La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurezza informatica. La quinta edizione si terrà a Roma, lunedì 18 e martedì 19 maggio 2026, presso lo storico Teatro Italia, e vedrà due giornate dense di contenuti, attività pratiche e networking. Lunedì 18 sarà dedicato ai workshop “hands-on” (che verranno realizzati con il nostro storico sponsor Accenture Italia che ci ha accompagnato nelle ultime 3 edizioni) e alla competizione Capture The Flag, mentre martedì 19 andrà in scena la conferenza principale, con interventi di esperti e la premiazione ufficiale della CTF.

Con l’avvicinarsi dell’evento, Red Hot Cyber apre ufficialmente il Program Sponsor per l’edizione 2026. Si tratta di un’iniziativa fondamentale che, come ogni anno, consente alle aziende di affiancare il proprio brand a un evento di riferimento in Italia sul tema della cybersecurity.

Le sponsorizzazioni non rappresentano solo un contributo alla realizzazione dell’evento, ma anche un’opportunità di grande visibilità e posizionamento strategico all’interno di un ecosistema che raccoglie professionisti, istituzioni e giovani talenti. Inoltre consentono di rendere questo evento accessibile a tutti in forma gratuita.

Le modalità di adesione sono diversificate per permettere alle aziende di scegliere il livello di coinvolgimento più adatto. Come di consueto, sono previsti tre pacchetti principali – Platinum, Gold e Silver – che garantiscono vantaggi crescenti in termini di presenza mediatica, spazi espositivi e opportunità di interazione diretta con i partecipanti. Oltre a questi, è possibile diventare “sponsor sostenitori”, le prime realtà che credono nel progetto e che contribuiscono ad avviare concretamente i lavori organizzativi della conferenza.

All’interno della Red Hot Cyber Conference 2026, le aziende che aderiranno come Sponsor Sostenitore o Sponsor Platinum avranno un vantaggio esclusivo: la possibilità di tenere uno speech durante la conferenza, un’occasione unica per presentarsi davanti a un pubblico qualificato, composto da esperti, professionisti, istituzioni e appassionati del mondo digitale e della sicurezza informatica. Questo anno sarà possibile, da parte degli sponsor, acquisire anche degli spazi espositivi che saranno posizionati nel foyer del teatro.

Inoltre, per tutti i livelli di sponsorizzazione – dai sostenitori fino al Silver – sarà incluso nel pacchetto un programma di branding dedicato, che prevede la presenza di un banner in rotazione sul sito ufficiale di Red Hot Cyber, la pubblicazione di articoli sul portale e il conseguente rilancio sui canali social ufficiali della community. Una formula pensata per massimizzare la visibilità degli sponsor, garantendo un ritorno di immagine concreto e continuativo, non limitato ai soli giorni dell’evento ma esteso anche nei mesi precedenti e successivi alla conferenza.

Le adesioni sono già aperte per aderire come sponsor alla Red Hot Cyber Conference 2026. Per ricevere il Media Kit e tutte le informazioni relative ai vantaggi delle diverse formule di sponsorizzazione, è possibile scrivere a sponsor@redhotcyber.com

Questa è l’occasione ideale per prendere parte a un evento unico in Italia, entrare in contatto con i principali protagonisti della cybersecurity e dimostrare concretamente il proprio impegno verso l’innovazione e la consapevolezza digitale.

L'articolo Red Hot Cyber Conference 2026: Aperte le Sponsorizzazioni per la Quinta Edizione a Roma proviene da il blog della sicurezza informatica.

Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado di orchestrare oltre 150 agenti di intelligenza artificiale specializzati, capaci di condurre in autonomia scansioni, sfruttamento e persistenza sugli obiettivi. A poche ore dalla sua diffusione, però, è stato oggetto di discussioni nel dark web, dove diversi attori hanno tentato di impiegarlo per colpire vulnerabilità zero-day, con l’obiettivo di installare webshell per l’esecuzione di codice remoto non autenticato.

