Gli avversari di oggi sono più diversificati, specializzati e aggressivi che mai, e combinano risorse degli stati nazionali, innovazione nel campo della criminalità informatica e opportunismo degli hacktivisti. I loro playbook sono in continua evoluzione e nuovi gruppi e alleanze si uniscono agli attori legacy per minacciare le infrastrutture critiche in tutto il mondo.

Gli attori delle minacce che cercano di causare interruzioni operative prendono di mira uno spettro ristretto di vulnerabilità, colpendo prevalentemente dispositivi rivolti al perimetro come concentratori VPN, gateway desktop remoti e convertitori di protocolli OT. Questi CVE, una volta armati, forniscono agli attaccanti l'esecuzione remota del codice non autenticato, il controllo a livello radice dei dispositivi e spesso consentono il bypass diretto dei meccanismi legacy di autenticazione e controllo degli accessi. L'impatto operativo è amplificato dal fatto che molte di queste vulnerabilità rimangono senza patch negli ambienti critici a causa dei requisiti di operatività dei dispositivi, dei ritardi nelle patch dei fornitori o delle lacune nella visibilità degli asset.

Inoltre, la convergenza tra IT e OT, la proliferazione di strumenti di gestione remota e l'integrazione con fornitori terzi hanno creato nuove vie laterali per gli attaccanti. I partner compromessi della supply chain o gli integratori terzi sono utilizzati come punti di ingresso affidabili; i servizi di accesso remoto dei fornitori esposti e i firewall mal configurati erodono ulteriormente la segmentazione statica. Gli avversari sfruttano ponti IT/OT affidabili, dispositivi sul campo non sicuri e persino laptop di manutenzione per ottenere accesso diretto alle reti di controllo dei processi e ai sistemi di sicurezza. Questa superficie di attacco in evoluzione rende insufficienti i modelli di sicurezza perimetrali legacy, sottolineando la necessità del monitoraggio dinamico della rete, della scoperta continua degli asset e di un'architettura informata sulle minacce.

I dati dell'X-Force Vulnerability Database indicano che sono state divulgate 670 vulnerabilità nel primo semestre del 2025 che potrebbero avere un impatto sugli ambienti OT e di queste, l'11% ha un indice di gravità CVSS "critico" (punteggio CVSS compreso tra 9,0 e 10,0). Inoltre, un quinto (21%) delle vulnerabilità critiche contiene codice di exploit pubblicamente disponibile.