L'offensiva prodotti RSAC 2026 ridisegna il mercato, OpenAI lancia il bug bounty per la sicurezza dell'IA, Google fissa la scadenza quantistica al 2029, Coruna aggiorna l'exploit iOS di Operation Triangulation, Cisco rilascia patch IOS
I giorni 3-4 di RSAC 2026 scatenano un'ondata di lanci di prodotti mentre i vendor competono per consolidare piattaforme di sicurezza AI-native. OpenAI apre un programma bug bounty dedicato per abusi e rischi di sicurezza dell'IA. Google fissa il 2029 come scadenza definitiva per la migrazione quantum-safe. Il kit exploit Coruna per iOS riprende le tecniche di Operation Triangulation con exploit kernel aggiornati. Cisco corregge molteplici vulnerabilità IOS ad alta severità. CISA segnala una falla critica in PTC Windchill che ha mobilitato la polizia tedesca.
1. RSAC 2026 Giorni 3-4 — I lanci di prodotti ridisegnano il mercato della sicurezza
Il terzo e il quarto giorno di RSAC 2026 hanno portato un torrente di annunci di prodotti che segnalano collettivamente un cambiamento fondamentale nel funzionamento dell'industria della cybersecurity. Decine di vendor hanno utilizzato la conferenza per lanciare nuove piattaforme, funzionalità e integrazioni — con un tema predominante: la sicurezza AI-native non è più nella roadmap, è già disponibile.
Gli annunci si raggruppano attorno a diversi temi strategici che definiranno il mercato della sicurezza nei prossimi 12-18 mesi:
Il consolidamento delle piattaforme accelera
I principali vendor stanno consolidando aggressivamente le soluzioni puntuali in piattaforme unificate. L'economia è semplice: le aziende che utilizzano 40-80 strumenti di sicurezza affrontano una complessità di integrazione che diventa essa stessa un rischio di sicurezza. I vendor rispondono acquisendo, costruendo e raggruppando funzionalità per ridurre la proliferazione degli strumenti.
- Convergenza SIEM + SOAR + XDR: Molteplici vendor hanno annunciato piattaforme unificate che combinano rilevamento, indagine e risposta in esperienze a console unica alimentate da motori di correlazione IA
- Unificazione identità + accesso + governance: Sulla scia delle violazioni legate all'identità, i vendor stanno unendo sicurezza dell'identità, gestione degli accessi privilegiati e governance in piattaforme integrate
- Espansione della Cloud-native Application Protection (CNAPP): Le piattaforme di sicurezza cloud si estendono alla protezione runtime, sicurezza API e governance dei carichi di lavoro IA
Capacità SOC autonome
Forse la tendenza più significativa: molteplici vendor hanno annunciato capacità di Security Operations Center (SOC) autonomo — sistemi IA che possono rilevare, classificare, indagare e rispondere alle minacce con intervento umano minimo. Questi sistemi vanno oltre l'assistenza in stile copilot fino all'esecuzione autonoma completa dei flussi di lavoro:
- Triage automatico degli alert: L'IA classifica e prioritizza gli alert, riducendo il 99% degli alert che attualmente richiedono revisione manuale
- Indagine autonoma: Sistemi IA che possono navigare tra le fonti di dati, correlare indicatori e costruire narrazioni complete degli incidenti senza intervento dell'analista
- Contenimento automatizzato: Sistemi che possono isolare endpoint compromessi, revocare credenziali e bloccare traffico malevolo in pochi secondi dal rilevamento
La sicurezza degli agenti IA emerge come categoria
Basandosi sulla Market Guide dei Guardian Agents di Gartner pubblicata all'inizio della settimana, diversi vendor hanno lanciato prodotti specificamente progettati per proteggere i deployment di agenti IA — monitorando il comportamento degli agenti, applicando guardrail e rilevando attacchi di prompt injection negli ambienti di produzione.