Hexstrike-AI era stato presentato come un “rivoluzionario framework di sicurezza offensiva basato sull’intelligenza artificiale”, pensato per combinare strumenti professionali e agenti autonomi. Tuttavia, il suo rilascio ha rapidamente suscitato interesse tra i malintenzionati, che hanno discusso del suo impiego per sfruttare tre vulnerabilità critiche di Citrix NetScaler ADC e Gateway, rivelate il 26 agosto. In poche ore, uno strumento destinato a rafforzare la difesa è stato trasformato in un motore di sfruttamento reale.
Post sul dark web che parlano di HexStrike AI, subito dopo il suo rilascio. (Fonte CheckPoint)
L’architettura del framework si distingue per il suo livello di astrazione e orchestrazione, che permette a modelli come GPT, Claude e Copilot di gestire strumenti di sicurezza senza supervisione diretta. Il cuore del sistema è rappresentato dai cosiddetti MCP Agents, che collegano i modelli linguistici alle funzioni offensive. Ogni strumento, dalla scansione Nmap ai moduli di persistenza, viene incapsulato in funzioni richiamabili, rendendo fluida l’integrazione e l’automazione. Il framework è inoltre dotato di logiche di resilienza, capaci di garantire la continuità operativa anche in caso di errori.

Particolarmente rilevante, riporta l’articolo di Check Point, è la capacità del sistema di tradurre comandi generici in flussi di lavoro tecnici, riducendo drasticamente la complessità per gli operatori. Questo elimina la necessità di lunghe fasi manuali e permette di trasformare istruzioni come “sfrutta NetScaler” in sequenze precise e adattive di azioni. In tal modo, operazioni complesse vengono rese accessibili e ripetibili, abbattendo la barriera di ingresso per chi intende sfruttare vulnerabilità avanzate.
HexStrike AI MCP Toolkit. (Fonte CheckPoint)
Il tempismo del rilascio amplifica i rischi. Citrix ha infatti reso note tre vulnerabilità zero-day: la CVE-2025-7775, già sfruttata in natura con webshell osservate su sistemi compromessi; la CVE-2025-7776, un difetto di gestione della memoria ad alto rischio; e la CVE-2025-8424, relativa al controllo degli accessi nelle interfacce di gestione. Tradizionalmente, lo sfruttamento di queste falle avrebbe richiesto settimane di sviluppo e conoscenze avanzate. Con Hexstrike-AI, invece, i tempi si riducono a pochi minuti e le azioni possono essere parallelizzate su vasta scala.

Le conseguenze sono già visibili: nelle ore successive alla divulgazione dei CVE, diversi forum sotterranei hanno riportato discussioni su come usare il framework per individuare e sfruttare istanze vulnerabili. Alcuni attori hanno persino messo in vendita i sistemi compromessi, segnalando un salto qualitativo nella rapidità e nella commercializzazione delle intrusioni. Tra i rischi principali vi è la riduzione drastica della finestra temporale tra divulgazione e sfruttamento di massa, che rende urgente un cambio di paradigma nella difesa.
Pannello superiore: Post del dark web che afferma di aver sfruttato con successo gli ultimi Citrix CVE utilizzando l’intelligenza artificiale HexStrike, originariamente in russo; Pannello inferiore: Post del dark web tradotto in inglese utilizzando il componente aggiuntivo Google Translate. (Fonte Checkpoint)
Le mitigazioni suggerite indicano un percorso chiaro. È fondamentale applicare senza indugi le patch rilasciate da Citrix e rafforzare autenticazioni e controlli di accesso. Allo stesso tempo, le organizzazioni sono chiamate a evolvere le proprie difese adottando rilevamento adattivo, intelligenza artificiale difensiva, pipeline di patching più rapide e un monitoraggio costante delle discussioni nel dark web. In aggiunta, viene raccomandata la progettazione di sistemi resilienti, basati su segmentazione, privilegi minimi e capacità di ripristino, così da ridurre l’impatto di eventuali compromissioni.

