Se lavori nella cybersecurity, probabilmente avrai sentito il vecchio adagio sugli attacchi informatici: “Non è una questione di se, ma di quando.” Forse, però, è meglio pensarla così: anche se formazione, esperienza e conoscenza delle tecniche di social engineering aiutano, chiunque può cadere in un inganno ben costruito. Tutti – compresi i ricercatori di sicurezza – hanno una vulnerabilità che potrebbe renderli suscettibili, date le giuste condizioni, tempistiche e circostanze.
Le aziende di cybersecurity non fanno eccezione. Nel marzo 2025, un senior employee di Sophos è caduto vittima di un’email di phishing ed ha inserito le proprie credenziali in una pagina di login falsa, permettendo così un bypass della multi-factor authentication (MFA) e a un attore malevolo di tentare – senza riuscirci – di introdursi nella nostra rete.
Abbiamo pubblicato un’analisi esterna delle cause (RCA) di questo incidente nel nostro Trust Center, con tutti i dettagli. Ma l’episodio ha sollevato anche alcuni spunti interessanti che vogliamo condividere.
Primo punto: è importante notare che i bypass MFA sono sempre più comuni. Con la diffusione dell’MFA, gli attaccanti si sono adattati e diversi framework e servizi di phishing ora integrano funzionalità di bypass MFA (un ulteriore argomento a favore dell’adozione dei passkey).
Secondo punto: condividiamo i dettagli di questo incidente non per mettere in evidenza che siamo riusciti a respingere un attacco – quello è il nostro lavoro quotidiano – ma perché rappresenta una buona illustrazione di un processo di difesa end-to-end, con spunti utili da cui imparare.
Terzo punto: tre fattori sono stati fondamentali nella nostra risposta: controlli, cooperazione e cultura.
Controlli
I nostri controlli di sicurezza sono stratificati, con l’obiettivo di essere resilienti agli errori umani e ai bypass degli strati precedenti. Il principio guida di una politica di sicurezza “a difesa in profondità” è che, quando un controllo viene bypassato o fallisce, altri devono entrare in azione – garantendo protezione lungo quanto più possibile della catena di attacco.
Come spiegato nella relativa RCA, l’incidente ha coinvolto più livelli: sicurezza email, MFA, una Conditional Access Policy (CAP), gestione dei dispositivi e restrizioni sugli account. Anche se l’attaccante è riuscito a superare alcuni di questi livelli, altri controlli si sono attivati in seguito.
Fondamentale, però, è che non ci siamo fermati dopo l’incidente. L’attaccante non ha avuto successo, ma non ci siamo auto-congratulati passando oltre. Abbiamo analizzato ogni aspetto dell’attacco, condotto un’analisi interna delle cause e valutato le prestazioni di ciascun controllo coinvolto. Dove uno di questi è stato aggirato, abbiamo rivisto perché e come migliorarlo. Dove ha funzionato, ci siamo chiesti come potrebbe essere bypassato in futuro e abbiamo studiato come prevenirlo.
Cooperazione
I nostri team interni lavorano sempre a stretto contatto, e uno dei principali risultati è una cultura collaborativa – soprattutto quando c’è una minaccia attiva e urgente, interna o rivolta ai nostri clienti.
Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR) e il nostro team IT interno hanno lavorato insieme, ciascuno con le proprie competenze, per eliminare la minaccia condividendo informazioni e analisi. Guardando avanti, stiamo esplorando modi per migliorare la raccolta di intelligence e velocizzare i cicli di feedback – non solo internamente, ma anche all’interno della comunità di sicurezza più ampia. Raccogliere, rendere operativa e usare in modo proattivo l’intelligence per difendere il nostro ambiente è una priorità chiave. Anche se abbiamo risposto efficacemente a questo incidente, possiamo sempre migliorare.
Cultura
Cerchiamo di coltivare una cultura focalizzata sulla risoluzione dei problemi e sulla sicurezza, piuttosto che sull’assegnare colpe o criticare chi commette errori – e non sanzioniamo né puniamo gli utenti che cliccano su link di phishing.
Il dipendente coinvolto in questo incidente si è sentito libero di informare subito i colleghi di essere caduto in un inganno. In alcune organizzazioni, gli utenti potrebbero non sentirsi a proprio agio nell’ammettere un errore, per timore di ripercussioni o per imbarazzo personale. Altri potrebbero sperare che, ignorando un episodio sospetto, il problema scompaia. In Sophos, tutti – indipendentemente dal ruolo o dal livello – sono incoraggiati a segnalare qualsiasi sospetto. Come ricordato all’inizio, sappiamo che chiunque può cadere in un inganno di social engineering nelle giuste circostanze.
Si dice spesso – non sempre in modo utile – che gli esseri umani siano l’anello più debole della sicurezza. Ma spesso sono anche la prima linea di difesa: possono avvisare i team di sicurezza, convalidare gli alert automatici (o segnalarli direttamente se i controlli tecnici falliscono) e fornire contesto e informazioni aggiuntive.
Conclusione
Un attaccante è riuscito a oltrepassare il nostro perimetro, ma grazie a una combinazione di controlli, cooperazione e cultura, il suo margine di azione è stato estremamente limitato, fino a quando non lo abbiamo escluso dai nostri sistemi. La revisione post-incidente e le lezioni che ne abbiamo tratto hanno reso la nostra postura di sicurezza più forte, in vista del prossimo tentativo. Condividendo pubblicamente e in modo trasparente queste lezioni – qui e nella RCA – speriamo che anche la vostra sicurezza possa trarne beneficio.
