L’Identity-First Intrusion sfrutta credenziali rubate e token validi per muoversi nelle reti aziendali senza malware.
Sin dagli albori della sicurezza informatica, si è concepita la propria difesa basandosi sulla difesa di un determinato perimetro. Il firewall difende il limite, mentre gli EDR proteggono i dispositivi finali, rilevando e prevenendo qualsiasi tentativo di attacco. In questa visione si presuppone che un attaccante intenzionato ad accedere, debba necessariamente sfondare il perimetro e lasciare tracce riconoscibili. Tuttavia, le cose sono cambiate a partire dal 2025, quando l’Identity-First Intrusion ha preso piede.
Grazie a questo metodo, un attaccante non sfrutta malware, o vulnerabilità intrinseche a un software: gli basta autenticarsi con credenziali valide. Attraverso token OAuth legittimi, o account di servizio regolari, è possibile accedere alla rete aziendale interna esattamente come se si trattasse di dipendenti veri e propri. Le difese tradizionali non intervengono, perché non esiste alcuna anomalia.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è l’Identity-First Intrusion
Con Identity-First Intrusion si intende una categoria di attacchi in cui l’accesso iniziale, il movimento laterale e la persistenza avvengono sfruttando identità compromesse piuttosto che vulnerabilità tecniche. L’attaccante non ha bisogno di un exploit, di un malware, né di aggirare alcun firewall. Gli occorrono solo credenziali valide e sapere come sfruttarle a proprio vantaggio.
A differenza di un attacco tradizionale, in cui le tracce del proprio passaggio sono abbastanza evidenti, l’Identity-First Intrusion non produce alcun segnale anomalo. Questo perché si autentica con credenziali legittime e usa applicazioni aziendali autorizzate. In questo modo, il suo traffico è indistinguibile da quello di un utente reale perché, dal punto di vista dei sistemi di sicurezza, lo è. Nel CrowdStrike 2026 Global Report, l’attacco è stato descritto:
Nel 2025, l’elusione è stata definita dalla velocità con cui gli attccanti sfruttano la fiducia.
La logica alla base non riguarda il solo account utente, ma si estende ai token OAuth, agli account di servizio, alle API key e alle identità macchina che governano automazioni. Tra queste ultime rientrano le pipeline CI/CD e integrazioni tra applicazioni SaaS. Per cui, com’è facile intuire, ogni singola identità con accesso alle risorse aziendali è un potenziale vettore di compromissione.
Come funziona un’intrusione identity-first
La catena di un’intrusione Identity-First non segue il profilo classico dell’attacco informatico, poiché tutto comincia con la raccolta delle credenziali. I cybercriminali fanno ricorso a diversi metodi per ottenerle, tra cui:
- Infostealer distribuiti tramite phishing o SEO Poisoning
- Marketplace sul dark web dove gli access broker rivendono accessi già validati
- Campagne di credential stuffing su portali esposti
- Tecniche come il ConsentFix per sottrarre token OAuth senza mai toccare la password.
Una volta in possesso di credenziali valide, l’attaccante le verifica su VPN, portali di accesso remoto e applicazioni SaaS fino a trovare un accesso attivo.
Accesso iniziale
L’accesso iniziale avviene con un login regolare, da un IP che potrebbe essere anonimizzato tramite VPN commerciale o residenziale per apparire geograficamente plausibile. Da quel momento, il movimento laterale sfrutta le stesse applicazioni che l’organizzazione usa ogni giorno: SharePoint, Teams, OneDrive, o Outlook. I token OAuth ottenuti attraverso una prima autenticazione vengono usati per accedere ad altri servizi nell’ambiente, sfruttando i meccanismi di fiducia tra applicazioni SaaS integrate. Le non-human identities, account di servizio e API key con permessi spesso eccessivi e mai ruotati, vengono usate per espandere l’accesso verso sistemi che non sarebbero raggiungibili con le sole credenziali utente.
Persistenza nella rete ed esfiltrazione di dati
Durante la fase finale dell’attacco, il criminale stabilisce accessi API persistenti, crea nuove integrazioni OAuth autorizzate e imposta regole di inoltro e-mail che continuano a operare anche dopo un reset della password. I dati vengono esfiltrati attraverso canali legittimi, come upload su storage cloud, inoltro email, o chiamate API verso applicazioni esterne già autorizzate. Dai log di sistema, l’intera sequenza appare come normale attività utente.
Il ruolo degli infostealer e del mercato delle credenziali
Gli infostealer sono il motore che alimenta le intrusioni Identity-First. Si tratta di malware progettati per raccogliere in modo silenzioso tutto ciò che un dispositivo contiene in termini di identità digitali: cookie di sessione, password salvate nel browser, token di autenticazione, chiavi SSH, credenziali di applicazioni aziendali. Prodotti come Lumma Stealer, Vidar e Redline vengono distribuiti su scala industriale attraverso campagne di SEO Poisoning e siti di download compromessi. Tutto ciò che sottraggono, finisce su marketplace underground dove gli access broker lo acquistano, lo verificano e lo rivendono suddiviso per organizzazione, ruolo e livello di accesso.
Secondo i dati di CrowdStrike, il volume di annunci degli access broker è cresciuto del 50% anno su anno. Il mercato è diventato un ecosistema con prezzi differenziati in base alla qualità dell’accesso, dove un account di un dipendente ordinario vale pochi dollari, mentre un account amministrativo in un’organizzazione di rilievo può arrivare a migliaia. Questo mercato abbassa drasticamente la barriera d’ingresso per chiunque voglia condurre un’intrusione Identity-First, in quanto è sufficiente acquistare l’accesso già pronto.
Un fronte che viene sistematicamente sottovalutato è quello delle Non-Human Identities (NHI). Account di servizio, API key, token di automazione e credenziali di pipeline CI/CD sono identità a tutti gli effetti, con permessi spesso più ampi di quelli degli utenti umani, raramente monitorate e quasi mai soggette a rotazione delle credenziali. Il report CyberArk 2025 State of Machine Identity Security ha documentato che il 50% delle organizzazioni ha subito una violazione legata a identità macchina compromesse nell’arco dell’anno precedente.
Come difendersi dall’Identity-First Intrusion
Un EDR non rileva un login anomalo e un antivirus non blocca un token OAuth abusato. Le misure più efficaci contro le intrusioni Identity-First operano su un livello che la sicurezza tradizionale non copre. Esistono, quindi, delle best practices da applicare per difendersi da questa minaccia.
- Adottare una soluzione ITDR (Identity Threat Detection and Response).
L’ITDR è la risposta specifica alla minaccia identity-first: analizza in tempo reale i log di autenticazione, i pattern di accesso e i comportamenti degli account per rilevare anomalie che i sistemi EDR tradizionali non intercettano. Login da posizioni geograficamente incoerenti, accessi a orari insoliti, escalation improvvisa dei permessi e uso anomalo di account di servizio sono tutti segnali che un sistema ITDR è progettato per correlare e segnalare. - Implementare l’MFA phishing-resistant.
L’MFA tradizionale basata su SMS o app TOTP non è sufficiente contro le tecniche di bypass documentate nel 2025, tra cui AiTM phishing, ConsentFix e SIM swapping. Le soluzioni basate su passkey o chiavi hardware FIDO2 eliminano la possibilità di intercettare il secondo fattore, perché il processo di autenticazione è legato al dispositivo fisico e al dominio specifico. - Gestire attivamente le Non-Human Identities.
Ogni API key, token di servizio e credenziale di automazione deve essere censita, soggetta a rotazione periodica e vincolata al principio del privilegio minimo. Gli account di servizio con permessi da amministratore di dominio mai usati da mesi sono bersagli privilegiati che nessun attaccante si lascia sfuggire. - Monitorare token OAuth e integrazioni SaaS.
Le autorizzazioni OAuth concesse a applicazioni di terze parti devono essere verificate periodicamente. Un’integrazione OAuth abbandonata con accesso a email e calendari è una porta aperta che sopravvive a qualsiasi reset della password. - Adottare una strategia Zero Trust sull’identità.
Il modello Zero Trust applicato all’identità significa che nessuna autenticazione, anche riuscita, viene considerata sufficiente da sola. Ogni richiesta di accesso viene valutata in base al contesto: dispositivo, posizione, ora, comportamento storico. Se il contesto è anomalo, l’accesso viene bloccato o sottoposto a verifica aggiuntiva, indipendentemente dalla validità delle credenziali presentate.
In conclusione
In base a quanto discusso, l’Identity-First Intrusion ha cambiato il modo in cui gli attaccanti operano all’interno delle reti aziendali. Qualsiasi modello che consideri un’autenticazione riuscita come garanzia di sicurezza, viene superato facilmente, ingannandolo proprio in ciò per cui è progettato. Ecco perché oggi non è più sufficiente investire solo nella protezione dell’accesso.
Occorre sviluppare la capacità di vedere cosa succede dopo, monitorare come vengono usate le identità una volta dentro e trattare ogni comportamento anomalo come un segnale da investigare. La domanda che ogni organizzazione dovrebbe porsi non è se le proprie credenziali siano al sicuro, ma cosa succederebbe se non lo fossero già da un po’.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.