L'articolo Hexstrike-AI scatena il caos! Zero-day sfruttati in tempo record proviene da il blog della sicurezza informatica.

Microsoft ha presentato POML (Prompt Orchestration Markup Language), un nuovo linguaggio di markup pensato per l’orchestrazione dei prompt e progettato specificamente per favorire la prototipazione rapida e strutturata di modelli linguistici di grandi dimensioni (LLM).

L’obiettivo di POML è affrontare le limitazioni dello sviluppo tradizionale dei prompt – spesso caratterizzato da mancanza di struttura, integrazione complessa dei dati e sensibilità al formato – offrendo un approccio modulare, leggibile e manutenibile. Tuttavia, la sua introduzione ha suscitato un vivace dibattito: per alcuni è un passo avanti nell’ingegneria dei prompt, per altri non è che una “rivisitazione” di XML, con una complessità che potrebbe ridurne l’adozione pratica.

Dal punto di vista sintattico, POML si avvicina a HTML: utilizza tag semantici come , , , e per scomporre prompt complessi in componenti riutilizzabili e chiaramente definiti. In questo modo gli sviluppatori possono organizzare sistematicamente i prompt, incorporare dati eterogenei (testo, tabelle, immagini) e gestire la formattazione dell’output attraverso uno stile separato simile a CSS, riducendo l’instabilità tipica dei modelli sensibili al layout dei prompt.

Oltre al linguaggio, Microsoft ha introdotto un ecosistema di strumenti di supporto. L’estensione per Visual Studio Code fornisce evidenziazione della sintassi, completamento automatico contestuale, anteprima in tempo reale e diagnostica degli errori. Inoltre, gli SDK per Node.js e Python permettono di integrare POML nei flussi di lavoro esistenti e nei framework basati su LLM. Un esempio tipico consiste nell’uso combinato di , e per definire attività multimodali che includono immagini e requisiti di output.

La comunità degli sviluppatori ha accolto POML in modo contrastante. Da un lato, c’è chi ne apprezza l’approccio strutturato, il motore di template (con variabili, cicli e condizioni) e la possibilità di semplificare la gestione di prompt complessi. Dall’altro, non mancano critiche sulla somiglianza con XML e sulla sensazione che la scrittura dei prompt si trasformi in una vera e propria attività di codifica, con un conseguente aumento della curva di apprendimento. Alcuni osservatori ritengono inoltre che, con il crescente impiego di agenti AI e invocazione di strumenti, la rigidità dei prompt sia oggi meno rilevante, ridimensionando così l’effettiva necessità di un linguaggio come POML.

Tra gli scenari applicativi più promettenti figurano la generazione di contenuti dinamici, i test A/B su formati di prompt e la creazione di istruzioni multimodali. Ad esempio, POML può essere utilizzato per generare report automatici a partire da dati tabellari o per sperimentare rapidamente diversi layout di output variando semplicemente i fogli di stile. Microsoft sottolinea come la separazione tra contenuto e presentazione renda POML adattabile a diversi LLM e contribuisca a migliorarne la robustezza complessiva.

Con l’espansione della community open source e il perfezionamento della toolchain, POML potrebbe affermarsi come uno standard di riferimento nell’ingegneria dei prompt, aprendo la strada a pratiche di sviluppo più solide e scalabili nel settore dell’IA generativa.

L'articolo Microsoft presenta POML per l’orchestrazione dei prompt LLM proviene da il blog della sicurezza informatica.

