Miti e il costo dell'attacco

Perché il costo è ancora importante nell'era dell'intelligenza economica

Due settimane fa, Anthropic ha annunciato il Progetto Glasswing e ha dato a un piccolo gruppo di partner di lancio, tra cui Microsoft, Google e CrowdStrike, insieme a circa quaranta altre organizzazioni di infrastrutture critiche, l'accesso anticipato a un modello chiamato Claude Mythos Preview. Anthropic ha detto che Mythos era troppo pericoloso per essere rilasciato pubblicamente. Nelle settimane precedenti l'annuncio, aveva già individuato migliaia di vulnerabilità zero-day in tutti i principali sistemi operativi e browser, incluso un bug di 27 anni in OpenBSD.¹ Il mercato ha reagito come fanno i mercati di fronte a notizie esistenziali: le azioni dei principali fornitori di cybersecurity sono scese fino al dieci percento per timore che la scoperta di vulnerabilità su scala AI renda merce il lavoro degli strumenti di sicurezza tradizionali.² Nello stesso giorno, il Segretario al Tesoro Bessent e il Presidente della Fed Powell hanno convocato i CEO delle più grandi banche statunitensi per discuterne.³

Quindi: Mythos è la fine dell'industria della cybersecurity, l'inizio di una nuova o un pezzo ben eseguito di PR di Anthropic? Penso che non sia nessuna di queste. Per capire perché, aiuta tornare indietro di vent'anni.

L'idea più antica nella difesa

A metà degli anni 2000 ero nel team di sicurezza della General Electric, a difesa di quello che allora era uno dei più grandi fornitori della base industriale della difesa del paese. Parlavamo costantemente di un’idea, e ha plasmato tutto ciò che facevamo: aumentare il costo di attaccarci.

Quell'idea apparteneva a una generazione di difensori, persone come i miei colleghi Richard Bejtlich e David Bianco, e il team Mandiant a cui mi sono unito in seguito, che sostenevano che la prevenzione perfetta fosse impossibile, ma che la difesa fosse comunque un gioco che potevi vincere se rendevi l'attacco abbastanza costoso da far desistere il tuo avversario e andare avanti.⁴ La Piramide del Dolore di Bianco⁵ formalizzò l'intuizione. Alcuni indicatori di compromissione costano quasi nulla agli attaccanti per aggirarli; un hash di un file, per esempio, cambia con un solo byte. Altri costano loro molto, costringendoli a rifare gli strumenti, riformarsi o ricostruire l'infrastruttura. Più li spingevi verso l'alto nella piramide, più doloroso e quindi raro diventava l'attacco.

L'aumento dei costi ha assunto molte forme. Pubblicare indicatori ad alta fedeltà che hanno costretto gli aggressori a cambiare toolkit. Esporre famiglie di malware in modo che gli avversari dovessero scriverne di nuovi. Bruciare infrastrutture affinché il comando e controllo dovesse essere ricostruito. Il miglior esempio è stato il rapporto APT1 del 2013 di Mandiant, che ha nominato ed esposto pubblicamente un gruppo sponsorizzato dallo stato cinese, costringendoli praticamente a rifare tutto da zero. Per anni dopo, APT1 è stato un caso di studio di difesa come economia.

L'intero modello, rilevare rapidamente, rispondere bene, far pagare all'attaccante il ritorno, si basava su un presupposto implicito: che il lavoro dell'attaccante fosse lento e umano. Il riconoscimento richiedeva settimane. Lo sviluppo dell'exploit richiedeva mesi. L'infrastruttura richiedeva denaro e abilità. Se potevi rendere più costoso uno di questi elementi, vincevi.

Cosa che Mythos cambia realmente

Mythos (e francamente ogni modello capace degli ultimi diciotto mesi) fa l'opposto di aumentare i costi. Li fa crollare. Analizzare il software di un bersaglio per vulnerabilità, sondare un'app web per input non sanitizzati, allestire infrastrutture di comando e controllo, scrivere l'esca di phishing: ogni fase del ciclo di vita dell'attaccante che prima richiedeva tempo e talento specializzato ora funziona alla velocità del modello.

Sebbene Mythos stia ricevendo attenzione, la società di sicurezza Aisle ha testato le vulnerabilità esposte da Mythos contro modelli piccoli, economici e a pesi aperti, scoprendo che la maggior parte dell'analisi sottostante era ripetibile. Tutti e sei i modelli testati hanno rilevato l'exploit principale di FreeBSD in almeno uno dei tre test, incluso uno con 3,6 miliardi di parametri a circa cinque centesimi per milione di token. Il loro argomento è che la capacità di cybersecurity dell'IA è irregolare; non scala in modo uniforme con la dimensione del modello, e il vero fossato è il sistema e l'esperienza che circondano il modello, non il modello stesso.⁶Mythos non è un punto di svolta tanto quanto una conferma che la svolta è già avvenuta, silenziosamente, attraverso una generazione di modelli più economici.

Penso che questo stia iniziando a emergere anche nei dati. Il rapporto Mandiant M-Trends 2026, basato su oltre 500.000 ore di lavoro di risposta agli incidenti nel 2025, documenta un aumento del tempo mediano di permanenza globale da 11 a 14 giorni, il primo aumento significativo dopo un decennio di compressione costante da 146 giorni nel 2015.⁷ Ancora più sorprendente, il tempo mediano tra un broker di accesso iniziale che compromette un ambiente e lo consegna a un attore di minaccia secondario (tipicamente un operatore di ransomware) è crollato da oltre otto ore nel 2022 a 22 secondi nel 2025. Ventidue secondi non sono abbastanza per un analista SOC per leggere l'allerta, figuriamoci per agire. Gli exploit rimangono il principale vettore di infezione iniziale per il sesto anno consecutivo, rappresentando il 32% delle intrusioni, e hanno anche documentato famiglie di malware come PROMPTFLUX e PROMPTSTEAL che interrogano modelli di linguaggio di grandi dimensioni durante l'esecuzione per eludere il rilevamento. Il ladro di credenziali QUIETVAULT scansiona persino le macchine compromesse alla ricerca di strumenti di IA locali da usare contro i loro proprietari. A onore di Mandiant, non incolpano l'IA per tutto questo. Dicono esplicitamente che la maggior parte delle violazioni proviene ancora da errori umani e sistemici, non dalla capacità dell'IA. Ma la tendenza sta iniziando a muoversi, mentre il costo della compromissione continua a diminuire.

Questi modelli sono stati ampiamente disponibili per diciotto mesi, ma gli aggressori sono organizzazioni umane; si adattano ai tempi umani. I manuali devono essere riscritti, le tecniche devono essere testate, gli operatori devono essere addestrati. I prossimi anni, non gli ultimi diciotto mesi, saranno il momento in cui vedremo cosa succede quando un avversario maturo ha completamente interiorizzato questi strumenti.

Anche i difensori possono usare questi strumenti, e lo fanno. La lettura ottimistica è che i difensori abbiano effettivamente il vantaggio: possiedono il loro ambiente, la loro telemetria, le loro baseline e possono eseguire modelli continuamente contro uno stato noto come buono. Questa è la verità, ed è per questo che non penso che Mythos finisca la nostra industria. Ma sottovaluta l'asimmetria strutturale che è sempre stata presente nella cybersecurity: l'attaccante ha bisogno di un solo percorso per avere successo; il difensore deve chiuderli tutti. L'intelligence a basso costo rende la ricerca di percorsi drasticamente più economica, mentre chiuderli richiede ancora un cambiamento coordinato tra persone, processi e tecnologia. La curva dei costi dell'attaccante scende più velocemente di quella del difensore.

Ma la dissimmetria più profonda non riguarda solo chi ha il modello più veloce. Riguarda chi può esercitarsi, iterare e imparare, le cose in cui i LLM sono davvero bravi. Un attaccante con intelligenza economica e veloce può iterare mille volte al giorno. Può provare una variante di phishing, modificarla, riprovare, sondare un percorso di identità diverso, ritentare da un angolo diverso e continuare a costo di macchina senza colli di bottiglia umani. Ottengono praticamente tentativi illimitati. Il difensore, invece, impara principalmente da incidenti reali e simulazioni limitate. Non può eseguire migliaia di attacchi realistici contro il proprio ambiente con la stessa fedeltà, e spesso trova le crepe come ha sempre fatto, dopo che l’attaccante lo ha fatto. Quel divario, tra il ciclo di iterazione dell’attaccante e il ciclo di apprendimento del difensore, è ciò che l’IA amplia di più.

Il punto di inflessione

Per la maggior parte della mia carriera, il consenso nel nostro settore è stato una versione di: il compromesso è inevitabile, quindi investi in rilevamento e risposta rapida. È una buona dottrina. Ha costruito aziende come CrowdStrike e Mandiant, e ha salvato alle organizzazioni molti soldi e reputazione.

Ma penso che quella dottrina stia raggiungendo il suo limite. Quando il ciclo OODA dell'attaccante si comprime da settimane a secondi, "rilevare e rispondere" diventa una gara che il difensore non può vincere in modo affidabile. Non perché gli strumenti siano cattivi, ma perché il tempo scade prima che un umano possa prendere una decisione. Per essere chiari, la prevenzione è sempre stata una categoria ampia: EDR, sicurezza email, WAF, MFA, gestione delle patch. La rivendicazione non è che l'industria l'abbia ignorata. La rivendicazione è che il livello di prevenzione deve muoversi, dal bloccare firme note come dannose al prevedere l'intento dell'attaccante dal comportamento, e questo è un problema di ingegneria diverso da quello che chiunque nella nostra categoria ha completamente risolto.

Come questo influisce su ciò che stiamo costruendo

In Netwrix, ci siamo concentrati sulla prevenzione con la migliore suite di soluzioni per dati e identità del settore: governance dell'identità, accesso privilegiato, sicurezza delle directory e gestione della postura di sicurezza dei dati. Ciò che sta cambiando ora è come utilizziamo la telemetria raccolta da questi prodotti. Stiamo puntando molto sulla previsione.

Ecco come appare nella pratica. La nostra piattaforma DSPM classifica i dati sensibili nell'ambiente di un cliente: cosa esiste, cosa è esposto, chi ha accesso e quali identità lo hanno effettivamente toccato. In un modello tradizionale, mostriamo quell'inventario e segnaliamo le violazioni delle politiche dopo il fatto.

Quello a cui stiamo lavorando è diverso. Quando un file contenente PII regolamentati o credenziali viene accesso da un account che non ha mai toccato quella classe di dati prima, quell'accesso risalta. Aggiungi un permesso recentemente aumentato, o un'identità il cui ruolo non ha motivo di accedere a quei dati, e la combinazione vale la pena di essere interrotta prima che diventi un'esfiltrazione. Ogni segnale isolato potrebbe essere permesso, ma insieme descrivono un intento.

Il tipo di attore è quasi secondario. Una sessione amministrativa privilegiata, un account di servizio compromesso e un agente AI a cui è stato concesso più accesso di quanto i proprietari intendessero possono tutti produrre lo stesso schema comportamentale contro un set di dati sensibile. Il nostro compito è riconoscere quel modello e agire prima che qualcosa venga fuori.

Questo è il tipo di segnale che pensiamo la previsione debba significare in questa era. Fornirlo bene significa usare il modello giusto per il lavoro giusto. Gli LLM a uso generale sono straordinari nel ragionare su contesti disordinati, e ci affidiamo molto a loro dove conta. Accanto a loro, il nostro team di R&S sta creando modelli costruiti su misura per i casi d'uso specifici in cui siamo più bravi. Classificare se un accesso a dati sensibili si adatta al modello stabilito di un'identità, valutare comportamenti anomali rispetto a una baseline appresa, decidere in millisecondi se revocare un token. Questi sono compiti in cui latenza, determinismo e dati di addestramento appropriati contano più della conoscenza generale del mondo. Entrambi i flussi di lavoro sono in corso.

Vent'anni dopo

Mythos non ha cambiato cosa sia la difesa, ma ha cambiato i prezzi. Le cose che prima erano costose per un attaccante, trovare una vulnerabilità, scrivere l'exploit, creare l'esca, ora sono economiche. Le cose che prima erano proibitivamente difficili per un difensore, leggere l'intento dal comportamento prima che il danno venga fatto, stanno finalmente diventando possibili. Il nostro lavoro, il lavoro dell'intero settore, è assicurarci che la seconda curva tenga il passo con la prima.

Riferimenti

1. Anthropic, “Progetto Glasswing: Proteggere il software critico per l’era dell’IA,” aprile 2026.

2. Fortune, “Anthropic sta dando ad alcune aziende l'accesso anticipato a Claude Mythos per rafforzare le difese informatiche,” 7 aprile 2026.

3. The Hill, “Il Mito di Anthropic mette DC e Wall Street in massima allerta,” aprile 2026.

4. Richard Bejtlich, “Divulgazione completa per strumenti degli aggressori,” TaoSecurity, giugno 2010. https://taosecurity.blogspot.com/2010/06/full-disclosure-for-attacker-tools.html

5. David Bianco, “La Piramide del Dolore,” Enterprise Detection & Response, marzo 2013.https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

6. Stanislav Fort, “Cybersecurity AI dopo Mythos: La frontiera frastagliata,” AISLE, 7 aprile 2026. https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier

7. Mandiant, “M-Trends 2026,” aprile 2026.