Microsoft ha fotografato l’universo del cyber crimine per prendere le misure e studiare le contromosse. Da qui una sorta di vademecum per la cyber security che ogni organizzazione dovrebbe fare proprio e mettere in pratica. Ma andiamo con ordine.
Il report Cyber signals è un monito per tutte quelle organizzazioni convinte che la cybersecurity è un optional se non persino un costo inutile. Nel periodo che va dal mese di aprile del 2024 al mese di aprile del 2025, Microsoft ha bloccato più di 4 miliardi di dollari in frodi (quasi 11 milioni di dollari al giorno) e sventato ogni ora in media 1,6 milioni di tentativi di registrazioni automatiche da parte di bot.
Parallelamente, il report Microsoft Digital Defense Report – che copre il periodo da luglio del 2023 a giugno del 2024 – fa emergere aspetti che restituiscono in modo preciso il perché delle scelte di Redmond in materia di sicurezza, inclusa la necessità di sfruttare i le Intelligenze artificiali (AI) a cui, sempre più, fanno affidamento anche i cyber criminali, affrontando così un tema attuale e prioritario.
Abbiamo approfondito alcuni temi con Tamara Zancan, Direttore Cybersecurity, Compliance e Identity di Microsoft Italia.
Infine, esaminando i dati relativi ai budget, diamo risposta ad alcune domande con l’ausilio dell’ingegner Pierluigi Paganini, Ceo di Cybhorus e direttore dell’Osservatorio sulla cybersecurity Unipegaso.
Indice degli argomenti
Le risposte di Microsoft al cyber crimine
A novembre del 2023 Microsoft ha varato la Secure Future Initiative (SFI), progetto di lungo raggio teso a rafforzare la resilienza dei servizi e dei prodotti proprietari. Un impegno costante che coinvolge più di 34mila ingegneri concentrati nel leggere, interpretare e anticipare il panorama mondiale delle minacce per proteggere gli utenti Microsoft.
Per capire meglio i perché delle decisioni di Microsoft è utile assurgere la SFI al ruolo di osservatore privilegiato attraverso il quale sono state individuate e organizzate per pericolosità le cyber minacce.
Da qui le mosse di Redmond che ha deciso di rendere più sicuro tutto il proprio ecosistema considerando sia il micro (i chip) sia il macro (il cloud).
La necessità di formazione e governance
Forte dell’esperienza acquisita sul campo, Microsoft ha avviato programmi di formazione per i dipendenti e questo dimostra che la lotta alla cyber security coinvolge l’operatore umano quanto i sistemi. Parallelamente è stato formato il Cybersecurity Governance Council che, grazie a 13 Chief information security officer, supervisiona la sicurezza interna.
Quindi, ricapitolando, la rivoluzione di Microsoft in termini di cybersecurity pone le basi sulla formazione e sulla governance.
Dagli utenti alle infrastrutture
Gli ingegneri di Redmond hanno migliorato Microsoft Entra ID e hanno lavorato per restringere le superfici di attacco eliminando i tenant non attivi.
Microsoft Entra ID è il nuovo nome di Azure Active Directory, il servizio cloud per la gestione delle identità e degli accessi (Identity and Access Management, IAM). Un tenant è un’istanza relativa a un servizio cloud, una sorta di spazio virtuale isolato al cui interno un’organizzazione conserva dati, gestisce risorse e configurazioni.
Inoltre, sempre mediante Microsoft Entra ID, anche gli agenti AI creati con Copilot Studio o Azure Foundry possono essere dotati di una propria identità digitale al pari di qualsiasi utente e, in quanto tale, godere di credenziali e permessi gestiti dal dipartimento IT. Ciò rientra nella filosofia Zero Trust della quale parleremo più avanti.
Dopo la formazione degli utenti, Microsoft tende a promuovere architetture sicure e pulite (quindi più facilmente gestibili e monitorabili).
Microsoft Security Copilot
Con Security Copilot, lanciato ad aprile del 2024, Microsoft ha fornito una soluzione di AI generativa ai professionisti della cyber security. Security Copilot, noto anche con il nome Copilot for Security, sfrutta gli oltre 78 trilioni di segnali di sicurezza elaborati da Microsoft ogni giorno per automatizzare i processi di rilevamento delle minacce e suggerire azioni congrue per la risposta agli incidenti.
L’automazione dei compiti cruciali viene gestita dai Security Copilot Agents, agenti IA deputati al miglioramento della resilienza e che, integrati in Microsoft Defender e Sentinel, aiutano anche a classificare gli incidenti e a sganciare le opportune misure e politiche di sicurezza.
Dal chip al cloud nel segno della Zero trust
L’hardware è parte integrante delle superfici di attacco, anche se le sue vulnerabilità finiscono raramente in cima alla lista dei grattacapi dei Security Operation Center (SOC). Con il processore di sicurezza Pluton (peraltro già a bordo dei nuovi Surface Copilot+ pc) e con i principi Zero Trust, Microsoft tende a blindare gli endpoint anche grazi a continui aggiornamenti dei firmware.
Un approccio end-to-end che si riverbera anche su Windows 11 Pro con funzioni di sicurezza avanzate e abilitate in modalità predefinita. A supporto della sicurezza degli utenti c’è anche Microsoft Intune, una soluzione per la gestione degli endpoint su cloud che consente alle organizzazioni di proteggere dispositivi, applicazioni e dati, offrendo anche funzioni di Mobile Device Management (MDM) e Mobile Application Management (MAM).
Windows 365 consente di accedere a un pc nel cloud sempre aggiornato, configurato e scalabile per affrontare qualsiasi carico di lavoro godendo della massima protezione. Una soluzione ad hoc anche per le imprese che sposano politiche BYOC (Bring Your Own Computer).
Intelligenza artificiale e prompt injection
L’uso delle AI nelle organizzazioni è sempre più diffuso e ne consegue che devono avere un ruolo nelle strategie e nelle tecnologie difensive. Per questo Microsoft ha creato Prompt Shield, uno scudo che intercetta e neutralizza istruzioni e comandi malevoli affinché non influenzino gli output.
A corredo, Spotlighting consente di rilevare eventuali istruzioni dannose nascoste nei dati di input, andando ad aumentare il contesto della sicurezza nell’uso delle AI.
Le tecniche di prompt injection sono particolarmente subdole e sempre più sofisticate, occorre quindi una risposta all’altezza delle minacce.
La questione delle normative
Copilot Chat, Microsoft 365 Copilot e gli agenti sono costruiti all’interno del perimetro di Microsoft 365, area nella quale sicurezza, privacy e conformità vengono applicate secondo regole stringenti.
Ogni organizzazione può gestire il ciclo di vita degli agenti e può definire chi può crearne e farne uso.
Inoltre, Microsoft Purview permette alle aziende di scoprire, classificare e tutelare i dati sensibili anche in contesti ibridi e multicloud. Grazie a funzionalità avanzate di data loss prevention, Purview supporta le organizzazioni nel soddisfare i requisiti normativi, minimizzare i rischi e mantenere il controllo sulle risorse informative, rafforzando così la sicurezza complessiva.
Microsoft diventa così un partner aziendale che fornisce anche soluzioni per la cyber security e la compliance, sfruttando i filtri automatici di Azure AI che consente di riconoscere e mascherare le informazioni sensibili.
I perché di Microsoft
Tutto quanto abbiamo elencato fino a qui cristallizza le decisioni di Microsoft. È interessante capire perché a Redmond hanno imboccato certe direzioni e non altre e, come detto, questo rimanda alle esperienze e alle osservazioni fatte per conoscere fino a fondo il panorama del cyber crimine.
Tra i dati raccolti da Microsoft – e racchiusi nei due report linkati in apertura – ne spiccano alcuni che meritano di essere messi in evidenza.
I già citati 78 trilioni di segnali di sicurezza elaborati ogni giorno consentono a Microsoft di avere idee solide sulle attività di attacco e sull’evoluzione delle tecniche emergenti.
A seguire, la maggior parte degli attacchi legati all’identità è basato su password.
Gli attori statali sono diventati più aggressivi e sofisticati. La Russia ha concentrato il 68% delle proprie attività su Europa e Asia Centrale.
L’83% delle organizzazioni è oggetto di più violazioni di dati nel corso del tempo e, parallelamente, quelle che organizzano più di 15 diversi strumenti di sicurezza subiscono quasi tre volte più incidenti rispetto a quelle che ne usano meno.
I servizi di Phishing-as-a-Service (PhaaS) con capacità Adversary-in-the-Middle (altro tema su cui Microsoft ritorna con una certa regolarità) generano fino a centinaia di milioni di messaggi di phishing al mese.
Oltre il 40% del budget annuale di cybersecurity delle organizzazioni enterprise è allocato alla sicurezza dei dati. Da ciò si evince che la protezione del dato attira gran parte delle attenzioni delle imprese, tralasciando così altri aspetti legati alla cyber security.
Da qui le iniziative e le tecnologie di Microsoft che includono formazione, governance, controllo degli accessi, hardware sicuro, protezione dei dispositivi mobili e dei perimetri aziendali, anche multicloud.
La filosofia, l’esperienza e il metodo: il punto di vista di Microsoft
La posizione di Microsoft è nitida. Abbiamo rivolto alcune domande a Tamara Zancan (Direttore Cybersecurity, Compliance e Identity di Microsoft Italia) per comprendere meglio la caratura dell’esperienza acquisita sul campo e le iniziative future.
La SFI ha ormai un anno e mezzo di vita: qual è l’insegnamento che ha trasmesso agli ingegneri Microsoft? L’esperienza accumulata consente di tracciare una (per quanto ipotetica) evoluzione delle tecniche di attacco?
“La Secure Future Initiative (SFI), lanciata nel novembre 2023, ha coinvolto oltre 34.000 ingegneri Microsoft in uno dei più grandi sforzi mai messi in campo dall’azienda per rafforzare la sicurezza dei nostri prodotti e servizi. In questo periodo abbiamo implementato nuovi programmi di formazione interna, introdotto meccanismi di governance come il Cybersecurity Governance Council e migliorato strumenti chiave come Microsoft Entra ID, arrivando a centralizzare i log di sicurezza per il 99% delle risorse di rete ed eliminare milioni di tenant inattivi.
L’insegnamento principale che la SFI ci ha trasmesso è che la sicurezza deve essere integrata fin dalla progettazione (secure by design) e che solo un approccio proattivo e collaborativo può garantire resilienza contro minacce sempre più sofisticate. I risultati parlano chiaro: tra aprile 2024 e aprile 2025 abbiamo bloccato tentativi di frode per oltre 4 miliardi di dollari e respinto in media 1,6 milioni di tentativi di registrazione automatica da parte di bot ogni ora. Monitoriamo costantemente oltre 1.500 gruppi di threat actor, un numero quintuplicato rispetto ai 300 osservati solo due anni fa.
Questa esperienza ci permette oggi di individuare tempestivamente nuovi pattern di attacco e di anticipare le mosse degli avversari. Stiamo assistendo a una rapida evoluzione delle tecniche utilizzate dai criminali informatici, soprattutto grazie all’intelligenza artificiale generativa, che viene sfruttata per rendere più credibili campagne di phishing, deepfake e social engineering. Sebbene non siano ancora emerse nuove tipologie di attacco basate esclusivamente sull’AI, osserviamo già un’intensa attività di sperimentazione da parte dei threat actor e prevediamo che questa tendenza sia destinata a crescere nei prossimi mesi”.
I dati degli attacchi sventati o intercettati dalle tecnologie Microsoft sono impressionanti: tuttavia, si sa poco della quantità attacchi che non sono stati respinti con successo. È possibile quantificarli in termini percentuali?
“Comprendiamo perfettamente l’interesse verso questo dato. Tuttavia, per ragioni di sicurezza e trasparenza verso i nostri clienti e la protezione dei dati sensibili, non rendiamo pubbliche percentuali sugli attacchi andati a segno. Posso però assicurare che il nostro impegno è massimo nel rilevare tempestivamente qualsiasi incidente e nel ridurre costantemente la finestra di esposizione. Investiamo ogni giorno per migliorare le nostre capacità di difesa, monitorando oltre 84 trilioni di segnali al giorno e intervenendo in modo proattivo per neutralizzare le minacce emergenti”.
Un simile numero di attacchi certifica l’inefficienza della sostenibilità del modello difensivo attuale?
“In realtà, il volume degli attacchi che blocchiamo ogni giorno dimostra proprio la necessità di un modello difensivo moderno, scalabile e intelligente. Le minacce stanno crescendo sia in quantità che in complessità, ma la nostra strategia – che integra sicurezza dal chip al cloud, automazione avanzata e intelligenza artificiale – ci permette di mantenere alta la resilienza. Il nostro obiettivo non è solo respingere gli attacchi, ma anche anticiparli, adattando continuamente le nostre difese. La sostenibilità passa proprio dall’innovazione continua e dalla collaborazione tra tecnologia, persone e processi”.
Qual è – a grandi linee ovviamente – l’impegno futuro di Microsoft per il segmento Corporate e quale l’impegno per il segmento Consumer?
“Per il mondo corporate continueremo a investire in soluzioni integrate che coprono ogni aspetto della sicurezza digitale: identità, endpoint, dati, applicazioni e cloud. Strumenti come Security Copilot, Pluton e Microsoft Purview saranno sempre più centrali per offrire protezione end-to-end e gestione semplificata, aiutando le aziende a innovare in sicurezza, anche nell’adozione dell’intelligenza artificiale.
Per quanto riguarda il segmento consumer, il nostro obiettivo è garantire una protezione efficace, semplice e trasparente per tutti gli utenti. Stiamo investendo in dispositivi progettati secondo i principi Zero Trust come i nuovi Surface Copilot+ PC dotati del processore di sicurezza Pluton, che garantisce aggiornamenti sicuri direttamente da Microsoft e offre una protezione avanzata contro le minacce rivolte all’hardware. Con Windows 11, tutte le funzionalità di sicurezza sono abilitate di default, assicurando una base protetta per ogni utente. Con Windows 11, tutte le funzionalità di sicurezza sono abilitate di default, assicurando una base protetta per ogni utente. L’autenticazione avanzata senza password in particolare è importantissima perché sappiamo che gli attacchi alle password sono tra le maggiori minacce che rileviamo. Per questo motivo, un anno fa abbiamo abbiamo annunciato il supporto passkey per gli account consumer (New passkey support for Microsoft consumer accounts | Microsoft Security Blog).
Inoltre, abbiamo sviluppato una piattaforma affidabile per l’intelligenza artificiale anche lato consumer: strumenti come Copilot Chat e Microsoft 365 Copilot operano all’interno di un perimetro protetto, dove tutte le policy di sicurezza, privacy e governance vengono applicate nativamente. I dati degli utenti sono cifrati, isolati e protetti in ogni fase, e le regole di data loss prevention restano attive anche durante l’utilizzo delle soluzioni AI.
Il nostro approccio Secure by Design assicura che anche le tecnologie più innovative siano accompagnate da controlli granulari e visibilità operativa, così che ogni persona possa utilizzare la tecnologia Microsoft in modo responsabile e sicuro, sia a casa che in mobilità”, conclude Tamara Zancan.
Quei dati che stridono
Dalle informazioni fornite da Microsoft si legge che, nelle aziende con oltre 500 dipendenti, il 40% dei budget per la cybersecurity è stanziato in favore della protezione dei dati. Incrociando poi altri report (Amazon, Cisco, Fortinet e altri ancora) abbiamo stilato un elenco delle allocazioni dei budget, stimando un valore medio per ogni voce che – pure non avendo pretesa di essere esaustivo – rende la dimensione delle priorità così come sono intese dalle organizzazioni:
- Protezione dati (DLP, etichettatura, crittografia, ecc.): budget allocato, tra il 40% e il 45% del totale
- Identity & Access Management (IAM): budget allocato, tra il 15% e il 20% del totale
- Network security (firewall, segmentazione, eccetera.): 10–15%
- Endpoint detection and response (EDR/XDR): 10–12%
- Governance, risk e compliance (GRC): 5–10%
- Awareness e formazione utenti: < 5%.
I motivi di queste massicce differenze vengono ricostruiti dall’ingegner Paganini:
La protezione dei dati è cruciale per le imprese e questo ha un’origine chiara: “Esiste una forte correlazione logica tra budget destinati alla protezione dei dati e norme sempre più stringenti in materia cyber sicurezza. L’introduzione e il rafforzamento di normative come GDPR e NIS 2 hanno imposto obblighi chiari sulla protezione dei dati personali, sulla gestione dei rischi digitali e sulla trasparenza dei processi. Lo spettro delle sanzioni economiche che possono essere stabilite in caso di violazioni, le responsabilità degli organi di controllo, unite all’impatto reputazionale sulle imprese vittime di data breach, spingono le imprese a destinare quote consistenti del budget di cybersecurity proprio alla protezione dei dati. Possiamo asserire che la protezione dei dati è percepita come l’ambito più esposto a responsabilità legale e danni di immagine e pertanto necessita di protezione adeguata”, spiega Paganini.
A stridere è soprattutto la scarsa priorità assegnata alla formazione del personale, la cui spesa a stento raggiunge il 5% dei budget.
Sfugge il senso della protezione quasi compulsiva del dato in assenza di un’adeguata istruzione impartita a chi, in definitiva, i dati li usa, li modifica e li genera: “Investire principalmente nella protezione dei dati senza affiancare un’adeguata formazione del personale e solide pratiche di governance è un grave errore e paradossalmente espone l’azienda a maggiori rischi a causa della erronea percezione del livello di sicurezza e resilienza conseguito. Le persone restano l’anello debole della catena di sicurezza: senza un’adeguata e continua formazione, anche i sistemi più avanzati sono vulnerabili a errori umani, attacchi di social engineering o uso improprio. Inoltre, una compliance debole rende difficile tradurre i requisiti normativi in pratiche operative efficaci. L’equilibrio tra componente tecnologia, componente umana e processi è fondamentale per una corretta postura di cyber sicurezza”, conclude l’esperto.
Stando ai dati (approssimativi), le grandi imprese tendono a un comportamento diverso da quello suggerito da Microsoft che raccomanda di edificare sistemi di cybersecurity mettendo la formazione al centro.
