Un'intrusione low-and-slow è un modello di attacco progettato per rimanere al di sotto delle normali soglie di rilevamento. Invece di generare un picco evidente di malware, scansioni o accessi falliti, l'attaccante distribuisce l'attività nel tempo, limita il traffico e si confonde con l'amministrazione di routine o il comportamento degli utenti.
Questo è importante perché molte difese sono tarate per individuare i picchi: avvisi ripetuti, grandi trasferimenti di dati o sfruttamenti evidenti. Un operatore paziente può evitare questi segnali usando account validi, muovendosi gradualmente tra i sistemi e mantenendo scarso il traffico di comando e controllo. In ambienti reali, questo porta spesso a lunghi tempi di permanenza, log incompleti e incertezza sul fatto che l'attività sia legittima o malevola.
Difendersi richiede più di semplici avvisi basati sulle firme. I team di sicurezza hanno bisogno di una forte copertura dei log, baseline del comportamento normale, monitoraggio delle identità e correlazione tra endpoint, reti e servizi cloud. In breve, l'intrusione low-and-slow trasforma la visibilità stessa nel principale controllo difensivo.