Gestire la sicurezza non è affatto semplice, non è qualcosa di standardizzabile, ma soprattutto non può avvenire a colpi di “soluzioni”. Serve progettazione, analisi e la capacità di avere una visione d’insieme e soprattutto perseguire gli obiettivi di mantenere dati e sistemi ad un livello di sicurezza accettabile. Le cause di crisi più comuni sono lo scollamento fra ciò che si è fatto e ciò che si vorrebbe fare, o ancor peggio ciò che si crede di aver fatto. Insomma: sia l’ipotesi in cui i desiderata non siano raggiungibili in concreto, sia quella in cui ci si illude di essere al sicuro, sono fonte di gran parte dei problemi che possono essere riscontrati nelle organizzazioni di ogni dimensione.

Per questo motivo, esistono delle funzioni – o meglio: degli uffici – che sono deputati non solo ad una sorte di controllo di gestione della sicurezza, ma anche e soprattutto ad un’azione di advisoring continua della Direzione in modo tale che si possano contrastare allucinazioni di varia natura. Non da ultima, quella della cosiddetta paper security. Ovverosia la sicurezza scritta e mai attuata, in cui si ritiene che un formalismo possa mettere in salvo dall’azione di qualsiasi threat actor.

Questi uffici sono quello del CISO e del DPO. Il primo è caratterizzato da un campo d’azione decisamente più ampio mentre il secondo è verticalizzato sugli aspetti di gestione dei dati personali fra cui rientra anche la sicurezza. La correlazione fra Data Privacy e Data Security è ricorrente in gran parte delle norme, nei sistemi di gestione e nell’esperienza pratica delle organizzazioni.

Quel che occorre è che però CISO e DPO sappiano operare come un tag team nella gestione della sicurezza, anziché come concorrenti. Anche quando le funzioni sono esterne e affamate di upselling. Ma la Direzione sa come impiegarli e soprattutto come verificare la correttezza del loro operato? Ecco la nota dolente. Spesso si ricorre a un CISO perchè fa fancy, o a un DPO perchè obbligatorio. Ma raramente si sa rispondere alla domanda se questi stiano facendo bene il proprio lavoro, accontentandosi dei report periodici e qualche slide messa lì per giustificare i compensi corrisposti.

Superiamo un malinteso: sia il CISO che il DPO possono essere controllati e questo non ne compromette l’apporto. Tanto nell’ipotesi che siano interni che esterni. Come ogni organismo dell’organizzazione – ivi incluso l’OdV – devono comprovare di aver adempiuto agli obblighi contrattualmente definiti nonché alle mansioni richieste dallo svolgimento dell’incarico. Alcuni potrebbero sostenere – anzi: hanno sostenuto – che così viene compromessa l’indipendenza della funzione, facendo salire le Nessuno mi può giudicare vibes. Errando profondamente. Perché ciò che non può essere sindacato è l’ambito discrezionale affidato alle funzioni di controllo e l’esito delle loro valutazioni, non il fatto che queste non svolgano il proprio incarico correttamente.

Quindi bene coinvolgerli e farli lavorare, ancor meglio comprendere come farli lavorare al meglio. Valorizzando i punti di forza e mitigando le criticità.

Punti di forza: cooperazione fra CISO e DPO.

“Together we stand, divided we fall” , ricordano i Pink Floyd. Questo, nella sicurezza, è un leitmotiv comune a molteplici funzioni e ricorrente per CISO e DPO. Ma come agire in cooperazione? Certamente, sedere ai tavoli di lavoro è importante ma sapere anche qual è l’apporto reciproco che si può dare ai progetti, o il perimetro di intervento, è fondamentale.

Buona prassi vuole che si condividano progetti anche in cui l’ultima parola è naturalmente del CISO o del DPO, come ad esempio, rispettivamente, nella decisione circa una misure di sicurezza o altrimenti un parere circa l’adeguatezza della stessa rispetto ai rischi per gli interessati. Insomma: condivisione degli obiettivi, dei progetti e rispetto dei ruoli.

La Direzione deve pertanto predisporre i flussi informativi ma anche coinvolgere le figure all’interno dei tavoli di lavoro della sicurezza, avendo contezza di cosa chiedere a chi, potendo così gestire al meglio la roadmap di attuazione e di controllo della sicurezza dei dati e dei sistemi.

