{"id":147754,"date":"2021-05-12T13:51:49","date_gmt":"2021-05-12T13:51:49","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/interrompere-catene-di-attacchi-informatici\/"},"modified":"2026-01-09T11:57:03","modified_gmt":"2026-01-09T11:57:03","slug":"interrompere-catene-di-attacchi-informatici","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/interrompere-catene-di-attacchi-informatici\/","title":{"rendered":"Interrompere catene di attacchi informatici con 5 strumenti"},"content":{"rendered":"<div class=\"in-context-cta\"><h2 style=\"margin-top: 0px;\">Punti chiave<\/h2>\n<h3>Interrompere catene di attacchi informatici con 5 strumenti integrati di Windows<\/h3>\n<ul>\n<li><strong>Gli strumenti di Windows possono essere utilizzati contro le catene di attacchi informatici<\/strong>: Questo approccio sfrutta cinque strumenti nativi di Windows: RDP Gateway, regole ASR, Windows Firewall, PowerShell e Autoruns per difendersi dalle varie fasi della catena di attacchi informatici.<\/li>\n<li><strong>Come gli strumenti integrati interrompono la catena di attacchi informatici:<\/strong>\u00a0Ogni strumento pu\u00f2 intervenire direttamente in una o pi\u00f9 fasi della catena di attacchi informatici: RDP Gateway e ASR impediscono l&#8217;accesso iniziale; Windows Firewall blocca gli spostamenti laterali; PowerShell consente il rilevamento precoce; Autoruns risolve il problema della persistenza.<\/li>\n<li><strong>Chi trae i maggiori vantaggi dall&#8217;uso degli strumenti Windows integrati:<\/strong>\u00a0Per i team pi\u00f9 piccoli o gli ambienti distribuiti, queste funzionalit\u00e0 integrate offrono una protezione di livello enterprise con un investimento minimo di risorse.<\/li>\n<li><strong>Maggiore protezione per gli MSP e i team IT enterprise:<\/strong>\u00a0Gli MSP, i team IT e le aziende attente alla sicurezza possono utilizzare questi strumenti con maggiore efficienza, valutando la possibilit\u00e0 di implementare l&#8217;automazione o la gestione centralizzata attraverso piattaforme come NinjaOne.<\/li>\n<\/ul>\n<\/div>\n<p>I cyberattacchi non cessano mai di evolversi e quindi le difese IT e i fornitori di servizi sono sempre impegnati a trovare modi per intercettare ed eliminare le minacce. Il report\u00a0<a href=\"https:\/\/news.sophos.com\/en-us\/2025\/06\/24\/the-state-of-ransomware-2025\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\">State of Ransomware 2025 di Sophos<\/a>\u00a0rivela che il 59% delle organizzazioni che hanno partecipato all&#8217;indagine \u00e8 stato colpito quest&#8217;anno, con un costo medio di recupero che ha raggiunto la cifra impressionante di 2,73 milioni di dollari, senza contare i tempi di inattivit\u00e0 e altre perdite di produzione.<\/p>\n<p>Su larga scala, le soluzioni di\u00a0<strong>sicurezza degli endpoint\u00a0<\/strong>sono probabilmente in prima linea nella lotta a questi attacchi, soprattutto quando i colpevoli cercano vulnerabilit\u00e0 in strumenti di uso quotidiano come PowerShell, Windows Explorer e attivit\u00e0 automatizzate per distruggere gli obiettivi. Non c&#8217;\u00e8 da stupirsi se il report\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/ninjaone-inserita-nella-lista-security-100-per-il-2025-di-crn\/\">Security 100 2025 di CRN<\/a>\u00a0enfatizza la protezione e il rilevamento degli endpoint come capacit\u00e0 fondamentali per la classificazione dei fornitori di cybersecurity e gestione IT.<\/p>\n<p>Ma cosa rende\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-la-sicurezza-degli-endpoint-e-come-funziona\/\">affidabile un sistema di sicurezza degli endpoint<\/a>\u00a0per le aziende? Per cominciare, le organizzazioni possono utilizzare vari strumenti per proteggersi da una\u00a0<strong>catena di attacchi informatici<\/strong>\u00a0o\u00a0<a href=\"https:\/\/www.microsoft.com\/en-us\/security\/business\/security-101\/what-is-cyber-kill-chain\" target=\"_blank\" rel=\"noopener\">cyber kill chain<\/a>, un concetto adattato che spiega come gli aggressori possono infiltrarsi, sfruttare e persistere in un ambiente di riferimento. Questo quadro fornisce vari modi per interrompere la &#8220;catena&#8221; in determinate fasi, che potrebbero bloccare l&#8217;attacco del tutto o contenere i danni.<\/p>\n<p>Detto questo, la gestione di diversi strumenti senza una\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/getstione-it-unificata-cosa-sono-perche-importanti\/\">piattaforma di gestione IT unificata<\/a>\u00a0o dedicata richieder\u00e0 sforzi e risorse significative. Ma se sei desideroso di costruire le basi, ecco cinque soluzioni Windows integrate che possono essere utilizzate per spezzare le moderne catene di attacchi informatici.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Con NinjaOne puoi controllare la distribuzione degli script e l&#8217;automazione dei criteri per ridurre la superficie di attacco.<\/p>\n<p style=\"text-align: center;\">\ud83d\udcd6 <a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/automazione-degli-script\/\" target=\"_blank\" rel=\"noopener\">Padroneggia l\u2019automazione tramite script con NinjaOne<\/a><\/p>\n<\/div>\n<h2>Che cos&#8217;\u00e8 una catena di attacchi informatici?<\/h2>\n<p>Sviluppata da Lockheed e Martin, la cyber kill chain \u00e8 un quadro sistematico che delinea i passi che i criminali informatici compiono quando effettuano attacchi informatici alle organizzazioni. La comprensione della Cyber Kill Chain aiuta le organizzazioni a sviluppare solide misure di sicurezza in ogni fase di un attacco.<\/p>\n<h2>Cinque strumenti integrati in Windows per bloccare le catene di attacchi informatici<\/h2>\n<p>Ecco una panoramica di come\u00a0<strong>RDP Gateway<\/strong>,\u00a0<strong>regole ASR<\/strong>,\u00a0<strong>Windows Firewall<\/strong>,\u00a0<strong>PowerShell<\/strong> e\u00a0<strong>Autoruns<\/strong>\u00a0possono essere utilizzati nelle diverse fasi di un cyberattacco (accesso iniziale, furto di credenziali, movimento laterale, persistenza ed esecuzione del payload):<\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<p style=\"text-align: center;\"><strong>Strumento consigliato per Windows<\/strong><\/p>\n<\/td>\n<td style=\"text-align: center; vertical-align: middle;\">\n<p style=\"text-align: center;\"><strong>Attacchi comuni bloccati o contenuti<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>Gateway RDP<\/td>\n<td><strong>Accesso iniziale<\/strong>\u00a0: Previene gli attacchi RDP brute-force ed espone RDP in modo sicuro invece che direttamente a Internet.<\/td>\n<\/tr>\n<tr>\n<td>Regole per la riduzione della superficie di attacco (regole ASR)<\/td>\n<td>\u2022\u00a0<strong>Accesso iniziale<\/strong>\u00a0: Blocca le impostazioni deboli di Office\/Adobe\/email.<\/p>\n<p>\u2022\u00a0<strong>Furto di credenziali<\/strong>\u00a0: Blocca il dumping di lsass.exe.<\/p>\n<p>\u2022\u00a0<strong>Movimento laterale<\/strong>\u00a0: Attenua l&#8217;abuso di WMI\/PsExec.<\/p>\n<p>\u2022\u00a0<strong>Persistenza<\/strong>\u00a0: Monitora le sottoscrizioni agli eventi WMI.<\/p>\n<p>\u2022\u00a0<strong>Esecuzione dei payload<\/strong>\u00a0: Blocca gli script dannosi e i ransomware.<\/td>\n<\/tr>\n<tr>\n<td>Firewall di Windows<\/td>\n<td>\u2022\u00a0<strong>Consegna\/accesso iniziale<\/strong>\u00a0: Limita le connessioni in entrata (per esempio la porta 3389 per RDP).<\/p>\n<p>\u2022\u00a0<strong>Movimento laterale<\/strong>\u00a0: Blocca il traffico di rete interno non richiesto.<\/td>\n<\/tr>\n<tr>\n<td>PowerShell<\/td>\n<td><strong>Rilevamento\/audit<\/strong>\u00a0: Registra e monitora i segni di forza bruta, gli accessi remoti sospetti e gli script.<\/td>\n<\/tr>\n<tr>\n<td>Autoruns<\/td>\n<td>\u2022\u00a0<strong>Persistenza<\/strong>\u00a0: Identifica e disattiva le voci di avvio automatico dannose (registro, servizi, attivit\u00e0 pianificate); blocca i meccanismi di persistenza.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Queste utility integrate in Windows possono essere la prima difesa contro varie minacce digitali. La loro configurazione dovrebbe essere piuttosto semplice, poich\u00e9 sono gi\u00e0 disponibili nella maggior parte degli ambienti.<\/p>\n<h3>1. Gateway RD: Mantenere la rete RDP sicura<\/h3>\n<p>Dato che RDP \u00e8 uno degli strumenti pi\u00f9 affidabili per la gestione degli endpoint remoti, soprattutto nelle reti IT distribuite, \u00e8 abbastanza comune che i malintenzionati tentino di sfruttarne le lacune.<\/p>\n<p>Fortunatamente, esiste un modo semplice per gestire questi rischi:<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/come-configurare-un-remote-desktop-gateway\/\">\u00a0configurando un gateway RD<\/a>. L&#8217;implementazione di questa strategia pu\u00f2 proteggere i sistemi interni dietro un tunnel sicuro. Quindi, pu\u00f2 essere abbinato a protezioni moderne come l\u2019<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-multifactor-authentication-mfa\/\">autenticazione a pi\u00f9 fattori (MFA)<\/a>, l&#8217;autenticazione a livello di rete e i criteri di accesso condizionale per deviare la catena di attacchi prima che inizi.<\/p>\n<p>Per controllare regolarmente la configurazione, puoi utilizzare strumenti di terze parti o funzionalit\u00e0 RMM come il\u00a0<a href=\"https:\/\/www.ninjaone.com\/docs\/endpoint-management\/cloud-monitors\/port-scan-monitor\/\">monitoraggio e la scansione delle porte di NinjaOne<\/a>\u00a0per verificare l&#8217;integrit\u00e0 delle connessioni di rete e dei protocolli di sicurezza.<\/p>\n<h3>2. Regole ASR: Bloccare gli exploit e ridurre al minimo l&#8217;esposizione<\/h3>\n<p>Ci sono molti modi per utilizzare le<a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/microsoft-defender-atp\/attack-surface-reduction\" target=\"_blank\" rel=\"noopener\">\u00a0regole ASR (Attack Surface Reduction) di Microsoft<\/a>.<\/p>\n<p>Come si evince dall&#8217;elenco, le regole ASR forniscono un&#8217;ampia copertura e affrontano molte tattiche tipiche in pi\u00f9 fasi della catena di attacco.<\/p>\n<p><a href=\"https:\/\/techcommunity.microsoft.com\/t5\/microsoft-defender-for-endpoint\/demystifying-attack-surface-reduction-rules-part-1\/ba-p\/1306420\" target=\"_blank\" rel=\"noopener\">Microsoft riconosce inoltre<\/a>\u00a0di aver creato regole ASR per proteggere le vulnerabilit\u00e0 comunemente attaccate. A sua volta, questo fornisce una protezione accessibile alle organizzazioni che si affidano a funzioni e programmi potenti, ma anche molto utilizzati come vettori d\u2019attacco, come le macro di Office, WMI, PsExec e altri ancora.<\/p>\n<p><strong>I requisiti per le regole ASR includono:<\/strong><\/p>\n<ul>\n<li>Windows 10, versioni 1709 e successive<\/li>\n<li>Microsoft Defender deve essere attivo (non in modalit\u00e0 passiva)<\/li>\n<li>Alcune regole richiedono che la protezione data dal cloud venga attivata<\/li>\n<\/ul>\n<p>Il problema delle regole ASR \u00e8 che Microsoft ha bloccato le funzioni ASR complete se non si possiedono delle licenze enterprise. In particolare, \u00e8 necessaria la licenza Office 365 E5 se si desidera l&#8217;integrazione completa di Defender for Endpoint, oltre a monitoraggio, avvisi e reportistica migliorati.<\/p>\n<p>Detto questo, la societ\u00e0 di software ha documentato che \u00e8 possibile utilizzare le regole ASR con una licenza Microsoft 365 Business<a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/microsoft-defender-atp\/attack-surface-reduction-faq#do-i-need-to-have-an-enterprise-license-to-run-asr-rules\" target=\"_blank\" rel=\"noopener\">, ma lo scenario non \u00e8 ufficialmente supportato<\/a>.<\/p>\n<p>Un&#8217;altra preoccupazione comune per le regole ASR \u00e8 il potenziale di falsi positivi e di avvisi che distraggono. Il team di sicurezza interno di Palantir ha scritto un post estremamente ponderato che illustra nel dettaglio<a href=\"https:\/\/medium.com\/palantir\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">\u00a0le proprie esperienze con ciascuna delle 15 regole ASR disponibili<\/a>. Il post include raccomandazioni su quali regole possono essere configurate in modo sicuro in modalit\u00e0 Blocco e quali \u00e8 meglio lasciare in modalit\u00e0 Controllo o disabilitare del tutto, a seconda degli ambienti.<\/p>\n<h3>3. Windows Firewall: Contenere le minacce e il traffico di rete<\/h3>\n<p>Il firewall di Windows \u00e8 uno strumento sottoutilizzato per affrontare le catene di attacchi informatici e pu\u00f2 costituire un&#8217;ottima aggiunta ai livelli di difesa in profondit\u00e0 di qualsiasi organizzazione.<\/p>\n<p>Ecco alcuni esempi di attivazioni di Firewall in ambienti gestiti:<\/p>\n<ul>\n<li>Creare regole in uscita per bloccare i protocolli legacy vulnerabili a livello di endpoint.<\/li>\n<li>Bloccare i protocolli di amministrazione in entrata non necessari (per esempio WinRM, RDP) tra i livelli di workstation, ad eccezione degli host di salto approvati.<\/li>\n<li>Utilizzare le regole GPO per limitare l&#8217;accesso a SMB, RDP e WinRM, impedendo agli aggressori di utilizzare credenziali rubate o strumenti come PsExec per spostarsi lateralmente.<\/li>\n<\/ul>\n<p>Inoltre, una delle sue funzionalit\u00e0 pi\u00f9 preziose \u00e8 quella di isolare i sistemi compromessi bloccando il traffico degli aggressori su SMB, un protocollo spesso sfruttato per il movimento laterale e l&#8217;elusione dell&#8217;MFA. \u00c8 anche un potente strumento per il monitoraggio e il controllo del traffico di rete, sia per i dispositivi personali sia su scala pi\u00f9 ampia con una corretta\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cos-e-la-configurazione-di-un-firewall\/\">configurazione di Windows Firewall<\/a>.<\/p>\n<h3>4. PowerShell: Implementazione e monitoraggio IT su larga scala<\/h3>\n<p>I casi d&#8217;uso discussi per i tre precedenti strumenti della catena di attacchi informatici hanno sfruttato le capacit\u00e0 di prevenzione di ciascuno strumento, dal rifiuto e dalla limitazione dell&#8217;accesso iniziale al blocco delle attivit\u00e0 dannose.<\/p>\n<p>Con PowerShell e il prossimo strumento, l&#8217;attenzione si concentra ulteriormente sul rilevamento e sulla risposta. Per esempio, PowerShell pu\u00f2 eseguire comandi per rilevare i tentativi di accesso falliti (<a href=\"https:\/\/infrasos.com\/what-is-event-id-4625-an-account-failed-to-log-on\/\" target=\"_blank\" rel=\"noopener\">ID evento 4625<\/a>), che in genere segnalano attacchi brute-force.<\/p>\n<p>Pu\u00f2 anche interrogare comportamenti sospetti o accessi remoti non autorizzati da strumenti come AnyDesk o TeamViewer. Allo stesso modo, la sua profonda integrazione nel sistema operativo pu\u00f2 essere sfruttata per identificare voci di avvio automatico e attivit\u00e0 pianificate sospette.