DBIR 2026: exploit supera credenziali, patching in crisi

Il Verizon DBIR 2026 registra il sorpasso dell'exploitation sul credential abuse: 31% contro 13%. La mediana di patching sale a 43 giorni, il 26% del catalogo…

Contenuto

DBIR 2026: exploit supera credenziali, patching in crisi
DBIR 2026: exploit supera credenziali, patching in crisi

Il 19 maggio 2026 il Verizon Data Breach Investigations Report 2026 ha certificato uno spostamento strutturale nel panorama delle minacce: l'exploitation di vulnerabilità note è diventato il vettore di accesso principale nelle violazioni dati, scavalcando l'abuso di credenziali che dominava le edizioni precedenti. La posta in gioco non è solo statistica: le imprese dispongono di una finestra di difesa che si è ristretta a circa 43 giorni di mediana patching, mentre la weaponizzazione AI-driven delle falle note si misura in ore. La convergenza tra questi due trend spiega perché il modello di remediation tradizionale stia mostrando segni di cedimento.

Punti chiave
  • L'exploitation di vulnerabilità ha raggiunto il 31% delle breach confermate, contro il 20% del DBIR 2025; l'abuso di credenziali è sceso al 13%.
  • Il tempo mediano per il patching completo è salito a 43 giorni nel 2025, da 32 giorni nel 2024, con una crescita di quasi due settimane.
  • Solo il 26% delle vulnerabilità nel catalogo CISA Known Exploited Vulnerabilities è stato completamente rimediato, in calo dal 38% dell'anno precedente.
  • Il dataset del DBIR 2026 ha analizzato oltre 22.000 breach confermate, quasi il doppio rispetto alle circa 12.195 del rapporto precedente.

Il sorpasso: come l'exploitation ha scavalcato le credenziali

I numeri del DBIR 2026 non lasciano spazio a interpretazioni: l'exploitation di vulnerabilità ha raggiunto il 31% delle violazioni con vettore di accesso noto, contro il 20% registrato nell'edizione precedente. L'abuso di credenziali, che era stato il top vector nel DBIR 2025, è precipitato al 13%. Il ribaltamento è avvenuto su un campione di oltre 22.000 breach confermate, quasi il doppio rispetto alle circa 12.195 analizzate un anno prima.

La crescita del dataset — da 68,7 milioni di record nel 2022 a 527,3 milioni nel 2025, come riportato nel rapporto — rende il sorpasso ancora più significativo: non si tratta di un'artefatto statistico su numeri ridotti, ma di un'inversione di tendenza su una massa critica di incidenti. SecurityWeek e CyberScoop concordano nel descrivere il 31% come quota di "exploited defects" sul totale dei vettori iniziali noti.

Quello che cambia rispetto al passato è la velocità di weaponizzazione. Gli attori di minaccia utilizzano modelli generativi di intelligenza artificiale per accelerare l'exploitation, con una mediana di 15 tecniche documentate assistite da AI per threat actor. Non si tratta di creazione autonoma di tecniche ignote: le fonti descrivono un'accelerazione su metodi già noti, che riduce il tempo tra disclosure e primo utilizzo offensivo a una scala di ore.

Il baratro del patching: 43 giorni contro una weaponizzazione che dura ore

Se la linea di attacco si muove in ore, la linea di difesa si muove in settimane. Il tempo mediano per il patching completo è salito a 43 giorni nel 2025, da 32 giorni nel 2024. L'aumento di quasi due settimane — riportato in modo coerente da tutte e tre le fonti primarie — indica un peggioramento strutturale, non un'eccezione stagionale.

Il ritardo ha conseguenze misurabili. Solo il 26% delle vulnerabilità nel catalogo CISA KEV è stato completamente rimediato nel 2025, in calo dal 38% del 2024. Questo significa che quasi tre quarti delle falle già note e attivamente sfruttate restano esposte in ambienti enterprise. DarkReading sottolinea come il numero di flaw critici da gestire sia aumentato del 50% nella mediana rispetto all'anno precedente, sovraccaricando team che già lavoravano al limite.

