In ogni infrastruttura IT, OT o IoT esiste un rischio che raramente riceve l’attenzione che merita: quello degli asset “fantasma”. Non si tratta di una minaccia nuova né di una categoria tecnologica sconosciuta, bensì di componenti che, pur facendo parte dell’infrastruttura, finiscono fuori dai radar di chi dovrebbe governarli.
Capita spesso che, con il passare del tempo, alcune tecnologie restino collegate all’infrastruttura pur avendo perso la loro funzione originaria. Un server può rimanere acceso dopo una migrazione senza che nessuno si occupi di spegnerlo o dismetterlo; un’applicazione sviluppata per un progetto sperimentale finisce per essere dimenticata quando l’iniziativa si chiude; un dispositivo IoT installato per un test rimane silenziosamente attivo anche se non serve più a nulla. Allo stesso modo, vecchie regole di firewall continuano a esistere, nonostante non abbiano più alcuna coerenza con il traffico attuale, e account utente legati a dipendenti o fornitori usciti dall’azienda restano operativi molto più a lungo del dovuto.
Trascurati perché silenziosi, esclusi dai normali processi di aggiornamento e invisibili agli inventari ufficiali, gli asset fantasma finiscono per vivere ai margini dell’infrastruttura, in una zona grigia dove nessuno li nota e nessuno se ne occupa. È proprio questa condizione di invisibilità a trasformarli, nel tempo, nel bersaglio ideale: diventano il punto debole più esposto, quello che un attaccante può sfruttare con facilità per ottenere un accesso imprevisto e aprirsi la strada verso il cuore della rete.
La natura insidiosa degli asset fantasma risiede proprio nella loro invisibilità. Un asset non censito non compare negli inventari, non riceve patch di sicurezza, non viene incluso nei piani di hardening né nei processi di vulnerability management. In altre parole, non esiste per chi difende ma esiste, eccome, per chi attacca.
Questo genera due conseguenze immediate. La prima riguarda la sicurezza operativa: basta un nodo dimenticato per compromettere l’intero perimetro, sfruttando la complessità delle interconnessioni tra sistemi. La seconda, non meno critica, riguarda la compliance normativa: direttive come NIS2 (UE 2022/2555), DORA, o standard come ISO/IEC 27001:2022 e IEC 62443 impongono un inventario completo degli asset digitali. La presenza di sistemi fantasma rappresenta quindi una violazione strutturale, con conseguenze legali e reputazionali potenzialmente devastanti.
Statistiche recenti (Ponemon Institute 2023) mostrano che il 67% delle aziende dichiara di non avere una visibilità completa del proprio perimetro IT/OT, e in media il 30% degli asset non risulta censito. ENISA (2024) ha rilevato che oltre il 20% degli incidenti cyber in Europa ha origine da sistemi obsoleti o dimenticati. Il costo medio di un data breach legato ad asset fantasma è di 4,45 milioni di USD, con tempi medi di rilevazione del 30% più lunghi rispetto a incidenti originati da asset monitorati (IBM, 2023).
Molte organizzazioni, convinte che il controllo manuale sia sinonimo di accuratezza, continuano a basare il discovery degli asset su attività manuali o semi-automatiche, integrate da check-list redatte dagli operatori. Ma in ecosistemi iperconnessi e distribuiti, dove convivono ambienti cloud, data center legacy, dispositivi IoT e sistemi OT, l’errore umano non è un’eventualità: è una certezza.
Un inventario manuale diventa obsoleto non appena viene completato, perché nel frattempo la rete è già cambiata: nuovi dispositivi si connettono, altri vengono dismessi, applicazioni migrano verso il cloud. Il risultato è una mappa parziale, che non riflette più la realtà dell’infrastruttura.
Gartner prevede che entro il 2026, il 75% delle organizzazioni OT subirà almeno un incidente grave originato da asset non monitorati o shadow IT. Questo conferma che l’approccio tradizionale è insufficiente e rischia di trasformarsi in un punto di fallimento sistemico.
Se il rischio maggiore è quello che non vedi, la risposta è quella di spostarsi verso una visibilità totale e continua. E questo è possibile solo attraverso un approccio automatizzato e data-driven, capace di scansionare in tempo reale l’intera rete, rilevare ogni asset connesso, ricostruirne le relazioni e generare un digital twin dell’infrastruttura.
Questo modello virtuale, sempre aggiornato, permette di:
Le tecniche più avanzate si basano su continuous asset discovery con strumenti di passive network monitoring e sull’uso di algoritmi di anomaly detection basati su machine learning. Inoltre, l’integrazione di una SBOM (Software Bill of Materials) estesa a IoT/OT consente di garantire visibilità anche lungo la catena di fornitura, riducendo il rischio di exploit legati a componenti non tracciati.
Gli asset fantasma non sono un dettaglio trascurabile, né un problema marginale che si può rimandare: rappresentano la forma più pericolosa di vulnerabilità perché non genera segnali evidenti finché non è troppo tardi. La vera differenza tra un’organizzazione resiliente e una che lo è solo sulla carta non sta nella quantità di strumenti di difesa adottati, ma nella capacità di rendere visibile l’invisibile, eliminando i punti ciechi e trasformando la gestione del rischio da esercizio statico a processo continuo.
Per dirla con i numeri: un asset che non conosci ha una probabilità 3 volte superiore di diventare vettore di attacco rispetto a uno censito e monitorato (ENISA Threat Landscape 2023).
Il vero punto debole non è ciò che controlli, ma ciò che resta nell’ombra senza che tu te ne accorga.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
