Quello che è successo ad Aegis Logistics con il ransomware non sarebbe mai dovuto accadere. Il team IT giurava che su ogni postazione girasse un antivirus aggiornato. Eppure è bastato un singolo allegato di fattura malevolo per passare: ha cifrato 12 terabyte di dati operativi e ha bloccato le spedizioni per cinque giorni. Il rapporto forense è stato senza appello: la variante di malware aveva appena 36 ore, era impacchettata per sembrare innocua, ed è scivolata oltre ogni controllo tradizionale.
Se l'antivirus non basta più a fermare le minacce moderne, cosa ci riesce? È la domanda che toglie il sonno ai CISO. La risposta parte dal capire come funziona davvero un antivirus, perché gli attaccanti hanno cambiato gioco da un pezzo, e dove fanno la differenza l'isolation e la difesa in profondità.
Come funziona l'antivirus classico
Per decenni l'antivirus è stato la prima linea di difesa su dispositivi personali e aziendali. Il suo punto di forza era riconoscere file già noti come dannosi prima dell'esecuzione. Per capire dove si è incrinato, conviene ripassare i tre principali metodi di rilevamento.
Il signature matching confronta gli hash dei file con un database mantenuto dal vendor. Se l'hash combacia, il file viene bloccato. Veloce e preciso sulle minacce note, ma inutile nel momento in cui il malware muta.
L'analisi euristica osserva la struttura del file e il suo comportamento. Un documento che prova ad avviare PowerShell o a toccare il registry fa scattare un'allerta. È un po' come cercare un volto sospetto in mezzo alla folla, e finisce per generare un flusso costante di falsi positivi.
Il sandboxing comportamentale fa detonare i file sospetti in una sandbox locale per osservarne le azioni malevole. Efficace contro le minacce nuove, ma pesante per la CPU, e regolarmente aggirato dai malware che riconoscono di trovarsi in sandbox.
Queste tecniche erano formidabili finché gli autori di malware riciclavano sempre le stesse payload. Oggi gli attaccanti vedono l'antivirus come un semplice ostacolo da aggirare, non come una vera barriera. Iterano più in fretta di quanto i difensori riescano ad aggiornare le firme.
Perché l'antivirus fallisce nel 2025
Il malware moderno è progettato per scivolare oltre le protezioni concentrate su file e comportamenti già noti. Gli attaccanti trasformano il browser in veicolo di consegna, si appoggiano a payload fileless e sfruttano zero-day che i vendor non hanno ancora visto.
La finestra zero-day e N-day. Secondo Mandiant, il tempo medio fra la divulgazione di una vulnerabilità e il suo sfruttamento su larga scala è sceso a 6 giorni nel 2024. La maggior parte delle organizzazioni impiega settimane per distribuire le patch. Gli autori di malware si infilano proprio in quella feritoia. Lo zero-day di Chrome del maggio 2025 (CVE-2025-1023) è comparso in campagne di phishing 48 ore dopo la scoperta. L'antivirus non ha segnalato le pagine malevole semplicemente perché non esistevano ancora firme.
Malware polimorfico. I kit di malware arrivano ormai con motori polimorfici che cambiano l'hash della payload a ogni download. Una singola campagna di phishing può generare 10.000 eseguibili unici in un giorno. Il rilevamento signature-based va in crisi quando non c'è più un'impronta stabile da riconoscere. IBM X-Force segnala un +300% di famiglie di ransomware polimorfico fra il 2023 e il 2025.
Attacchi fileless e living-off-the-land. Invece di scaricare un EXE malevolo, gli attaccanti dirottano strumenti legittimi già presenti sul sistema (PowerShell, WMI, macro di Office). La payload vive in memoria e si appoggia a processi fidati. FIN7 è passato al fileless nel 2024 e ha visto i tassi di successo salire, perché la sicurezza endpoint raramente passa al setaccio gli strumenti di amministrazione legittimi.
Aggiungi il fattore umano (dipendenti che cliccano su fatture urgenti, analisti che indagano link sospetti, sviluppatori che si scaricano tool di terze parti) ed ecco la tempesta perfetta. L'antivirus, forse, intercetta le minacce di ieri. Gli attaccanti stanno già costruendo quelle di domani.
Dentro il panorama delle minacce moderne
Per i cybercriminali il browser è la porta d'ingresso universale. È lo strato in cui l'utente e il web si incontrano: terreno fertile per social engineering, drive-by download e script malevoli che fanno partire processi invisibili.
nuovi sample malevoli (AV-TEST, Q3 2025). La maggior parte non riceverà mai una firma.
degli incidenti ransomware parte da una sessione di browser (Verizon DBIR 2025)
tempo medio per distribuire patch critiche del browser in tutta l'azienda (Gartner 2025)
degli incidenti di sicurezza coinvolge un fattore umano (Verizon DBIR 2025)
L'antivirus resta parte dello stack, ma i suoi limiti sono ormai sotto gli occhi di tutti. I responsabili della sicurezza cercano il modo di tirar fuori il browser (l'applicazione più bersagliata) dalla zona di tiro, senza mettere i bastoni fra le ruote alle persone. È qui che entra in gioco l'isolation.
Perché l'isolation chiude il gap
L'antivirus prova a riconoscere e bloccare il codice malevolo. L'isolation del browser cambia le regole del gioco: parte dal presupposto che il codice possa essere dannoso e lo tiene lontano dal tuo dispositivo. Invece di affidarti alla detection, ti affidi all'architettura.
Quell'architettura ha quattro pezzi. Esecuzione remota: ogni sito, ogni script e ogni download girano dentro un container cloud isolato, e al tuo dispositivo arriva solo un flusso di rendering sicuro. Sessioni effimere usa-e-getta, così alla chiusura non restano cookie, cronologia o footholds.
Il zero-trust browsing assume che ogni scheda possa essere ostile e contiene il blast radius, in modo che uno zero-day non arrivi mai alla macchina locale. La gestione sicura dei file apre prima i download sospetti dentro il browser isolato, e così tiene il ransomware fuori dall'endpoint anche quando l'utente clicca.
Invece di dipendere dagli aggiornamenti di threat intelligence, l'isolation costruisce un fossato intorno ai tuoi dipendenti. L'antivirus conserva un ruolo (soprattutto per i rischi via USB e le applicazioni legacy), ma non è più il tuo single point of failure. Il paragone è semplice: pensa all'antivirus come alla cintura di sicurezza e all'isolation come all'airbag. Funzionano al meglio quando ci sono entrambi.
Caso di studio: la ricostruzione di Aegis Logistics
Ti ricordi Aegis Logistics, l'azienda paralizzata dalla fattura malevola? La loro analisi post-incidente offre uno schema chiaro per imparare dal fallimento.
La causa radice era roba da manuale. Un'email di phishing ha aggirato il secure email gateway, e l'allegato ha consegnato un loader polimorfico che ha superato l'antivirus endpoint cambiando il proprio hash al download. I fattori al contorno hanno peggiorato il danno. Le firme dell'antivirus erano in ritardo di 24 ore per via di un rollout a fasi. La divisione finance condivideva postazioni con privilegi elevati e drive di rete mappati. I link sospetti non avevano un workflow sicuro di ispezione, quindi gli analisti li aprivano in locale.
La risposta post-incidente è stata strutturale, non cosmetica. Finance, procurement e security hanno portato le indagini sul phishing dentro Browser.lol. L'antivirus ha continuato a girare insieme all'EDR con policy di isolation obbligatorie. Tutti i workflow ad alto rischio richiedono ora una sessione virtuale usa-e-getta prima di toccare la rete. Il tempo medio per rilevare un tentativo di phishing è sceso da 9 ore a 45 minuti. L'azienda ha messo in fila 11 mesi senza un solo incidente di contenimento legato al browser. L'antivirus è rimasto al suo posto, ma nessuno ci conta più da solo.
Un piano d'azione a 30 giorni
Segui questa roadmap per allineare gli stakeholder, far partire l'isolation e portare a casa risultati rapidi.
Settimana 1: valutare e comunicare
Tira fuori gli ultimi 12 mesi di incidenti in cui l'antivirus ha fallito o ha allertato in ritardo. Mappa i workflow che passano dal browser in finance, HR, security e nei team di prodotto. Fai un briefing alla leadership sul gap dell'antivirus usando come base i numeri qui sopra.
Settimana 2: lanciare un pilota
Crea sessioni Browser.lol per i ruoli ad alto rischio (approvatori finance, analisti SOC). Aggiungi su Slack o Teams una scorciatoia «link sicuro» che inoltra le URL verso sessioni isolate. Tieni traccia del tempo risparmiato e degli incidenti contenuti, da portare poi agli stakeholder.
Settimana 3: integrare e automatizzare
Collega Browser.lol al tuo identity provider, al logging SIEM e ai sistemi di ticketing. Automatizza il triage del phishing in modo che gli allegati si aprano in isolation di default. Aggiorna i runbook di incident response includendo i passaggi di indagine in isolation.
Settimana 4: estendere la copertura
Forma altri reparti con le demo registrate durante il pilota. Fissa obiettivi trimestrali di riduzione degli incidenti che partono dal browser. Porta al board un report di sintesi sui risultati per blindare l'investimento nel medio periodo.
Inizia oggi a costruire una difesa in profondità
Per le difese tradizionali, il malware moderno non è un combattimento ad armi pari. Gli attaccanti iterano più in fretta, trasformano i browser in arma e si confondono con il traffico normale. L'antivirus conta ancora, ma serve rinforzo, soprattutto in prima linea, dove le persone cliccano sui link e aprono allegati.
L'isolation del browser porta una filosofia nuova: dai per scontato il compromesso e tienilo confinato. Le organizzazioni che vanno forte nel 2025 sono quelle che progettano la sicurezza intorno al modo in cui le persone lavorano davvero, ovvero curiose, collaborative e ogni tanto distratte. Dai loro una rete di sicurezza che non debba indovinare quale file è malevolo.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