L'asimmetria è matematica: da un lato una superficie di attacco che cresce in complessità e velocità di weaponizzazione, dall'altro una capacità di remediation che arretra. Il risultato è che l'exploitation diventa il percorso di minor resistenza, più efficiente del furto di credenziali che richiede almeno un passaggio intermedio di reconnaissance o social engineering.

Ransomware e supply chain: le conseguenze del vettore exploit

La dominanza dell'exploitation non resta confinata alla fase iniziale di accesso. Il ransomware ha coinvolto il 48% delle breach confermate nel 2025, rispetto al 44% del 2024. La correlazione tra i due fenomeni è indicativa: l'exploitation di vulnerabilità nei servizi esposti offre accesso diretto a infrastrutture dove il ransomware può propagarsi lateralmente.

"Ransomware is still the yoga pants of cybersecurity — ubiquitous, stubbornly popular and appearing in unexpected places near you" Verizon DBIR 2026, riportato da CyberScoop

Il dato sulle terze parti è altrettanto rilevante: le breach con coinvolgimento di fornitori esterni sono aumentate del 60%, raggiungendo il 48% del totale. Questo significa che l'exploitation di una vulnerabilità in un singolo vendor può propagarsi a una fetta considerevole della catena di approvvigionamento. Il vettore exploit, una volta concentrato su target di valore, è diventato uno strumento di compromissione di massa attraverso la supply chain.

Il 67% degli utenti accede a servizi AI da dispositivi aziendali con account non corporate, fenomeno definito Shadow AI. Questo espande la superficie di attacco con endpoint e credenziali non governati, dove l'exploitation di vulnerabilità nei servizi AI consumer può funzionare come trampolino verso l'ambiente enterprise.

Cosa fare adesso

Il DBIR 2026 non è un allarme generico ma un campanello con numeri specifici. Le azioni conseguenti devono essere altrettanto precise.

Priorizzare il catalogo CISA KEV con metriche di tempo. Solo il 26% di remediation completa è inaccettabile. Le organizzazioni devono fissare SLI interni per il catalogo CISA, con target di MTTR che si misurino in giorni, non in mesi. Il 43 giorni di mediana è un tetto, non un pavimento.

Ridurre la dipendenza dal patching manuale su asset critici. La crescita del 50% dei flaw critici rende insostenibile un modello di remediation interamente human-driven su sistemi esposti. L'automazione del patching per infrastrutture non-business-critical deve diventare default, non eccezione.

Mappare l'esposizione Shadow AI e applicare policy di segmentazione. Il 67% di accessi non corporate a servizi AI indica una visibilità parziale che l'exploitation può sfruttare. La segmentazione di rete tra dispositivi con accesso AI consumer e ambienti di produzione è una misura di contenimento immediata.

Adottare threat intelligence su weaponizzazione con granularità temporale. La finestra di exploitation si è ristretta a ore: i feed di intelligence devono fornire alert non sulla presenza di una vulnerabilità, ma sulla probabilità di weaponizzazione entro 24-48 ore, con priorità dinamica basata su indicatori di attività offensiva.

La lezione dei 527 milioni di record: la difesa non scala con gli stessi moltiplicatori

Il DBIR 2026 confronta due curve che divergono. La capacità offensiva si moltiplica attraverso l'automazione AI: 15 tecniche assistite per threat actor, weaponizzazione in ore, un catalogo CISA KEV che cresce. La capacità difensiva si contrae: patching più lento, remediation incompleta, team sovraccaricati da un aumento del 50% dei flaw critici.

La transizione dal credential abuse all'exploitation come vettore dominante non è una moda ma la conseguenza di questa asimmetria. Rubare credenziali richiede almeno due fasi — reconnaissance e compromissione — mentre l'exploitation di un servizio esposto ne richiede una sola. In un contesto di velocità, l'efficienza operativa premia l'exploitation.

Le imprese che non ricalibreranno il vulnerability management verso metriche di tempo e automazione rischiano di trovarsi nella parte sbagliata di una curva che il DBIR 2026 ha reso visibile con numeri senza equivoco.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews