Breakout laterale in 30 minuti: il SOC perde la corsa contro l'AI criminale

I tempi di breakout si sono compressi al 29%: da 4 ore a 6 minuti per l'esfiltrazione. Il modello reattivo del SOC è obsoleto, serve la prevenzione AI-driven.

Contenuto

Breakout laterale in 30 minuti: il SOC perde la corsa contro l'AI criminale
Breakout laterale in 30 minuti: il SOC perde la corsa contro l'AI criminale

L'accesso iniziale a un sistema compromesso si trasforma in movimento laterale in circa 30 minuti di media, con punte inferiori a un minuto nei casi più rapidi osservati. Lo scorso 26 aprile, i dati resi pubblici da ESET attraverso WeLiveSecurity hanno documentato un'accelerazione del 29% rispetto all'anno precedente, con l'esfiltrazione più rapida registrata che è passata da 4 ore e 29 minuti nel 2024 a 6 minuti. Per i Security Operations Center, il problema non è più ridurre il tempo di risposta: è rendersi irrilevanti ai fini della contenimento.

Punti chiave
  • Il tempo medio di breakout laterale è stimato in circa 30 minuti, con un miglioramento di velocità del 29% rispetto al periodo precedente; alcuni osservatori hanno documentato casi al di sotto del minuto singolo.
  • L'esfiltrazione più rapida registrata nel 2025 ha richiesto 6 minuti, contro le 4 ore e 29 minute del caso più veloce del 2024: la compressione supera di gran lunga qualsiasi capacità di reazione manuale.
  • Secondo un report citato senza attribuzione specifica, circa l'80% dei gruppi RaaS offrirebbe funzionalità AI o automation, automatizzando raccolta credenziali, living off the land e generazione di malware.
  • La strategia difensiva proposta si sposta dalla risposta alla prevenzione: AI-XDR/MDR, visibilità unificata endpoint-network-cloud, Zero Trust e MFA phishing-resistant diventano il perimetro attivo.

La metrica che cambia il mestiere del SOC: quando 30 minuti sono già troppi

I framework classici di risposta agli incidenti si fondavano su scale temporali a cascata: 1 minuto per la detection, 10 per l'analisi, 60 per la remediation. La compressione dei tempi di breakout laterale rende questa gerarchia operativa matematicamente insostenibile. Se l'attaccante ha già attraversato la rete mentre il primo alert viene ancora classificato, il SOC non sta reagendo a un intrusione in corso: sta documentando un esfiltrazione già avvenuta.

Il dato sul breakout time medio, pur privo di attribuzione al report primario di origine, trova riscontro nell'evidenza tecnica pubblica. Gli attori della minaccia integrano script AI-powered per automatizzare la raccolta di credenziali, l'esecuzione di tecniche living off the land e la generazione di payload. L'automazione non accelera solo la velocità: elimina la variabilità, rendendo gli attacchi ripetibili e scalabili anche per gruppi di minore sofisticazione.

"The average time to break out laterally is now around 30 minutes – in the region of 29% faster than a year previously"

Sei minuti di esfiltrazione: la fine del tempo di reazione

La metrica più aggressiva riguarda l'esfiltrazione. Il caso più rapido registrato nel 2025 ha richiesto 6 minuti, contro le 4 ore e 29 minuti del record precedente del 2024. La natura di questo dato—caso estremo, non media—non ne attenua l'impatto strategico: dimostra che la kill chain può compiersi integralmente in un intervallo inferiore al coffee break di un analista. Il confronto con il 2024, peraltro non verificabile indipendentemente per metodologia e campione, indica comunque un ordine di grandezza di accelerazione che rende obsoleto qualsiasi workflow dipendente dall'intervento umano.

La logica conseguente è che la detection in fase di esfiltrazione, per quanto tecnicamente possibile, è difensivamente inutile. Il dato è già uscito. Il punto di intervento deve spostarsi a monte, sui comportamenti anomali in memory e sulle tecniche di living off the land che precedono il movimento laterale.

Come l'AI alimenta l'offensiva: RaaS, automation e superficie d'attacco

Secondo un report citato nell'articolo di ESET senza identificazione della fonte primaria, circa l'80% dei gruppi RaaS offrirebbe funzionalità AI o automation. La distinzione è rilevante: "offre" non equivale a "usa attivamente in ogni attacco", ma indica la commoditizzazione di capacità precedentemente riservate a threat actor avanzati. La barriera all'ingresso si abbassa; la velocità di diffusione delle tecniche aumenta.

Le tattiche documentate nella stessa fonte confermano la convergenza tra automation e tradizionale ingegneria sociale: zero-day su dispositivi edge (con menzione specifica di Ivanti EPMM), vishing mirato al helpdesk, brute-force su password deboli, assenza di MFA. L'AI non sostituisce queste tecniche: le orchestra, le scala, le rende parallele. Un attore può contemporaneamente forzare credenziali, generare payload polimorfici e coordinare la raccolta di intelligence sul target, tutto entro la finestra di 30 minuti.

Cosa fare adesso

  • Ridurre la superficie d'attacco prima dell'accesso: Segmentazione di rete rigorosa, eliminazione di credenziali deboli, MFA phishing-resistant su tutti gli endpoint critici. La prevenzione è l'unica metrica che compete con i 6 minuti di esfiltrazione.
  • Implementare visibilità unificata endpoint-network-cloud: Silos di detection tra ambiti diversi creano gap temporali che l'attaccante sfrutta per il movimento laterale. L'XDR deve coprire l'intera kill chain senza handoff manuali tra strumenti.
  • Adottare AI-XDR/MDR per detection comportamentale in-memory: Le tecniche living off the land sfuggono alle firme tradizionali. La detection deve basarsi su anomalie di comportamento process-level, non su indicatori di compromesso noti.
  • Ridisegnare i KPI del SOC dal MTTR alla mean time to prevent: Se il breakout avviene in 30 minuti, misurare il successo in ore di remediation è autoinganno. I nuovi indicatori devono quantificare intercettazioni in fase di reconnaissance e initial access.

Perché il paradigma "1-10-60" non regge più

La transizione da framework reattivi a paradigmi prevention-first non è una preferenza strategica: è una risposta matematica a un cambiamento dei vincoli. Quando l'esfiltrazione più rapida richiede meno tempo di una riunione di stand-up, il concetto stesso di "risposta agli incidenti" va ridefinito. Il SOC del prossimo triennio non sarà valutato su quanto velocemente contiene, ma su quanto raramente deve farlo.

La cautela metodologica imposta dai limiti della fonte—dati quantitativi non tracciabili a ricerche indipendenti, possibile orientamento commerciale di ESET verso proprie soluzioni XDR/MDR—non attenua la plausibilità della claim. L'accelerazione dei tempi di attacco è coerente con l'evidenza pubblica su automation e AI criminale. La domanda per i CISO non è se i 30 minuti siano esatti, ma se la loro architettura difensiva sopravvive a un breakout di quell'ordine di grandezza.

Domande frequenti

Il dato dei 30 minuti è verificabile indipendentemente?

No. L'articolo di ESET/WeLiveSecurity non cita il report primario da cui deriva la stima, né la metodologia di misurazione. Il dato va trattato come indicatore di trend, non come benchmark certificato.

Perché l'esfiltrazione in 6 minuti è più significativa del breakout in 30?

Perché dimostra la compattazione dell'intera kill chain. Non è un singolo stadio accelerato: è l'evidenza che accesso, movimento laterale, ricerca del dato e trasferimento possono fondersi in un'unica sequenza automatizzata.

L'AI-XDR/MDR è l'unica risposta possibile?

È la risposta proposta dalla fonte, coerente con il bias commerciale documentato. Tecnicamente, la prevenzione richiede visibilità unificata e detection comportamentale; se queste capacità siano meglio erogate via XDR/MDR, via piattaforma proprietaria o via stack open source dipende dal contesto operativo.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews