Cos'è un vettore di attacco?

Un vettore di attacco è un percorso o un metodo attraverso il quale gli hacker ottengono l'accesso non autorizzato ai sistemi bersaglio per commettere un attacco informatico. Tra i vettori di attacco più comuni rientrano gli attacchi di ingegneria sociale, le minacce interne e le compromissioni della supply chain.

Insieme, i vettori di attacco di un'organizzazione (noti anche come vettori di minaccia) e le sue vulnerabilità in fatto di cybersecurity costituiscono la sua superficie di attacco. Le superfici di attacco si sono ampliate man mano che le aziende hanno iniziato a impegnarsi nella trasformazione digitale, ad esempio con l'adozione dell'intelligenza artificiale (AI), la migrazione al cloud e dei data center, l'uso dei dispositivi Internet of Things e l'aggiunta del lavoro da remoto. Con così tanti asset che ormai fanno parte di panorami tecnologici sempre più complessi e decentralizzati, i criminali informatici hanno a disposizione più punti di accesso attraverso cui infiltrarsi nelle reti e nei sistemi operativi.

Nel frattempo, anche la portata e la sofisticatezza dei vettori di attacco si sono evolute. Gli attori delle minacce sfruttano le tecnologie più recenti come l'AI per manipolare gli utenti e eludere le misure di sicurezza convenzionali.

Fortunatamente, i team di sicurezza aziendale possono utilizzare le discipline di cybersecurity come la gestione della superficie di attacco (ASM) per contrastare questi hacker. L'ASM aiuta le organizzazioni a identificare i potenziali metodi di attacco e a difendersi dai vettori di attacco, due passaggi chiave per mitigare il rischio di cybersecurity.

In epidemiologia, i vettori sono agenti che trasmettono malattie infettive. Possono variare dagli esseri viventi (zanzare, pipistrelli) agli oggetti inanimati (siringhe, banconote).¹ La comprensione di questi vettori orienta gli sforzi di prevenzione e trasmissione delle malattie nel campo della salute pubblica.

Allo stesso modo, una comprensione della versatilità dei vettori di attacco informatico aiuta le organizzazioni (e i professionisti della cybersecurity che lavorano con loro) a ideare e distribuire strategie e strumenti per la correzione e il rilevamento delle minacce informatiche.

Senza tali azioni di rilevamento e correzione, potrebbero verificarsi gravi conseguenze. Spesso i vettori di attacco favoriscono le violazioni dei dati, in cui gli attori delle minacce ottengono l'accesso a informazioni sensibili o riservate.

Secondo il rapporto Cost of a Data Breach 2025 di IBM®, il costo medio di una violazione dei dati è di 4,44 milioni di USD. I costi derivano dalle indagini e dagli audit sulle violazioni, dalla segnalazione di violazioni a clienti, regolatori e stakeholder, dagli accordi e le spese legali, e dai clienti persi. Gli incidenti tendono a essere particolarmente costosi nei settori altamente regolamentati, dove le violazioni dei dati possono comportare sanzioni normative. Ad esempio, secondo il rapporto IBM, il costo medio di una violazione dei dati sanitari nel 2025 è stato di 7,42 milioni di dollari.

I vettori di attacco possono anche essere distribuiti dagli hacker per disabilitare o distruggere gli asset, causando significativi imprevisti commerciali ed economici. Nel settembre 2025, ad esempio, un attacco informatico ai sistemi di check-in degli aeroporti ha causato cancellazioni di voli e ritardi negli aeroporti delle principali città europee. All'inizio dello stesso mese, un attacco informatico ha costretto una grande casa automobilistica britannica a un arresto di settimane.

Similmente agli agenti patogeni che mutano, il panorama delle minacce informatiche si sta evolvendo. Ad esempio, due decenni fa, il vettore di attacco responsabile di circa la metà delle violazioni dei dati era un dispositivo perso o rubato, come un laptop o una chiavetta USB. Oggi, il furto di dispositivi rappresenta meno del 10% di tutte le violazioni dei dati, con una serie di altri vettori (dal phishing alla compromissione delle supply chain) implicati nella parte restante, secondo il Report Cost of a Data Breach 2025 di IBM.

