il ribaltamento della logica: invece di cercare di identificare il “cattivo”, si permette esclusivamente ciò che è esplicitamente necessario. È il principio del default-deny applicato all’esecuzione di software.

«Come utente medio, quanti nuovi applicativi devo installare nel corso della mia vita lavorativa? Zero, o quasi». Da qui la domanda retorica: perché allora dovrei lasciare la porta aperta a qualunque eseguibile?

Nel modello Zero Trust proposto da ThreatLocker:

• Nulla viene eseguito se non esplicitamente permesso. Lo sconosciuto non è consentito (mentre nel paradigma detection-first lo sconosciuto, finché non riconosciuto come malevolo, è consentito).
• I privilegi amministrativi non sono permanenti. «Nessuno ha bisogno di diritti amministrativi continuativi, nemmeno gli amministratori. Solo nel momento in cui devono compiere un’azione amministrativa».
• I movimenti laterali sono bloccati. L’attaccante che entra resta confinato dove è entrato.
• L’impatto è contenuto. Nel peggiore degli scenari, qualcosa di lecito viene bloccato; nello scenario opposto, si subisce un disastro.

I controlli specifici della piattaforma

Guerrieri ha illustrato i quattro pilastri tecnici che danno corpo al modello, riprendendo i messaggi delle slide ThreatLocker presenti allo stand.

Application control. Soltanto il software necessario viene eseguito; tutto il resto, compresi gli script PowerShell e i tool living-off-the-land, è bloccato per default. Non perché venga riconosciuto come malevolo, ma semplicemente perché non è in lista. L’utente può richiedere l’accesso a un nuovo applicativo tramite un processo formale, che l’IT approva o rifiuta in base al ruolo e al contesto.

Ringfencing. Anche per gli applicativi consentiti, il comportamento viene delimitato. PowerShell, nel 99,9% dei casi, non ha bisogno di accedere a internet: dunque non glielo si concede. Allo sviluppatore che lavora su una specifica cartella si concede l’accesso a quella cartella, non a tutto il file system. Quando le credenziali di quell’utente vengono compromesse, il danno potenziale resta circoscritto.

Privilegi just-in-time. I diritti amministrativi vengono concessi on demand per la singola operazione o per il singolo applicativo, senza condivisione di password e senza permanenza. Il gestionale che richiede privilegi amministrativi gira come amministratore solo per la sua esecuzione; tutto il resto no.

Storage e network control. Le porte USB vengono bloccate per default (la chiavetta resta «il modo più semplice di rubare dati: la prendi, la inserisci, esci dalla porta») e abilitate solo su richiesta motivata. Le backup share sono accessibili soltanto alla backup solution, non a PowerShell o ad altri applicativi presenti sulla macchina, anche se l’utente avrebbe formalmente i permessi. Sul piano di rete, le macchine si devono autenticare prima di accedere ai servizi: una macchina non gestita, dimenticata in qualche armadio ma collegata alla rete, non vede nulla. E le comunicazioni verso command and control esterni vengono bloccate alla radice.

La detection come ultimo strato, non come primo

Guerrieri non ha derubricato la detection: l’ha ricollocata. Resta utile, ma come ultimo livello, per intercettare comportamenti anomali compiuti con credenziali e privilegi formalmente leciti, il caso classico del dipendente appena licenziato a cui non sono stati ancora revocati gli accessi e che decide di cancellare dati prima dell’uscita.

Il valore aggiunto di una postura default-deny, dal punto di vista operativo, è la drastica riduzione dei log da analizzare: se la maggior parte degli eventi malevoli viene bloccata a priori, ciò che arriva al SOC è un volume molto più gestibile, con un rapporto segnale/rumore favorevole. «Quando installiamo il nostro prodotto, l’EDR diventa silente».

Visibilità e learning mode

Una delle obiezioni storiche all’allowlisting è la complessità di implementazione: «tutti dicono “ho provato, si è bloccato tutto, non si è più mosso nulla”». La risposta operativa proposta da ThreatLocker è un learning mode che fotografa l’ambiente esistente, consente di censire ciò che effettivamente gira (in un caso recente, ha raccontato Guerrieri, sono emersi installazioni di Kaspersky e TeamViewer di cui il cliente ignorava la presenza), permette di fare pulizia di browser extension, script ed eseguibili non necessari, e solo a quel punto attiva la protezione vera e propria, senza impatto sugli utenti. Lo shadow IT, in altri termini, viene reso visibile prima di essere governato.

Patch management e Defense-in-Depth Configuration

Il quadro presentato comprende anche un modulo di patch management e una funzionalità di Defense Configuration (DAC), che fotografa le debolezze di configurazione (porte aperte, permessi di scrittura sui file host, parametri non in linea con i framework di riferimento) e segnala i controlli non conformi rispetto a ISO 27001, NIS2 e altri standard, indicando le remediation possibili.

Il punto di arrivo: non inattaccabili, ma più difficili

La conclusione di Guerrieri ha ripreso l’immagine iniziale dell’allarme di casa. Nessuna azienda può aspirare a essere inattaccabile: «è un dato di fatto». L’obiettivo realistico è essere più difficili dell’azienda accanto.

Spezzando la kill chain nei suoi snodi successivi all’accesso iniziale – ricognizione bloccata, movimenti laterali impediti, payload che non parte, ransomware che non riesce a eseguirsi, dati che non escono – l’attaccante si trova di fronte a un calcolo economico sfavorevole: troppo lento, troppo visibile, troppo costoso. «E se non riesce a esfiltrare, non c’è riscatto. Se il ransomware non può essere eseguito, non c’è cifratura».

Il messaggio finale, sintetizzato anche dai materiali distribuiti allo stand («Control exactly what runs, when, where, and how»), riassume l’intero impianto: la prevenzione, quando è strutturata sul default-deny e governata da un controllo granulare di applicativi, privilegi, storage e rete, batte il ripristino. Anche perché, ha chiuso Guerrieri, «un’ora di downtime sull’infrastruttura, nel migliore dei casi, costa già più di quanto si sia mai investito in prevenzione».

Guarda l’intervento completo ” Come rendere la tua azienda un bersaglio difficile per i criminali informatici” di Cristiano Guerrieri, Solutions Engineer di ThreatLocker, alla Cyber Crime Conference 2026:

 

ThreatLocker è stato Platinum Sponsor della 14ª edizione della Cyber Crime Conference.