Pensa di rilasciare una patch di sicurezza per chiudere una falla critica e, nel giro di pochi giorni, un attaccante dotato di intelligenza artificiale riesca a “smontarla”, aggirarla o riaprire la ferita che pensavi di aver sigillato. Non stai leggendo un romanzo distopico, ma una realtà che molte aziende oggi devono affrontare: si presenta un futuro d’attacco accelerato dall’IA e la risposta tecnica che un’azienda come Ivanti propone per resistere alla nuova minaccia.
Il cuore della questione è semplice ma inquietante: non basta più correggere vulnerabilità e distribuire patch con un lasso di tempo “accettabile”. Gli attaccanti non aspettano, e sfruttano l’IA per decifrare la logica delle patch stesse. Secondo Mike Riemer, che in Ivanti ricopre il ruolo di SVP del Network Security Group, ormai è prassi che le patch vengano reverse engineerate entro 72 ore dal rilascio. Se l’aggiornamento non è installato entro quel lasso di tempo, la finestra di vulnerabilità rimane aperta.
Questa nuova “accelerazione” degli attacchi mette a rischio chiunque rimanga indietro. Le conseguenze possono essere devastanti: chi riesce a penetrare una rete può restare indisturbato per settimane o mesi, rubare dati, installare ransomware o fare esplorazioni laterali su sistemi vicini. L’articolo cita episodi reali, come una demo alla conferenza DEF CON, in cui sperimentatori hanno bypassato autenticazioni in sistemi molto diffusi (Zscaler, Netskope, Check Point) sfruttando vulnerabilità che erano rimaste aperte anche mesi dopo la loro scoperta pubblica.
È in questo contesto già drammatico che Ivanti propone una difesa radicale: intervenire alla base del sistema operativo, adottare strategie che non si limitino a “tappare fori”, ma trasformare l’architettura da dentro. La patching tradizionale, lenta, manuale, con processi disomogenei e spesso procrastinati, è ormai una debolezza più che una protezione.
Il punto cruciale è il kernel — il nucleo, il cuore del sistema operativo che controlla memoria, processi e hardware. Se un attaccante ottiene l’accesso al kernel, può smantellare quasi qualsiasi barriera successiva: firewall, controlli software, sandbox, tutto diventa inutile. È lì, nel kernel, che si gioca la partita decisiva.
La versione 25.x di Ivanti Connect Secure è il manifesto di questa ambizione difensiva. Ivanti ha migrato a un sistema base Oracle Linux 9 a 64 bit, ha introdotto rigorose politiche SELinux (mandatory, in enforcement), ha tolto privilegi “root” da processi critici, adottato Secure Boot con TPM, cifratura dei dischi, controlli integrati di chiavi crittografiche, Web Application Firewall e tanta attenzione alla fissazione del sistema nella sua forma più sicura.
La trasformazione non è indolore: certe funzioni sono state ristrutturate, alcuni componenti sono stati ripensati, e il lavoro dev’essere stato intenso per mantenere stabilità e compatibilità. Ma i risultati preliminari sono interessanti: secondo Ivanti, molti tentativi di attacco hanno abbandonato dopo tre giorni, incapaci di trovare una via attraverso il kernel duro e ben difeso.
Naturalmente, non basta irrobustire un singolo componente: serve una strategia integrata. Ivanti affronta anche il tema del rollout controllato: anziché spingere subito una patch su tutte le macchine, si utilizza una strategia a “anelli” (deployment rings): un primo anello di test, uno intermedio per early adopter e infine la diffusione generale. Questo permette di ridurre il rischio e garantire che gli aggiornamenti vengano verificati e consolidati prima dell’adozione di massa.
Un altro tema è quello della visibilità e monitoraggio: tecnologie emergenti, come eBPF, permettono di osservare il comportamento interno del sistema (system calls, esecuzioni, traffico) senza richiedere componenti invasive che mettano a rischio la stabilità. È una modalità che molti vendor stanno esplorando perché promette un compromesso tra sicurezza e affidabilità.
Le patch non possono restare un “dover fare” lento e diluito, ma parte di un meccanismo automatizzato e continuo. La trasformazione deve essere architettonica, non cosmetica. Ivanti ci mostra che non è solo possibile, ma urgente. Le organizzazioni che non si prepareranno rischiano di affrontare la prossima generazione di attacchi con armi spuntate.