Prospettiva KENSAI
L'esplosione di strumenti di sicurezza autonomi a RSAC 2026 conferma la tesi centrale di KENSAI: la sicurezza che non può operare alla velocità delle macchine è sicurezza che non riesce a tenere il passo. I test di penetrazione automatizzati di KENSAI erano autonomi prima che "autonomo" diventasse di moda — scansionando, testando e validando continuamente le posture di sicurezza senza attendere la programmazione umana. Man mano che l'industria si allinea, il nostro vantaggio iniziale nei test di sicurezza guidati dall'IA diventa un fossato competitivo più profondo.
2. OpenAI lancia il programma bug bounty per abusi e rischi di sicurezza dell'IA
OpenAI ha lanciato un programma bug bounty dedicato specificamente rivolto ad abusi e rischi di sicurezza nei suoi sistemi IA — un programma primo nel suo genere che riconosce una verità fondamentale: la sicurezza dell'IA non è la stessa cosa della sicurezza software tradizionale.
Il nuovo programma va oltre il bug bounty esistente di OpenAI (che si concentra su vulnerabilità tradizionali come bypass dell'autenticazione ed esposizione dei dati) per coprire problemi di progettazione e implementazione che potrebbero portare a danni materiali attraverso l'uso improprio dell'IA:
Cosa è incluso
- Tecniche di jailbreak: Metodi che aggirano i guardrail di sicurezza per produrre contenuti dannosi, con ricompense scalate in base a severità e riproducibilità
- Attacchi di estrazione del modello: Tecniche che potrebbero estrarre dati di addestramento, pesi del modello o prompt di sistema proprietari dai sistemi di produzione di OpenAI
- Vettori di abuso: Metodi innovativi per utilizzare gli strumenti di OpenAI per causare danni materiali — inclusa l'automazione dell'ingegneria sociale, pipeline di generazione deepfake e comportamento inautentico coordinato
- Fallimenti nell'allineamento della sicurezza: Casi limite in cui i modelli producono output dannosi nonostante i sistemi di sicurezza esistenti, in particolare nelle catene di ragionamento multi-step o negli scenari di utilizzo degli strumenti
Perché è importante
I bug bounty tradizionali chiedono: "Riesci a entrare nel sistema?" Il bounty di sicurezza di OpenAI chiede: "Riesci a far fare al sistema cose dannose che dovrebbe rifiutare?" Questo è un modello di minaccia fondamentalmente diverso che richiede competenze diverse — red teamer che comprendono non solo l'exploitation software, ma anche le dinamiche sociali, la manipolazione psicologica e il confine tra IA utile e IA dannosa.
Il programma segnala il riconoscimento da parte di OpenAI che la sicurezza dell'IA è un processo continuo e antagonistico — non un esercizio di allineamento una tantum. Man mano che i sistemi IA diventano più capaci e vengono implementati in ambienti ad alta posta in gioco, la superficie d'attacco per l'uso improprio cresce esponenzialmente.
Prospettiva KENSAI
Poiché gli agenti IA diventano bersagli e strumenti negli attacchi di cybersecurity, la valutazione delle vulnerabilità deve espandersi oltre i difetti software tradizionali. Le capacità di scansione di KENSAI si stanno evolvendo per testare vettori di attacco specifici dell'IA — inclusi test di prompt injection per applicazioni web alimentate da IA ed endpoint API che interagiscono con modelli linguistici.
3. Google fissa il 2029 come scadenza per la migrazione quantum-safe
Google ha pubblicamente fissato il 2029 come scadenza obiettivo per completare la migrazione di tutta la sua infrastruttura agli standard crittografici quantum-safe — la timeline più concreta che qualsiasi grande azienda tecnologica abbia mai fissato per la prontezza post-quantistica.
L'annuncio arriva insieme allo sviluppo di un chip hardware anti-deepfake che fornisce attestazione crittografica dell'autenticità dei media a livello hardware — affrontando simultaneamente due delle minacce a lungo termine più significative per la sicurezza digitale.
