Secondo il nuovo Report Purple Knight 2025, aziende e organizzazioni incontrano ostacoli nell’identificazione e risoluzione delle vulnerabilità di sicurezza nei sistemi di identità ibridi, come Active Directory, Entra ID e Okta. 

“L’Identity and Access Management (IAM) resta uno dei domini più critici nello sviluppo di un programma completo di Information Security”, commenta Enrico Morisi, Ict Security manager.

Ecco come mitigare i rischi legati all’identità.

Report Purple Knight 2025: i punteggi sui rischi legati alle identità

Il report ha riportato il punteggio medio di 61 su 100, ben 11 punti inferiore rispetto alla media di 72 del report del 2023.

L’indagine ha rilevato i punteggi inferiori nella categoria AD Infrastructure, a cui seguono Account Security, Kerberos, Group Policy, Entra ID ed Okta.

Tuttavia, gli utenti hanno registrato un avanzamento medio di 21 punti (e fino a 61), dopo l’applicazione dei consigli di remediation a cura degli esperti di sicurezza delle identità di Semperis.

I punteggi medi di Purple Knight, lo strumento gratuito di valutazione di Semperis, sono più elevati tra le organizzazioni con oltre 10 mila dipendenti, con un punteggio medio di 73, e tra le aziende di dimensioni inferiori (0–500 dipendenti), con un punteggio medio di 68 su 100.

Il punteggio inferiore, pari a 52, appartiene invece alle aziende più piccole (tra 2.001 e 5.000 dipendenti).

I settori più colpiti

“Le organizzazioni più grandi hanno più risorse, mentre quelle più piccole spesso hanno ambienti meno complessi da proteggere”, ha sottolineato Sean Deuby, Principal Technologist per le Americhe di Semperis: “Nelle aziende di medie dimensioni i professionisti dell’IT devono fare di tutto. Non ci sono specialisti AD a tempo pieno”.

Tra i settori in esame, il settore pubblico ha raggiunto il punteggio medio più basso (46 su 100), seguito da retail (con 51) e da trasporti ed istruzione (57 su 100). Il settore sanitario ha riportato una media bassa di 66 punti, ma la più alta tra i comparti verticali.

“Gli ambienti di identità ibridi sono complessi, e gli attori delle minacce lo sanno bene. In generale, le organizzazioni non possono proteggere ciò che non vedono”, spiega Deuby.

“Il report di Semperis evidenzia come complessità e debito tecnico da un lato, scarsità di fondi ed errata assegnazione delle priorità dall’altro, incidano pesantemente sulla security posture dei sistemi IAM e, quindi, delle organizzazioni”, conferma Morisi.

Come mitigare i rischi legati all’identità

I punteggi medi più bassi nel Report Purple Knight 2025 segnalano l’importanza cruciale per le imprese di valutare proattivamente le vulnerabilità dei loro sistemi di identità ibridi. Occorre risolvere le falle, colmando le eventuali lacune di sicurezza prima dello sfruttamento da parte degli attaccanti.

“Eseguire security testing periodici dei Directory Service, anche cloud-based, elementi fondamentali di una strategia di Identity Security, unitamente a funzionalità come il Single Sign-On (SSO), la Multi-Factor Authentication (MFA) o quelle tipiche dell’Identity Lifecycle Management, rappresenta certamente una pratica essenziale, così come includerli nel perimetro di visibilità del Security Operation Center (SOC) mediante l’integrazione con un SIEM (Security Information and Event Management) e un SOAR (Security Orchestration, Automation and Response) magari potenziati con tecnologie di AI, con l’obiettivo sfidante di ottimizzare efficacia e tempi di detection e response”, suggerisce Enrico Morisi.

Tuttavia, ancora una volta, “senza un adeguato sviluppo della cultura della sicurezza, che permei completamente il tessuto aziendale, a partire dai vertici delle organizzazioni, non si riusciranno a compiere i necessari investimenti, e ad orientarli nella giusta direzione”, conclude l’analista.