Palo Alto Networks amplia la collaborazione strategica con Aws e annuncia un retainer gratuito di incident response Unit 42, mentre la Cisa aggiorna il catalogo Kev inserendo due nuove vulnerabilità Android e pubblica cinque advisories critici per sistemi ICS. Questo doppio intervento, reso pubblico a dicembre 2025, rafforza in modo significativo la capacità difensiva di organizzazioni pubbliche e private. Il retainer Unit 42 offre ai clienti qualificati 250 ore di servizi forensi e investigativi senza costi iniziali, con risposta in due ore e accesso continuo 24/7. Questa soluzione consente di gestire attacchi sempre più rapidi: secondo le statistiche di Palo Alto, gli attaccanti riescono a esfiltrare dati in meno di un’ora in un incidente su cinque, e il 70% degli attacchi coinvolge ambienti multi-superficie, dal cloud agli endpoint fisici. Parallelamente, la Cisa pubblica nuove analisi tecniche rivolte ai settori industriali e sanitari, e aggiunge due vulnerabilità a elevato sfruttamento attivo nel catalogo Kev: CVE-2025-48572 e CVE-2025-48633, entrambe localizzate nel framework Android. Le agenzie federali devono applicare patch immediate in base alla direttiva BOD 22-01, mentre le organizzazioni private sono incoraggiate a procedere con la stessa urgenza. Il rafforzamento combinato di indagini cloud-native, intelligence industriale e gestione delle vulnerabilità riduce tempi di recupero e superficie di attacco, ponendo le basi per un innalzamento strutturale della resilienza digitale.
Cosa leggere
Partnership Palo Alto-Aws per incident response
La collaborazione tra Palo Alto Networks e Aws introduce un retainer Unit 42 gratuito progettato per offrire alle organizzazioni una risposta immediata agli incidenti più complessi. Il programma integra lo standard Aws Security Incident Response Service Ready, consentendo alle imprese di accedere in pochi minuti sia al team Unit 42, sia al Cirt di Aws. La struttura del retainer elimina il ritardo legato ai processi di procurement, permettendo un’attivazione immediata delle risorse investigative. Il servizio copre ambienti compositi che includono cloud ibridi, reti, endpoint e infrastrutture distribuite. Unit 42 gestisce oltre 500 incidenti ogni anno, consolidando un’esperienza diretta che consente approcci end-to-end: dalla raccolta delle prove forensi alla coordinazione con vendor esterni e consulenti legali. Gli attaccanti sfruttano architetture moderne per propagarsi più rapidamente, rendendo essenziale l’allineamento tra capacità tecniche e processi di triage. Il retainer garantisce 250 ore di supporto iniziale con priorità d’accesso, e offre prezzi preferenziali per attività proattive tramite Aws Marketplace. L’integrazione dei workflow cloud-native di Aws con la capacità investigativa di Unit 42 consente a clienti qualificati di identificare velocemente il punto di compromissione, ridurre l’impatto operativo e avviare le attività di recovery con maggiore rapidità.
Statistiche sulle minacce cyber
Le metriche rilevate da Unit 42 mostrano un panorama di minacce estremamente dinamico. In un incidente su cinque gli attaccanti riescono a compromettere ed esfiltrare dati in meno di un’ora, riducendo drasticamente la finestra di intervento dei team difensivi. Il 70% degli incidenti coinvolge almeno tre superfici differenti – reti interne, cloud, container, dispositivi mobile – indicando una strategia di attacco che si espande lungo tutta la supply chain digitale. L’86% degli incidenti gravi porta a interruzioni operative che impattano il business core delle aziende, sottolineando l’urgenza di soluzioni di risposta strutturate. Queste statistiche guidano l’impostazione del retainer, concepito per fornire una difesa immediata e multilivello. Gli attaccanti sfruttano vulnerabilità note e zero-day, movimenti laterali rapidi e infrastrutture distribuite. L’integrazione con Aws consente di monitorare e mitigare minacce presenti su cluster cloud, servizi containerizzati e workloads geograficamente distanti.