La timeline della minaccia quantistica
Gli esperti di crittografia concordano generalmente che i computer quantistici crittograficamente rilevanti (CRQC) capaci di violare RSA-2048 e la crittografia a curve ellittiche potrebbero emergere tra il 2029 e il 2035. La scadenza 2029 di Google posiziona l'azienda all'estremo aggressivo della preparazione:
- Cattura ora, decifra dopo: Gli attori statali stanno già intercettando e archiviando comunicazioni criptate, scommettendo che i computer quantistici alla fine permetteranno la decrittazione. I dati criptati oggi con RSA o ECC potrebbero essere leggibili entro un decennio
- Standard PQC del NIST: Il NIST ha finalizzato i primi standard di crittografia post-quantistica nel 2024 (ML-KEM, ML-DSA, SLH-DSA). La timeline di Google è allineata con il deployment completo di questi standard nella sua infrastruttura
- Approcci ibridi: Durante la transizione, Google sta implementando schemi crittografici ibridi che combinano algoritmi classici e post-quantistici — garantendo protezione anche se una famiglia di algoritmi viene compromessa
Attestazione hardware anti-deepfake
Il chip anti-deepfake fornisce firme crittografiche a livello hardware per foto e video al momento della cattura. Questo crea una catena di autenticità inviolabile dal sensore della fotocamera allo spettatore — rendendo computazionalmente impossibile creare deepfake che superino la verifica. Le funzionalità chiave includono:
- Root of trust hardware: L'attestazione crittografica origina da un modulo hardware antimanomissione, rendendo impossibile falsificare le firme di autenticità via software
- Firma in tempo reale: Ogni fotogramma video e ogni foto viene firmato al momento della cattura con una chiave che non lascia mai il modulo hardware
- Firme resistenti ai quanti: Lo schema di attestazione utilizza algoritmi crittografici post-quantistici, garantendo che la protezione anti-deepfake rimanga efficace anche dopo l'arrivo dei computer quantistici
Prospettiva KENSAI
Le organizzazioni dovrebbero iniziare la pianificazione della migrazione post-quantistica ora — non nel 2029. La scansione dell'infrastruttura di KENSAI identifica le implementazioni crittografiche sulla vostra superficie d'attacco, segnalando i sistemi che si affidano ad algoritmi vulnerabili ai quanti. Iniziare un inventario delle dipendenze crittografiche oggi è il primo passo verso la prontezza quantistica.
4. Kit exploit Coruna per iOS — Operation Triangulation ritorna
⚠️ ALTO — Il kit exploit Coruna per iOS contiene un exploit kernel aggiornato di Operation Triangulation
I ricercatori di sicurezza hanno identificato un nuovo kit exploit per iOS denominato "Coruna" che contiene una versione aggiornata dell'exploit kernel utilizzato in Operation Triangulation — il sofisticato attacco zero-click divulgato da Kaspersky nel 2023. Le organizzazioni con deployment iOS ad alto valore dovrebbero rivedere le configurazioni MDM e assicurarsi che i dispositivi eseguano l'ultima versione di iOS.
Il kit exploit Coruna rappresenta l'evoluzione di una delle campagne di attacco mobile più sofisticate mai scoperte. Operation Triangulation, originariamente divulgata da Kaspersky nel giugno 2023, prendeva di mira i dispositivi iOS utilizzando una catena di quattro vulnerabilità zero-day — incluso lo sfruttamento di una funzionalità hardware non documentata nei chip Apple serie A che nemmeno la maggior parte degli ingegneri Apple conosceva.
