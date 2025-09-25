A close-up of seven darts on a dartboard, grouped around the center but all missing the bullseye.
Operazioni di Sicurezza

Cosa succede quando un’azienda di cybersecurity viene colpita da phishing?

Un dipendente di Sophos è stato vittima di phishing, ma abbiamo contrastato la minaccia con un processo di difesa end-to-end
25 Settembre 2025
Se lavori nella cybersecurity, probabilmente avrai sentito il vecchio adagio sugli attacchi informatici: “Non è una questione di se, ma di quando.” Forse, però, è meglio pensarla così: anche se formazione, esperienza e conoscenza delle tecniche di social engineering aiutano, chiunque può cadere in un inganno ben costruito. Tutti – compresi i ricercatori di sicurezza – hanno una vulnerabilità che potrebbe renderli suscettibili, date le giuste condizioni, tempistiche e circostanze.

Le aziende di cybersecurity non fanno eccezione. Nel marzo 2025, un senior employee di Sophos è caduto vittima di un’email di phishing ed ha inserito le proprie credenziali in una pagina di login falsa, permettendo così un bypass della multi-factor authentication (MFA) e a un attore malevolo di tentare – senza riuscirci – di introdursi nella nostra rete.

Abbiamo pubblicato un’analisi esterna delle cause (RCA) di questo incidente nel nostro Trust Center, con tutti i dettagli. Ma l’episodio ha sollevato anche alcuni spunti interessanti che vogliamo condividere.

Primo punto: è importante notare che i bypass MFA sono sempre più comuni. Con la diffusione dell’MFA, gli attaccanti si sono adattati e diversi framework e servizi di phishing ora integrano funzionalità di bypass MFA (un ulteriore argomento a favore dell’adozione dei passkey).

Secondo punto: condividiamo i dettagli di questo incidente non per mettere in evidenza che siamo riusciti a respingere un attacco – quello è il nostro lavoro quotidiano – ma perché rappresenta una buona illustrazione di un processo di difesa end-to-end, con spunti utili da cui imparare.

Terzo punto: tre fattori sono stati fondamentali nella nostra risposta: controlli, cooperazione e cultura.

Controlli

I nostri controlli di sicurezza sono stratificati, con l’obiettivo di essere resilienti agli errori umani e ai bypass degli strati precedenti. Il principio guida di una politica di sicurezza “a difesa in profondità” è che, quando un controllo viene bypassato o fallisce, altri devono entrare in azione – garantendo protezione lungo quanto più possibile della catena di attacco.

Come spiegato nella relativa RCA, l’incidente ha coinvolto più livelli: sicurezza email, MFA, una Conditional Access Policy (CAP), gestione dei dispositivi e restrizioni sugli account. Anche se l’attaccante è riuscito a superare alcuni di questi livelli, altri controlli si sono attivati in seguito.

Fondamentale, però, è che non ci siamo fermati dopo l’incidente. L’attaccante non ha avuto successo, ma non ci siamo auto-congratulati passando oltre. Abbiamo analizzato ogni aspetto dell’attacco, condotto un’analisi interna delle cause e valutato le prestazioni di ciascun controllo coinvolto. Dove uno di questi è stato aggirato, abbiamo rivisto perché e come migliorarlo. Dove ha funzionato, ci siamo chiesti come potrebbe essere bypassato in futuro e abbiamo studiato come prevenirlo.

Cooperazione

I nostri team interni lavorano sempre a stretto contatto, e uno dei principali risultati è una cultura collaborativa – soprattutto quando c’è una minaccia attiva e urgente, interna o rivolta ai nostri clienti.

Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR) e il nostro team IT interno hanno lavorato insieme, ciascuno con le proprie competenze, per eliminare la minaccia condividendo informazioni e analisi. Guardando avanti, stiamo esplorando modi per migliorare la raccolta di intelligence e velocizzare i cicli di feedback – non solo internamente, ma anche all’interno della comunità di sicurezza più ampia. Raccogliere, rendere operativa e usare in modo proattivo l’intelligence per difendere il nostro ambiente è una priorità chiave. Anche se abbiamo risposto efficacemente a questo incidente, possiamo sempre migliorare.

Cultura

Cerchiamo di coltivare una cultura focalizzata sulla risoluzione dei problemi e sulla sicurezza, piuttosto che sull’assegnare colpe o criticare chi commette errori – e non sanzioniamo né puniamo gli utenti che cliccano su link di phishing.

Il dipendente coinvolto in questo incidente si è sentito libero di informare subito i colleghi di essere caduto in un inganno. In alcune organizzazioni, gli utenti potrebbero non sentirsi a proprio agio nell’ammettere un errore, per timore di ripercussioni o per imbarazzo personale. Altri potrebbero sperare che, ignorando un episodio sospetto, il problema scompaia. In Sophos, tutti – indipendentemente dal ruolo o dal livello – sono incoraggiati a segnalare qualsiasi sospetto. Come ricordato all’inizio, sappiamo che chiunque può cadere in un inganno di social engineering nelle giuste circostanze.

Si dice spesso – non sempre in modo utile – che gli esseri umani siano l’anello più debole della sicurezza. Ma spesso sono anche la prima linea di difesa: possono avvisare i team di sicurezza, convalidare gli alert automatici (o segnalarli direttamente se i controlli tecnici falliscono) e fornire contesto e informazioni aggiuntive.

Conclusione

Un attaccante è riuscito a oltrepassare il nostro perimetro, ma grazie a una combinazione di controlli, cooperazione e cultura, il suo margine di azione è stato estremamente limitato, fino a quando non lo abbiamo escluso dai nostri sistemi. La revisione post-incidente e le lezioni che ne abbiamo tratto hanno reso la nostra postura di sicurezza più forte, in vista del prossimo tentativo. Condividendo pubblicamente e in modo trasparente queste lezioni – qui e nella RCA – speriamo che anche la vostra sicurezza possa trarne beneficio.

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