Funzionamento del retainer Unit 42
Il retainer Unit 42 semplifica l’accesso alle risorse di incident response, permettendo l’attivazione immediata degli esperti attraverso pipeline pre-approvate. Il servizio garantisce una risposta coordinata tra specialisti forensi, team cloud e consulenti legali. Quando un incidente viene attivato, Unit 42 assume la guida delle operazioni, orchestrando tutte le fasi: dall’analisi iniziale alla definizione delle azioni correttive. Il team sfrutta procedure collaudate derivate da oltre 500 response all’anno, applicando metodologie che riducono il tempo di contenimento e prevenendo ulteriori esfiltrazioni. L’intervento tempestivo è essenziale, soprattutto considerando che la maggior parte degli incidenti multi-superficie non consente analisi lente o frammentate. Il retainer permette di evitare silos organizzativi, unificando cloud, endpoint e rete in un’unica strategia operativa.
Advisories Cisa per sistemi ICS
La Cisa pubblica cinque advisories dedicati ai sistemi di controllo industriale (ICS), un’area particolarmente sensibile poiché integra componenti critici come automazione, infrastrutture energetiche, servizi medici e reti di fabbrica. Le nuove pubblicazioni riguardano vulnerabilità in prodotti di:
ICSA-25-336-01 Industrial Video & Control Longwatch
ICSA-25-336-02 Iskra iHUB and iHUB Lite
ICSMA-25-336-01 Mirion Medical EC2 Software NMIS BioDose
ICSA-25-201-01 Mitsubishi Electric CNC Series (Update A)
ICSA-23-157-02 Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series (Update C)
Tali advisories coprono problematiche che includono escalation dei privilegi, corruzione memoria, esposizione dati sensibili e malfunzionamenti in moduli di comunicazione. La Cisa invita amministratori ICS, vendor e operatori industriali a rivedere le configurazioni, applicare patch e implementare misure di hardening. Le vulnerabilità nei sistemi ICS hanno un impatto diretto su infrastrutture critiche, rendendo le mitigazioni prioritarie per minimizzare interruzioni e prevenire attacchi contro asset strategici.
Vulnerabilità nel catalogo Kev di Cisa
La Cisa aggiunge al catalogo Kev due vulnerabilità Android attivamente sfruttate: CVE-2025-48572 e CVE-2025-48633. La prima consente un’escalation dei privilegi, mentre la seconda comporta disclosure di informazioni sensibili attraverso componenti del framework Android. Entrambe rientrano tra le falle che richiedono intervento immediato da parte delle agenzie federali in conformità con la direttiva BOD 22-01.
- CVE-2025-48572 Android Framework Privilege Escalation Vulnerability
- CVE-2025-48633 Android Framework Information Disclosure Vulnerability
Il catalogo Kev elenca esclusivamente vulnerabilità con exploit noti, rappresentando un riferimento fondamentale per la gestione delle minacce emergenti. Gli exploit Android mostrano una tendenza costante verso attacchi che utilizzano dispositivi mobili come punto di accesso alle infrastrutture aziendali, soprattutto in contesti dove il BYOD è diffuso. La Cisa invita organizzazioni pubbliche e private a eseguire patching rapido e ad adottare politiche di gestione dei dispositivi più rigorose.
Impatto delle iniziative su organizzazioni
Le iniziative parallele di Palo Alto e Cisa migliorano in modo significativo la resilienza cyber delle organizzazioni. Il retainer Unit 42 riduce drasticamente i tempi di risposta agli incidenti, offrendo supporto immediato e senza costi upfront per mitigare esfiltrazioni rapide e attacchi multi-superficie. Le advisories ICS della Cisa aiutano settori critici a identificare vulnerabilità in sistemi complessi e a implementare patch e configurazioni sicure. L’aggiornamento del catalogo Kev consente una priorità efficace del patching, concentrando gli sforzi su minacce con exploit già osservati. Queste iniziative creano un ecosistema più robusto, in cui la collaborazione tra vendor tecnologici, cloud provider e agenzie federali permette una difesa integrata e strutturata. Le organizzazioni possono così ridurre tempi di downtime, rafforzare l’allineamento normativo e migliorare la continuità operativa, aumentando Consapevolezza e capacità di risposta di fronte a un panorama di minacce in costante evoluzione.