I ricercatori confermano ora che Coruna contiene una versione aggiornata del componente exploit kernel, adattata per le versioni iOS più recenti e l'hardware Apple Silicon:
Cosa è cambiato rispetto a Operation Triangulation
- Exploit kernel aggiornato: L'exploit kernel originale di Operation Triangulation (CVE-2023-38606) prendeva di mira i registri MMIO hardware. La versione di Coruna sfrutta un meccanismo hardware correlato ma distinto nei chip Apple A17/serie M più recenti
- Nuovi vettori di consegna: Mentre Operation Triangulation utilizzava attacchi zero-click via iMessage, Coruna sembra sfruttare molteplici meccanismi di consegna inclusi exploit Safari WebKit e potenzialmente attacchi di prossimità basati su AirDrop
- Persistenza migliorata: Il kit aggiornato include meccanismi di persistenza più resilienti che sopravvivono ai riavvii del dispositivo — un upgrade significativo rispetto all'impianto non persistente di Operation Triangulation
- Targeting più ampio: Operation Triangulation sembrava prendere di mira individui specifici. Il packaging del kit exploit commerciale di Coruna suggerisce che viene venduto a molteplici clienti sponsorizzati dallo stato
Implicazioni per la sicurezza mobile aziendale
La ricomparsa delle tecniche di Operation Triangulation in un kit exploit commerciale ha serie implicazioni:
- Gli attacchi zero-click persistono: Nonostante gli investimenti di Apple in Lockdown Mode e BlastDoor, gli attaccanti sofisticati continuano a trovare catene di attacco zero-click per iOS
- Gli exploit a livello hardware sono duraturi: Le vulnerabilità hardware non possono essere completamente mitigate solo attraverso patch software — persistono tra le versioni iOS fino alla sostituzione dell'hardware sottostante
- Il panorama delle minacce mobili si sta intensificando: La commercializzazione di exploit mobile di grado statale significa che più attori delle minacce hanno accesso a capacità precedentemente riservate alle agenzie di intelligence più sofisticate
Prospettiva KENSAI
La sicurezza dei dispositivi mobili è sempre più critica poiché le aziende si affidano agli smartphone per l'autenticazione multifattore, l'accesso alle email e le comunicazioni sensibili. La scansione della superficie d'attacco di KENSAI identifica l'infrastruttura esposta relativa ai dispositivi mobili — sistemi MDM, app store aziendali ed endpoint API mobili — che potrebbero essere sfruttati come parte di una campagna di exploitation mobile più ampia.
5. Cisco corregge molteplici vulnerabilità IOS ad alta severità
⚠️ ALTO — Corrette molteplici vulnerabilità Cisco IOS (DoS, bypass Secure Boot, escalation dei privilegi)
Cisco ha rilasciato patch per molteplici vulnerabilità di severità alta e media nel software IOS e IOS XE. Le falle potrebbero portare a denial-of-service, bypass del Secure Boot, divulgazione di informazioni ed escalation dei privilegi. Gli amministratori di rete dovrebbero prioritizzare il patching, specialmente per i dispositivi esposti a Internet.
Cisco ha rilasciato patch per una serie di vulnerabilità che interessano il suo software IOS e IOS XE — il sistema operativo in esecuzione sulla stragrande maggioranza di router, switch e infrastrutture di rete aziendali nel mondo. Il lotto di vulnerabilità include:
- Denial-of-Service (DoS): Molteplici vulnerabilità che consentono ad attaccanti remoti non autenticati di far crashare i dispositivi interessati o renderli non responsivi, interrompendo le operazioni di rete
- Bypass del Secure Boot: Una vulnerabilità che consente ad attaccanti con accesso fisico o privilegiato di bypassare il meccanismo Secure Boot di Cisco, potenzialmente caricando firmware non autorizzato sui dispositivi di rete
- Divulgazione di informazioni: Falle che potrebbero consentire agli attaccanti di estrarre dati di configurazione sensibili, credenziali o informazioni sulla rete interna dai dispositivi interessati
- Escalation dei privilegi: Vulnerabilità che consentono ad attaccanti con accesso limitato di scalare fino al controllo amministrativo completo dei dispositivi interessati
Perché le patch Cisco IOS sono importanti
L'infrastruttura di rete Cisco è la spina dorsale delle reti aziendali e governative a livello globale. Le vulnerabilità IOS sono particolarmente pericolose perché:
- Impatto a livello di rete: Un router o switch core compromesso può dare agli attaccanti visibilità su tutto il traffico che attraversa il dispositivo — e potenzialmente la capacità di intercettare, modificare o reindirizzare quel traffico
- Complessità del patching: L'aggiornamento del firmware IOS richiede tipicamente finestre di manutenzione e riavvii dei dispositivi, portando molte organizzazioni a rinviare le patch — a volte indefinitamente
- Lunga vita dei dispositivi: I dispositivi di rete rimangono spesso in produzione per 7-15 anni, ben oltre il loro ciclo di vita previsto, eseguendo versioni firmware con vulnerabilità note
Prospettiva KENSAI
L'infrastruttura di rete è frequentemente il livello meno aggiornato dello stack aziendale. La scansione automatizzata di KENSAI identifica i dispositivi Cisco che eseguono versioni IOS vulnerabili e li segnala per attenzione immediata — garantendo che l'hardware di rete riceva lo stesso scrutinio di sicurezza di server ed endpoint.
6. CISA segnala vulnerabilità critica PTC Windchill — Polizia tedesca mobilitata
⚠️ CRITICO — CVE-2026-4681 di PTC Windchill provoca risposta fisica del governo
CISA ha segnalato una vulnerabilità critica nel software PLM PTC Windchill (CVE-2026-4681) sufficientemente grave da mobilitare la polizia tedesca per avvertire fisicamente le organizzazioni colpite. Applicare immediatamente la patch. Se eseguite Windchill in qualsiasi ambiente di produzione, questa è un'azione di massima priorità.
In una rara escalation, la polizia tedesca ha visitato fisicamente le organizzazioni per avvertirle di una vulnerabilità critica in PTC Windchill, una piattaforma Product Lifecycle Management (PLM) ampiamente diffusa utilizzata da aziende manifatturiere, aerospaziali, della difesa e automobilistiche per gestire i dati di progettazione dei prodotti e la proprietà intellettuale.
La vulnerabilità, tracciata come CVE-2026-4681, è abbastanza grave che CISA l'ha aggiunta al suo catalogo Known Exploited Vulnerabilities (KEV), e le autorità federali tedesche hanno compiuto il passo straordinario di notifiche di persona — tipicamente riservate allo sfruttamento attivo contro infrastrutture critiche.
Perché PTC Windchill è un obiettivo ad alto valore
- Miniera di proprietà intellettuale: Windchill archivia dati completi di progettazione dei prodotti — file CAD, specifiche ingegneristiche, processi produttivi e informazioni sulla catena di fornitura. Per gli attaccanti statali, questo è spionaggio industriale su scala
- Esposizione difesa e aerospaziale: PTC Windchill è ampiamente utilizzato nelle catene di fornitura della difesa, il che significa che istanze compromesse potrebbero esporre informazioni classificate o non classificate controllate (CUI) relative a sistemi d'arma ed equipaggiamento militare
- Dati dei processi produttivi: Oltre ai progetti dei prodotti, Windchill gestisce dati dei processi produttivi che potrebbero essere utilizzati per introdurre manomissioni nella catena di fornitura o identificare dipendenze produttive critiche
- Visibilità di sicurezza limitata: I sistemi PLM sono spesso gestiti dai team di ingegneria piuttosto che dalla sicurezza IT, creando punti ciechi nei programmi di gestione delle vulnerabilità
Azioni immediate
- Applicare immediatamente la patch di sicurezza di PTC — questa vulnerabilità è confermata come sfruttata in natura
- Limitare l'accesso di rete alle istanze Windchill solo a utenti e reti autorizzati
- Verificare i log di accesso di Windchill per esportazioni di dati anomale, pattern di login insoliti o download massivi di file di progettazione
- Verificare se eventuali informazioni controllate/classificate archiviate in Windchill possano essere state accessibili
- Coordinarsi con i partner della catena di fornitura — se utilizzano Windchill, potrebbero anche essere interessati
Prospettiva KENSAI
Quando la polizia tedesca inizia a bussare alle porte, la vulnerabilità è già sfruttata. La scansione continua di KENSAI identifica sistemi PLM esposti e applicazioni aziendali che gli scanner di vulnerabilità tradizionali spesso mancano perché non rientrano negli inventari asset IT standard. La scoperta automatizzata dell'intera superficie d'attacco — inclusi i sistemi di ingegneria e produzione — è l'unico modo per garantire che nulla rimanga non scansionato.
7. GRC agentico — La rivoluzione dell'automazione della conformità
La convergenza tra agenti IA e Governance, Risk e Compliance (GRC) sta creando una nuova categoria: GRC agentico. Invece di utilizzare l'IA per accelerare i flussi di lavoro GRC esistenti, i sistemi GRC agentici sostituiscono interi processi operativi — raccolta delle evidenze, test dei controlli, preparazione degli audit e tracciamento delle remediation sono gestiti autonomamente dagli agenti IA.
Questo cambiamento ha profonde implicazioni per come le organizzazioni gestiscono la conformità:
Da periodico a continuo
- Raccolta delle evidenze: Invece di affannarsi trimestralmente per raccogliere evidenze per gli auditor, gli agenti raccolgono continuamente evidenze dai sistemi integrati — creando una postura di conformità in tempo reale piuttosto che un'istantanea puntuale
- Monitoraggio dei controlli: I controlli vengono testati in tempo reale anziché annualmente, con agenti che segnalano le deviazioni nel momento in cui si verificano piuttosto che scoprirle mesi dopo durante un audit
- Automazione della remediation: Quando gli agenti identificano lacune di conformità, aprono automaticamente ticket, assegnano compiti di remediation e fanno follow-up — riducendo il tempo medio di remediation da settimane a ore
Il cambiamento di identità per i professionisti GRC
L'impatto più significativo è sui professionisti GRC stessi. Quando gli agenti gestiscono l'esecuzione operativa, il ruolo si sposta da operatore di conformità a stratega del rischio:
- Definire cosa conta: Stabilire l'appetito per il rischio, decidere quali controlli proteggono realmente l'organizzazione rispetto a quelli che esistono perché "sono sempre stati così"
- Giudizi critici: Distinguere tra risultati automatizzati che rappresentano un rischio reale e rumore che può essere deprioritizzato
- Traduzione aziendale: Convertire il contesto aziendale in logica di conformità — qualcosa che richiede esperienza umana e conoscenza organizzativa che gli agenti non possono replicare
Prospettiva KENSAI
GRC agentico e scansione di sicurezza automatizzata sono partner naturali. I test di penetrazione continui di KENSAI forniscono le evidenze di sicurezza in tempo reale di cui i sistemi GRC agentici hanno bisogno per validare i controlli e dimostrare la conformità. Insieme, creano un ciclo chiuso: i test automatizzati trovano le vulnerabilità, la conformità automatizzata traccia la remediation e la scansione continua verifica la correzione — tutto senza intervento manuale.
Riepilogo giornaliero ricerca e prodotti
| Sviluppo | Impatto | Tipo | Azione richiesta |
|---|---|---|---|
| Lanci prodotti RSAC 2026 Giorni 3-4 | STRATEGICO | Industria | Valutare opzioni di consolidamento piattaforme |
| OpenAI Bug Bounty sicurezza IA | STRATEGICO | Lancio prodotto | Rivedere le pratiche di test di sicurezza IA |
| Google scadenza quantum-safe 2029 | STRATEGICO | Ricerca | Iniziare la pianificazione della migrazione post-quantistica |
| Kit exploit Coruna per iOS | ALTO | Ricerca | Rivedere la postura di sicurezza mobile aziendale |
| Cisco IOS patch multiple | ALTO | Patch | Applicare patch a tutti i dispositivi Cisco interessati |
| PTC Windchill CVE-2026-4681 | CRITICO | Vulnerabilità | Applicare patch immediatamente — sfruttamento attivo |
| Rivoluzione GRC agentico | INFO | Tendenza industria | Valutare la prontezza all'automazione GRC |