I criminali informatici stanno utilizzando nuove tecnologie per semplificare il loro approccio ai vettori. Ad esempio, stanno sempre più impiegando l'AI per creare email e pagine web di phishing convincenti, tra le altre attività ingannevoli. Secondo il report IBM Cost of a Data Breach 2025, in media il 16% delle violazioni dei dati ha coinvolto attacchi con l'uso dell'AI, più spesso per attacchi di phishing generati dall'AI (37%) e attacchi di impersonificazione tramite deepfake (35%).

Gli hacker navigano anche nel dark web per acquistare software crime as a service (CaaS) e supportare attività di criminalità informatica che vanno dall'uso di spyware al cracking delle password. Dotati di strumenti avanzati, "gli avversari informatici dalle forme mutevoli ottengono un maggiore accesso, si muovono più facilmente nelle reti e creano nuovi avamposti in relativa oscurità", secondo l'IBM X-Force Threat Intelligence Index 2025.

Il monitoraggio dei vettori di attacco in evoluzione degli autori delle minacce può aiutare le aziende a contrastarli. "Più sai cosa stanno facendo gli hacker, migliore è il lavoro che puoi fare nella costruzione delle difese", ha spiegato Jeff Crume, un Security Distinguished Engineer di IBM, in un recente video sulla tecnologia IBM. "L'informazione è potere."

Sebbene diverse organizzazioni classifichino i vettori di attacco in modi diversi, le categorie comuni includono:

• Ingegneria sociale
• Compromissione di fornitori esterni e supply chain
• Denial-of-service
• Credenziali compromesse
• Minacce interne
• Sfruttamento delle vulnerabilità
• Malware
• Attacchi fisici

Gli attacchi di ingegneria sociale manipolano le persone facendogli credere di comunicare con qualcuno di fidato e le convincono a compromettere la sicurezza dei loro dati personali (password bancarie, numeri di carte di credito) o asset (informazioni proprietarie, segreti commerciali).  

Uno degli attacchi di ingegneria sociale più comuni è il phishing, che comporta l'uso di e-mail, messaggi di testo, telefonate o siti web fraudolenti. Nel Report Cost of a Data Breach 2025 di IBM, il phishing è stato classificato come il vettore più comune per le violazioni dei dati, rappresentando il 16% delle violazioni a un costo medio di 4,8 milioni di USD per attacco. Spesso gli attacchi di phishing comportano lo spoofing, in cui un hacker maschera i propri indirizzi e-mail o altri metodi di comunicazione per impersonare una fonte attendibile.

Gli hacker cercano di infiltrarsi nei fornitori terzi per accedere ai loro partner, il che rende la supply chain un bersaglio popolare per gli attacchi informatici. Gli ecosistemi delle supply chain moderne sono sempre più vulnerabili, per via dei loro sistemi digitali e delle tecnologie di comunicazione, che creano una vasta superficie di attacco.

Gli attacchi informatici alla supply chain possono arrestare la produzione, interrompere i trasporti e la logistica, danneggiare le infrastrutture critiche, rubare la proprietà intellettuale e altro ancora. Secondo il Report Cost of a Data Breach 2025 di IBM, la compromissione della supply chain è il secondo vettore più diffuso per le violazioni dei dati e il secondo più costoso in media, con un costo di 4,91 milioni di USD per attacco.

Gli attacchi contro le supply chain software, in particolare, hanno suscitato una crescente preoccupazione, poiché sempre più aziende si affidano a software open source per i loro sistemi informatici. Secondo uno studio, le minacce alla supply chain derivanti dai repository di pacchetti open source sono aumentate del 1.300% in tre anni.²

Gli attacchi DoS (Denial-of-Service) sono attacchi informatici che rallentano o fermano applicazioni o servizi. Il più delle volte, gli incidenti DoS si manifestano come hacker che inondano di traffico un server di rete, sovraccaricando infine il server e impedendogli di elaborare le richieste legittime. Secondo il Report Cost of a Data Breach 2025 di IBM, gli attacchi denial-of-service hanno rappresentato oltre il 12% delle violazioni dei dati.

