Il Kaseya ha pubblicato il 2026 SaaS Security Report, basato sull'analisi di 27,6 miliardi di eventi di sicurezza in oltre 50.000 ambienti clienti di piccole e medie imprese. I dati mostrano una superficie di attacco che si espande attraverso identità legittime: account guest che superano gli utenti licensed in rapporto 2:1, autenticazione multifattore disattivata per la maggioranza degli account, e token OAuth che persistono indipendentemente dal ciclo di vita delle credenziali.
- I guest account rappresentano il 69% dei monitored SaaS accounts nel campione Kaseya, con 4,3 milioni di identità guest rispetto a 1,9 milioni di utenti licensed.
- Il 56% degli end-user account monitored aveva MFA disattivato o inactive; solo il 27% delle organizzazioni SMB ha imposto policy MFA organization-wide.
- Le applicazioni connesse via OAuth mantengono permessi persistenti anche dopo il reset della password, secondo quanto documentato nel report.
- I service principal (identità non umane) hanno generato il 20% delle security alert critiche nel 2025, a fronte di 278 milioni di alert di severità medio-alta.
I fatti: proliferazione di account guest e MFA disattivato
Su 6,2 milioni di end-user account analizzati nel campione Kaseya, 4,3 milioni sono identità guest rispetto a 1,9 milioni di utenti licensed. Questo rapporto di 2:1 riflette l'uso diffuso di piattaforme come Microsoft 365 e Google Workspace per collaborare con fornitori, consulenti e partner commerciali.
L'aumento è quantificato in 1,9 milioni di guest account in più rispetto all'anno precedente, secondo il campione Kaseya. Nel 45% dei casi in Microsoft 365, i file condivisi sono stati inviati outside the organization, con link di condivisione orfani.
Il report documenta anche una frattura tra consapevolezza e implementazione: il 56% degli end-user account monitored aveva MFA disattivato o inactive, e solo il 27% delle organizzazioni SMB ha imposto policy MFA organization-wide.
Analisi: perché il perimetro non è più dove si difende
[Sezione di analisi editoriale]
I sistemi di difesa ereditari — firewall, VPN, geolocation blocking — non tracciano identità SaaS esterne. Quando il 44% delle login non autorizzate da fuori Nord America origina da infrastrutture trusted e hub di outsourcing (India 14%, Filippine 10%), i controlli basati sulla geografia mostrano limiti strutturali nel campione analizzato.
Il rischio si amplifica con l'uso di AI da parte degli attaccanti. Secondo Kaseya, l'account enumeration assistita da intelligenza artificiale rende più efficiente il targeting di guest account con MFA debole o assente.
I dati di Unit 42 (Palo Alto Networks) forniscono contesto tecnico: il 65% delle intrusioni utilizza identity-based initial access, e il 99% delle cloud identities ha excessive permissions. Come ha affermato Sam Rubin, SVP Consulting and Threat Intelligence di Unit 42: "They are not breaking in; they are logging in".
"They are not breaking in; they are logging in"
OAuth e service principal: la persistenza oltre le credenziali
Un meccanismo specifico riguarda le integrazioni di terze parti connesse via OAuth. Secondo il report Kaseya, queste applicazioni utilizzano token persistenti invece delle credenziali utente, mantenendo accesso ai dati anche dopo il reset della password.
Nel 2025, il 20% delle security alert critiche ha avuto origine da service principal logins. Queste identità non umane non seguono i cicli di onboarding e offboarding degli utenti umani. Il report non specifica il volume di token OAuth attivi nel campione.
La dinamica è coerente con quanto documentato da Unit 42: OAuth misuse e token theft sono vettori negli identity-based attacks.
Alert fatigue: volume e visibilità
Nel campione analizzato, 278 milioni di alert di severità medio-alta si sono accumulati nel 2025, con il 98,9% degli eventi classificati low severity. Questa distribuzione concentra l'attenzione dei team di sicurezza su una minoranza di segnalazioni ad alta priorità.
Jim Lippie, chief product officer di Kaseya, ha osservato che "today's AI-emboldened threat actors see one interconnected attack environment, whereas most organizations defend their infrastructure in pieces". Ha aggiunto che "the most resilient organizations will be those that embrace continuous monitoring, identity governance and automated response as foundational requirements".
Cosa fare adesso
Le azioni specifiche al caso documentato nel report includono:
- Inventario dei guest accounts: identificare i 4,3 milioni di identità guest nel campione richiede mappatura sistematica; le organizzazioni devono estendere questa pratica ai propri ambienti SaaS.
- Enforcement MFA: il dato del 27% di enforcement organization-wide indica che la maggior parte delle SMB non ha completato il rollout; l'attivazione su identity provider SaaS è il passo documentato nel report.
- Revisione delle autorizzazioni OAuth: il report segnala token persistenti come gap noto; la verifica periodica delle integrazioni connesse è l'azione corrispondente al meccanismo documentato.
- Monitoraggio dei service principal: il 20% di alert critici da identità non umane richiede visibility dedicata, separata dal monitoring degli utenti umani.
Limiti del campione e contesto metodologico
I dati presentati derivano da un report vendor self-reported: Kaseya ha analizzato 27,6 miliardi di eventi in 50.000+ ambienti clienti, non in un campione randomizzato o indipendente. Le percentuali si riferiscono a questo specifico campione. Non è chiaro se il 69% dei guest accounts si riferisca a tutti i monitored accounts o solo a quelli con guest access attivo. La distribuzione geografica dei 50.000 ambienti non è specificata.
Le fonti primarie sono il report Kaseya e articoli che lo riportano (Help Net Security, CyberRiskLeaders). I dati Unit 42 forniscono contesto tecnico su identity-based attacks ma non sono parte dello stesso campione Kaseya.
Le informazioni si basano sul report Kaseya 2026 e su articoli che lo riportano. I dati sono specifici al campione vendor e non derivano da indagini indipendenti multiple.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.kaseya.com/press-release/kaseya-finds-69-of-saas-accounts-have-more-guest-access-than-licensed-users/
- https://www.helpnetsecurity.com/2026/07/06/saas-environments-security-risks-report/
- https://cyberriskleaders.com/kaseya-report-flags-guest-accounts-and-mfa-gaps-in-smb-saas-environments/
- https://www.helpnetsecurity.com/2026/02/18/identity-based-cyberattacks-compromise/
- https://www.welivesecurity.com/en/videos/rsac-2026-wrap-up-week-security-tony-anscombe/
- https://www.securityweek.com/medtronic-data-breach-impacts-3-8-million-people/
- https://www.helpnetsecurity.com/2026/03/03/enterprise-ai-agent-security-2026/
- https://www.helpnetsecurity.com/2026/03/13/mfa-security-limitations-video/
- https://www.helpnetsecurity.com/2025/09/25/csa-saas-security-capability-framework-sscf/