Chiarire i termini e le modalità di cooperazione è utile non solo per evitare inutili ripetizioni, ma soprattutto per prevenire quei conflitti che possono emergere quando ci sono ambiti comuni d’intervento.

Criticità: competizione fra CISO e DPO.

La sovrapposizione dell’azione del CISO e del DPO è inevitabile, ma dev’essere gestita correttamente. Altrimenti diventa competizione. E oramai la favola della coopetition è decisamente sfumata, dal momento che innalza il livello di conflitto interno in azienda, nonché porta ad inevitabili deragliamenti dal tracciato degli obiettivi di sicurezza.

La Direzione non solo deve astenersi dal promuovere conflitti, ma prevenirli presentando adeguatamente le funzioni e chiarendo che cosa si attende come risultati. Questo può significare stabilire KPI, richiedere pareri congiunti o in sinergia, o altrimenti assegnare valutazioni di rischio in prospettiva di integrazione o confronto, ad esempio.

Insomma: CISO e DPO possono migliorare la gestione della sicurezza.

Ma occorre aver letto bene le istruzioni per l’uso.

L'articolo CISO vs DPO: collaborazione o guerra fredda nelle aziende? proviene da il blog della sicurezza informatica.

Un approccio unificato e sicuro per supportare la trasformazione digitale, abilitare il lavoro ibrido e ridurre la complessità operativa.

A cura di Federico Saraò, Specialized System Engineer SASE, Fortinet Italy

La natura delle digital operations di un’azienda è drasticamente cambiata nell’ultimo decennio. Il tradizionale modello di lavoro al terminale in ufficio è stato completamente rivoluzionato per lasciar spazio ad un modello dinamico dove le attività aziendali sono sempre più distribuite in maniera capillare sia all’interno che all’esterno della sede di lavoro, e per questo necessitano di poter essere eseguite da qualsiasi tipo di terminale in maniera tempestiva.

Per garantire questa flessibilità operativa, risulta strettamente necessario per le aziende migrare verso un nuovo modello architetturale che permetta un accesso facile e continuo, ma sempre sicuro, alle proprie infrastrutture.
Federico Saraò, Specialized System Engineer SASE, Fortinet Italy
La flessibilità non può prescindere però da tre aspetti fondamentali:

• garantire unelevato livello di sicurezzasu tutte le componenti dell’architettura aziendale, dall’utente al dispositivo, passando inevitabilmente per la rete e le applicazioni, garantendo consistenza e uniformità di accesso alle applicazioni ovunque queste vengano erogate (in public cloud, private cloud, on-premise DC), per tutti gli utenti, ovunque essi si trovino (in sede aziendale o da remoto);
• migliorare l’efficacia in termini digestione, controllo e monitoraggio, per un management degli eventi critici corretto, tempestivo e soprattutto semplificato, in quanto la complessità operativa è da sempre un fattore critico nella security;
• indirizzare irequisiti di conformità delle regolamentazionirichieste nei vari settori industriali e nelle diverse aree geografiche in cui si opera, sempre più stringenti per garantire la corretta fruizione dei servizi.

Il frameworkSASE(Secure Access Service Edge) nasce proprio come risposta a queste necessità, definendo un modello di sicurezza evolutivo che negli ultimi anni è cambiato rispetto alle sue origini che lo vedevano principalmente come strumento abilitante al lavoro remoto.

Il SASE è molto di più di un’innovativa soluzione per la gestione dell’accesso remoto, ma si propone come un modello in grado di integrare nativamente soluzioni e funzionalità multiple di networking e security su un’unica piattaforma cloud, per semplificare l’operatività, efficientare la visibilità ed il monitoring, applicare politiche di sicurezza trasversali e consentire una trasformazione digitale sicura su larga scala.

I nuovi modelli architetturali utilizzati dalle aziende per gestire al meglio la delocalizzazione degli utenti e delle risorse, hanno sicuramente garantito l’ottimizzazione delle performances e della user-experience ma al contempo hanno drasticamente aumentato la potenziale superficie d’attacco delle reti, rendendola fortemente eterogenea vista la diversa natura dei servizi in gioco.

L’adozione di una soluzione SASE da parte di un’azienda non può prescindere da un’assunzione primaria: la sicurezza dell’infrastruttura.

Diventa quindi essenziale trovare un nuovo modello implementativo che possa, in maniera unificata, gestire e proteggere tutte le componenti dell’infrastruttura, erogando parallelamente servizi di sicurezza eterogenei, tutti volti alla protezione dell’infrastruttura end-to-end.

Tra questi servizi, i principali che caratterizzano un modello Unified SASE sono il NGFWaaS (Next-Gen Firewall as a Service), SWG (Secure Web Gateway), SDWAN, CASB (Cloud Access Security Broker), DLP (Data Loss Prevention), RBI (Remote Browser Isolation), Endpoint Security, Sandboxing, DEM (Digital Experience Monitoring), il tutto all’interno di un’unica piattaforma.

In aggiunta a questi servizi però, all’interno del framework SASE, riveste un ruolo fondamentale il concetto diUniversal Zero-Trust-Network Access (ZTNA), che permette l’implementazione di una politica di sicurezza globale in grado di fornire un’esperienza di sicurezza coerente per tutti gli utenti e le risorse di una rete aziendale.

Attraverso lo Universal ZTNA ci si pone l’obiettivo di garantire la massima protezione per l’accesso alle risorse ed ai servizi aziendali verificando lo stato e la compliance del singolo utente e del singolo dispositivo prima di ogni sessione; si tratta di una verifica continua e puntuale dell’identità e del contesto, in tempo reale, in grado di identificare immediatamente qualsiasi cambiamento di stato della rete e dei dispositivi, per poter reagire di conseguenza proteggendo l’infrastruttura e garantendo un’esperienza di connessione prevedibile e affidabile agli utenti.

La combinazione del concetto di Universal ZTNA, insieme agli altri servizi offerti nell’ambito del framework UnifiedSASE, rappresentano la vera rivoluzione nel paradigma della sicurezza di cui le aziende hanno bisogno per proteggere al meglio le loro reti.

È importante che la soluzione possa modularsi sulla base delle esigenze degli utenti e dei loro dispositivi, fornendo il servizio sia attraverso unagent unificato (utilizzabile anche sui dispositivi mobili), ma anche in modalitàagentless, garantendo opzioni di implementazione flessibili. Allo stesso modo è fondamentale la possibilità di disporre di un’ampia rete di POP globaliche possano garantire l’applicazione delle politiche di sicurezza secondo la logica di prossimità geografica degli utenti e delle sedi aziendali, soddisfacendo le esigenze di conformità e prestazioni.

Infine, risulta essenziale che la soluzione sia dotata di interfacce di gestione semplificate e strumenti di assistenza basati sull’intelligenza artificiale per ridurre i costi operativi e identificare le minacce in modo tempestivo per prevenire attacchi e ridurre i rischi per l’azienda. Questo può avvenire attraverso servizi di SOC as-a-servicee diForensic Analysis integrati nella piattaforma volti a supportare i team di sicurezza nelle attività di analisi.

Adottare un framework Unified SASE significa abilitare un modello architetturale capace di rispondere alle esigenze di scalabilità, sicurezza e performance richieste dalle infrastrutture moderne fornendo alle aziende non solo più sicurezza, ma anche più agilità e competitività.

SASE non è solo un’evoluzione tecnologica, ma un acceleratore strategico per abilitare il business digitale in modo sicuro e resiliente: il passo decisivo per affrontare con fiducia le sfide digitali di domani.

L'articolo Rivoluziona i modelli di sicurezza con il framework Unified SASE proviene da il blog della sicurezza informatica.