Un potente tipo di attacco DoS (Denial-of-Service) è un attacco distributed denial-of-service (DDoS). In un attacco DDoS, il traffico d'attacco proviene da più fonti contemporaneamente, rendendo potenzialmente più difficile il riconoscimento e la difesa. Gli attacchi DDoS sono spesso effettuati tramite botnet, che sono gruppi di dispositivi connessi che gli hacker hanno dirottato per le loro attività criminali.

Gli attacchi con credenziali compromesse si verificano quando gli hacker ottengono l'accesso non autorizzato a un sistema tramite le credenziali di accesso degli utenti legittimi, come nomi utente e password. Secondo l'IBM X-Force Threat Intelligence Index, il 30% degli attacchi informatici comprende il furto o l'uso improprio di account validi.

Gli hacker hanno opzioni diverse per lanciare gli attacchi con credenziali compromesse. Ad esempio, possono utilizzare credenziali utente rubate rivelate durante precedenti violazioni dei dati o distribuire phishing per convincere le vittime a condividere le credenziali. Possono anche utilizzare attacchi di brute force, che sfruttano la potenza di calcolo e l'automazione per dedurre le password tramite tentativi ed errori, con le password deboli che generalmente risultano più facili da individuare.

Le minacce interne sono minacce alla sicurezza informatica che hanno origine da utenti autorizzati, quali dipendenti, appaltatori e partner commerciali, che intenzionalmente o accidentalmente abusano del loro accesso legittimo o che subiscono la violazione dei loro account da parte di criminali informatici.

Esistono vari tipi di minacce interne, inclusi insider malevoli (dipendenti scontenti con intenzione di vendetta), insider negligenti (dipendenti che involontariamente creano minacce alla sicurezza per ignoranza o negligenza) e insider compromessi (dipendenti a cui vengono rubate le credenziali).

Secondo il Report Cost of a Data Breach 2025 di IBM, gli attacchi con insider malevoli si distinguono come la causa più costosa delle violazioni dei dati tra tutti i vettori di attacco, con 4,92 milioni di dollari per incidente.

Lo sfruttamento delle vulnerabilità si verifica quando gli attori delle minacce interni o esterni sfruttano le debolezze di sicurezza nell'ambiente digitale di un'organizzazione. Secondo l'X-Force Threat Intelligence Index, lo sfruttamento delle vulnerabilità nelle applicazioni rivolte al pubblico è uno dei principali vettori di attacco informatico.

Alcuni esempi di vulnerabilità includono:

• Software senza patch: punti deboli della sicurezza che si verificano quando non sono state eseguite le patch (l'applicazione di aggiornamenti software).
  
  
• Configurazioni errate: porte di rete, canali, punti di accesso wireless, firewall o protocolli configurati in modo improprio fungono da punti di ingresso per gli hacker.
  
  
• Vulnerabilità delle porte aperte: gli hacker utilizzano le debolezze degli endpoint di comunicazione di rete.
  
  
• Vulnerabilità di SQL injection: gli hacker utilizzano query appositamente progettate per accedere ai dati.
  
  
• Cross-site scripting (XSS): un'applicazione web gestisce in modo improprio l'input dell'utente, consentendo agli hacker di iniettare script dannosi nelle pagine web.

Nonostante l'esistenza di cataloghi di vulnerabilità di sicurezza come l'elenco Common Vulnerabilities and Exposures (CVE), molte vulnerabilità rimangono sconosciute e non vengono risolte. Tali debolezze di sicurezza sono chiamate vulnerabilità zero-day, perché un fornitore di software o di dispositivi non ha giorni a disposizione per effettuare le correzioni del difetto prima che gli attori malevoli possano sfruttarlo. Gli attacchi che ne derivano sono noti come attacchi zero-day.

