La sicurezza informatica nel settore della difesa nel 2026: confini controllati, contenuti non controllati

Oltre l'80% delle aziende del settore aerospaziale e della difesa ha subito una violazione della sicurezza negli ultimi dodici mesi.^[3] Il settore subisce circa 1.250 incidenti informatici ogni settimana,^[4] con un aumento del 300% degli attacchi dal 2018 e il 61% delle organizzazioni colpite da ransomware nell'ultimo anno.^[5] Una violazione costa in media 5,46 milioni di dollari, senza considerare l'interruzione dei programmi riservati, l'esposizione al controspionaggio o il rischio contrattuale che deriva dalla compromissione di un fornitore.^[6]

Threat Intelligence di Google ha confermato nel febbraio 2026 che, negli ultimi due anni, i gruppi di spionaggio legati alla Cina hanno preso di mira i settori della difesa e dell’aerospaziale più di qualsiasi altro attore statale,^[7] sfruttando dispositivi periferici, apparecchiature VPN e canali di trasferimento file per stabilire accessi di lunga durata. Russia, Iran e Corea del Nord operano nella stessa base industriale. Le campagne DDoS degli hacktivisti generano oltre il 76% del volume di incidenti nel settore (il doppio della media intersettoriale^[8]), ma il volume non è la misura che conta. La minaccia strategica è precisa e paziente. Non bussa alla porta. Entra attraverso contenuti già considerati affidabili.

Le tecniche LOTL (Living Off the Land), che sfruttano strumenti di sistema legittimi già presenti sulla rete, consentono agli aggressori di agire senza far scattare alcun allarme. Quando l'analisi comportamentale entra in azione, un attore sofisticato è spesso già presente da tempo, tanto da aver mappato l'ambiente, identificato obiettivi di alto valore e preparato il terreno per l'esfiltrazione. Il rilevamento è necessario, ma non sufficiente. Il punto di forza sta nel punto di ingresso, non all'interno della rete.

Il modello Zero Trust è diventato il paradigma di sicurezza dominante nelle reti della difesa e della pubblica amministrazione, e a ragione. Autenticazione continua, accesso con privilegi minimi, verifica dello stato di sicurezza dei dispositivi, microsegmentazione: questi controlli sono indispensabili e devono far parte di ogni architettura di difesa. Il problema non è lo Zero Trust. Il problema sta nel considerarlo la soluzione definitiva a un problema che non è mai stato concepito per risolvere. L'accesso Zero Trust è stato creato per controllare chi accede a una rete. Non è stato creato per verificare cosa viene trasportato attraverso un confine una volta che gli utenti vi hanno accesso. 

La limitazione è specifica. L'approccio Zero Trust verifica chi sta attraversando il confine. La verifica dei contenuti determina cosa è consentito far passare. Una politica Zero Trust verifica correttamente che un utente autenticato su un dispositivo autorizzato stia richiedendo un trasferimento legittimo. Non è in grado di stabilire se il file trasferito contenga una macro dannosa, un payload malevolo concatenato o una vulnerabilità zero-day incorporata in un formato di documento considerato affidabile. 

Le campagne di attacchi che introducono questo blog (i 393 giorni di permanenza di BRICKSTORM negli ambienti A&D, i cinque anni di presenza di Volt Typhoon nelle infrastrutture critiche statunitensi) non hanno aggirato i controlli di accesso. Sono riuscite a penetrare attraverso contenuti che i controlli di accesso non avevano motivo di sospettare.  

La gestione delle identità e degli accessi costituisce il primo livello indispensabile. La verifica dei contenuti al punto di ingresso fisico, al confine di classificazione e lungo la catena di fornitura del software rappresenta il livello che determina ciò che è effettivamente autorizzato a raggiungere la destinazione. Insieme, formano un sistema completo. Presi singolarmente, ciascuno di essi lascia irrisolta una lacuna dell'altro. 

Il cambiamento più rilevante dal punto di vista operativo nel panorama delle minacce basate su file nel periodo 2025–2026 è l'applicazione dell'intelligenza artificiale alla generazione di malware e alle tecniche di elusione strutturale. Il team di threat intelligence di Google ha individuato famiglie di malware che mutano in tempo reale durante la fase di attacco,^[14] con i costi di sviluppo degli exploit che si riducono drasticamente, passando da settimane di lavoro a quasi zero.^[15]

Una ricerca OPSWATha documentato un esempio concreto: la tecnica del PDF concatenato, in cui un PDF dannoso viene aggiunto strutturalmente a uno pulito. Dopo aver effettuato test su 34 motori di scansione, il tasso di rilevamento è sceso da 34 a 5 una volta concatenati i file.^[16] Tre motori che in precedenza avevano segnalato la minaccia hanno smesso di farlo. Il lettore PDF dell’utente ha visualizzato il contenuto di phishing esattamente come previsto dall’autore dell’attacco. L'infrastruttura di sicurezza ha valutato un documento diverso da quello aperto dall'utente.

Non c'è alcuna firma di malware da individuare. Nessun exploit da rilevare. Solo una riorganizzazione strutturale di un formato di file legittimo che induce scanner e lettori a percepire contenuti diversi. Al confine tra due livelli di classificazione, un singolo file che utilizza questa tecnica può passare da "NON CLASSIFICATO" a "SEGRETO" senza far scattare alcun allarme. Questa falla non è solo teorica.

Il CDR (Content Disarm and Reconstruction) affronta il problema a livello di meccanismo. Il CDR non cerca di identificare i contenuti dannosi, ma scompone ogni file nei suoi elementi costitutivi, rimuove tutti i contenuti attivi ed eseguibili indipendentemente dalla struttura del file e ricostruisce una versione pulita e funzionalmente intatta.

Una variante generata dall'intelligenza artificiale senza firma nota, un documento dannoso concatenato a livello strutturale, un file Office con macro incorporate, un archivio compromesso: tutti vengono neutralizzati con lo stesso processo, poiché CDR rimuove il meccanismo di esecuzione prima che il file raggiunga la destinazione.

Il CDR è un sistema di controllo basato sui file. Non si occupa delle attività LOTL all'interno di una rete, né della presenza di malintenzionati già presenti nell'ambiente.

I requisiti delle soluzioni cross-domain si sono evoluti. Le comunità di interesse che necessitano di uno scambio di dati sono sempre più eterogenee. I tipi di dati si sono ampliati, passando dai file standard di produttività ai carichi di lavoro di sistema, ai feed di intelligence e ai formati cloud-native. Progettare un CDS destinato a durare nel tempo richiede un approccio modulare e coordinato, non un'appliance statica.

MetaDefender Managed File Transfer l'acquisizione e il trasferimento sicuro dei file attraverso reti classificate e non classificate, applicando le politiche di trasferimento, la logica di instradamento e le tracce di audit lungo l'intero flusso di lavoro. I file passano attraverso lo stackCore MetaDefender Core per essere sottoposti a ispezione dei contenuti ad ogni punto di confine. Insieme formano un'architettura coerente e interdomini, regolata da politiche: MetaDefender Managed File Transfer il flusso, mentre MetaDefender Core ciò che lo attraversa.

Il CMMC 2.0 è entrato in vigore nei contratti del Dipartimento della Difesa il 10 novembre 2025. Per la prima volta, la sicurezza informatica degli appaltatori della difesa è soggetta a verifica esterna anziché all'autocertificazione. La Sezione 866 della NDAA per l'anno fiscale 2026 impone al Dipartimento della Difesa di standardizzare i requisiti di sicurezza informatica della DIB entro il 1° giugno 2026, con un minor numero di norme specifiche per i singoli contratti, ma un'applicazione più rigorosa e coerente.

Entrambe queste novità sono rilevanti. Nessuna delle due colma le lacune sopra descritte. I 110 controlli previsti dal Livello 2 del CMMC sono stati concepiti per innalzare lo standard di riferimento in un ampio panorama industriale, piuttosto che imporre controlli specifici volti a contrastare tali superfici di attacco. Tali controlli non richiedono l'ispezione dei supporti fisici ai punti di accesso alle strutture, la verifica del contenuto dei file ai confini tra domini, la visibilità dei componenti software a livello di dipendenze, né l'ispezione dei contenuti in linea con la separazione di rete imposta a livello hardware.

Un appaltatore può superare una valutazione di Livello 2, compresa la verifica C3PAO, pur senza aver colmato alcuna di queste lacune. Solo il 21% delle aziende del settore della difesa aveva scelto una tecnologia conforme al CMMC nel 2025.^[17] A dicembre 2025, erano stati autorizzati solo 92 C3PAO a fronte di una base industriale di oltre 80.000 appaltatori.^[18] L'infrastruttura di conformità non è riuscita a tenere il passo.

C'è una seconda distinzione importante nel contesto dell'accreditamento. Il CMMC disciplina le pratiche di sicurezza dell'appaltatore, ma non certifica gli strumenti utilizzati per attuare tali pratiche. La certificazione Common Criteria (richiesta dalla norma NSTISSP n. 11 per i prodotti di IA nei sistemi di sicurezza nazionale) verifica le proprietà di sicurezza di un prodotto specifico attraverso la valutazione effettuata da un laboratorio indipendente accreditato. Un prodotto certificato CC utilizzato per soddisfare un controllo CMMC fornisce a un valutatore C3PAO prove verificate in laboratorio.

Il CMMC e i Criteri Comuni sono quadri di riferimento complementari. Uno disciplina le attività dell'organizzazione, l'altro verifica che lo strumento funzioni come dichiarato. È importante sapere quale è quale.

MetaDefender circa 20 dei 110 controlli previsti dal CMMC Livello 2, ovvero quella parte per la quale la maggior parte delle infrastrutture di sicurezza non è stata progettata. Il controllo degli accessi, la registrazione degli audit, la risposta agli incidenti e la sicurezza del personale non rientrano nell'ambito di applicazione. Il valore aggiunto sta nella precisione: i controlli rigorosi ai confini che la vostra infrastruttura esistente non è in grado di garantire, verificati secondo gli standard di un laboratorio indipendente.

Le organizzazioni che si troveranno in una posizione più vantaggiosa nei prossimi tre anni non saranno quelle con i budget di sicurezza più elevati o con il maggior numero di controlli CMMC verificati. Saranno invece quelle che avranno mappato la propria superficie di attacco effettiva — i punti di accesso fisici, i confini di classificazione, le interfacce OT-IT, la catena di approvvigionamento del software — e che avranno implementato controlli verificati in ciascuno di essi.

Il rilevamento all'interno della rete sarà sempre in ritardo rispetto a un avversario sofisticato che si è già insediato. È nella prevenzione ai confini — prima che un file venga eseguito, prima che un dispositivo si connetta e prima che un payload superi una linea di classificazione — che risiede il vero vantaggio. È proprio in questo ambito che OPSWAT .

Richiedi un incontro informativo per discutere del tuo ambiente e della tua architettura specifici.

Stai ancora definendo l'architettura CDS? Scarica la " Guida all'acquisto di soluzioni cross-domain per il settore pubblico e della difesa ", redatta da esperti CDS e pensata per i responsabili di programma, gli architetti della sicurezza e i team di approvvigionamento che si occupano di valutare i moderni requisiti cross-domain.