<\/p>\n<p>Con un RMM puoi anche automatizzare le azioni di reporting e di correzione sui dispositivi gestiti.<\/p>\n<h3>5. Autoruns: Identificare gli avvii automatici dannosi e non corretti<\/h3>\n<p>Uno dei modi pi\u00f9 comuni con cui i malintenzionati possono ottenere la persistenza \u00e8 l&#8217;inserimento di script dannosi nel <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cos-e-il-registro-di-sistema-di-windows\/\">registro di Windows\u00a0<\/a>, spesso da eseguire al riavvio o quando viene attivata una scorciatoia o un file batch.<\/p>\n<p>Microsoft<a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/autoruns\" target=\"_blank\" rel=\"noopener\"> Autoruns <\/a>\u00e8 lo strumento ideale per mostrare quali programmi sono configurati per essere eseguiti durante l&#8217;avvio o il login. Per l&#8217;implementazione, ecco una guida su come\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/come-disabilitare-autorun-in-windows-con-powershell\/\">disabilitare l&#8217;autorun<\/a>\u00a0o utilizzarlo per ispezionare e identificare i programmi sospetti.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Proteggi la tua organizzazione dalle catene di attacchi informatici mantenendo i software aggiornati.<\/p>\n<p style=\"text-align: center;\">\u2192 <a href=\"https:\/\/www.ninjaone.com\/it\/gestione-patch\/\" target=\"_blank\" rel=\"noopener\">Scopri di pi\u00f9 su ci\u00f2 che NinjaOne Patch Management pu\u00f2 fare<\/a><\/p>\n<\/div>\n<h2>Aggiungere livelli di sicurezza e promuovere una risposta proattiva<\/h2>\n<p>Questi cinque strumenti non eliminano il rischio di ransomware. Tuttavia, contribuiranno senza dubbio a colmare le lacune delle vostre difese e a rendere le cose pi\u00f9 difficili per gli aggressori, eliminando le vulnerabilit\u00e0 pi\u00f9 evidenti.<\/p>\n<p>Sai come si dice: Qui la questione non \u00e8\u00a0<em>se\u00a0<\/em>affrontare un attacco, ma\u00a0<em>quando.\u00a0<\/em>A questo proposito, questi strumenti e altre\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/creare-una-moderna-strategia-di-cybersecurity\/\">moderne strategie di cybersecurity<\/a>\u00a0possono essere combinati per definire un approccio unificato e sostenibile contro le catene di attacchi informatici e i ransomware.<\/p>\n<p>Per un piano d&#8217;azione pi\u00f9 solido e accessibile, puoi utilizzare<a href=\"https:\/\/www.ninjaone.com\/it\/gestione-patch\/\">\u00a0NinjaOne Patch Management<\/a>\u00a0per rafforzare la sicurezza, automatizzare le attivit\u00e0 IT di routine e riservare pi\u00f9 risorse per avvisi da cui potrai poi intervenire.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I cyberattacchi non cessano mai di evolversi e quindi le difese IT e i fornitori di servizi sono sempre impegnati a trovare modi per intercettare ed eliminare le minacce. Il report\u00a0State of Ransomware 2025 di Sophos\u00a0rivela che il 59% delle organizzazioni che hanno partecipato all&#8217;indagine \u00e8 stato colpito quest&#8217;anno, con un costo medio di recupero [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":129397,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4367],"tags":[],"class_list":["post-147754","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=147754"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147754\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/129397"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=147754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=147754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=147754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}