Sebbene il malware, o software dannoso, sia spesso una componente di altri vettori di attacco (come l'ingegneria sociale o le compromissioni delle supply chain), può anche essere considerato una categoria di vettore a sé stante. Nel 2024, il ransomware ha rappresentato la quota più alta dei casi di malware (28%), secondo l'IBM X-Force Threat Intelligence Index.

Altri esempi di malware includono i malware di accesso remoto (che forniscono accesso remoto agli hacker), trojan horse (programmi dannosi mascherati da programmi utili) e spyware (programmi che raccolgono informazioni sensibili e le inviano agli hacker).

Il malware Infostealer, che è progettato per rubare informazioni preziose, è una minaccia crescente nel settore. Secondo l'X-Force Threat Intelligence Index, il numero di infostealer ricevuti settimanalmente tramite e-mail di phishing è aumentato dell'84%.

Sebbene gli hacker abbiano a disposizione un'ampia gamma di strumenti digitali, le intrusioni fisiche rimangono una vera preoccupazione nella cybersecurity. Per esempio, gli hacker possono falsificare i badge, impersonare i fornitori o seguire una persona autorizzata nell'area sicura di un'azienda (una pratica nota come tailgating). Da lì, possono rubare laptop e altri dispositivi, scaricare malware o lasciare unità USB cariche di malware in ufficio (in modo che i dipendenti curiosi colleghino le unità e carichino inavvertitamente il malware da soli).

Secondo il Report Cost of a Data Breach 2025 di IBM, il furto fisico o i problemi di sicurezza costano alle organizzazioni in media più di 4 milioni di dollari per incidente.

Spesso gli attacchi informatici comprendono due o più vettori di attacco. Ad esempio, gli hacker potrebbero usare il phishing per ingannare un utente e spingerlo a effettuare il download del ransomware sul proprio computer. Poi, l'hacker potrebbe minacciare di effettuare un attacco DDoS se la vittima non paga il riscatto richiesto. Oppure, potrebbe sfruttare una vulnerabilità nel sistema di un fornitore per accedere ai sistemi dei clienti (un attacco di compromissione della supply chain) e iniettare codice malevolo in quei sistemi per cercare le credenziali che gli hacker possono poi usare per esfiltrare dati.

Un altro modo di classificare i vettori consiste nel suddividerli in due gruppi: passivi o attivi.

I criminali informatici utilizzano i vettori di attacco passivi per ottenere l'accesso alle informazioni senza alterare il sistema. Un esempio di vettore di attacco passivo potrebbe essere una rete Wi-Fi priva di crittografia e quindi vulnerabile alle intercettazioni da parte degli hacker.

Invece, gli hacker utilizzano i vettori di attacco attivi per ottenere il controllo, causare interruzioni o impattare i sistemi in qualche altro modo. I vettori di attacco attivi includono gli attacchi denial-of-service e gli attacchi ransomware.

A volte, la delimitazione tra ciò che costituisce un vettore di attacco attivo e ciò che costituisce uno passivo non è netta. Ad esempio, il phishing potrebbe essere considerato un vettore di attacco passivo quando viene utilizzato esclusivamente per ottenere informazioni da un bersaglio senza alterarne il sistema. Tuttavia, il phishing che induce la vittima a scaricare un ransomware su un sistema potrebbe essere considerato un vettore di attacco attivo.

Sebbene i professionisti della cybersecurity abbiano a disposizione una varietà di strumenti e strategie, la gestione della superficie di attacco (ASM) è particolarmente importante per affrontare i potenziali vettori di attacco. A differenza di altre discipline della cybersecurity, l'ASM viene condotta dal punto di vista di un hacker, valutando un sistema per capire se ci siano opportunità che potrebbero risultare allettanti per un criminale informatico.

L'ASM è composta da quattro processi fondamentali: