Entrare in possesso di dati aziendali sensibili, persino segreti industriali. E bloccare l’operatività a scopo di estorsione (e non solo). Con danni nell’ordine dei milioni di euro. Il cybercrime si fa sempre più sofisticato e sono le aziende che operano in settori strategici, dall’energia alle telecomunicazioni, dalla sanità alla finanza a diventare vittime privilegiate.
Nonostante gli investimenti crescenti in soluzioni e piattaforme di cybersecurity sfugge però ai più la messa in sicurezza delle identità digitali. “È come se si proteggesse un’abitazione con una porta blindata ma si lasciassero aperte le finestre”, spiega a CorCom Coley Burke, Chief revenue officer di Semperis, azienda americana che ha mosso i primi passi grazie al Microsoft Incubator Programme e diventata in pochissimi anni un player di rilievo oltreoceano e non solo.
Quartier generale nel New Jersey Semperis opera a livello internazionale –400 circa i dipendenti totali e- e il suo team di ricerca e sviluppo è localizzato tra San Francisco e Tel Aviv, in Israele. Al 35mo posto della classifica globale Technology Fast 500 di Deloitte, accreditata da Microsoft e premiata da Frost & Sullivan con il “Competitive Strategy Leadership Award 2022”, Semperis è presente in tutti i Paesi europei attraverso uffici locali e soprattutto attraverso una fitta rete di partner di canale. E a maggio del 2022 ha ottenuto finanziamenti per oltre 200 milioni di dollari dal fondo Kkr, con la partecipazione di Ten Eleven Ventures, Paladin Capital Group, Atrium Health Strategic Fund, Tech Pioneers Fund e altri investitori, tra cui Insight Partners.
In visita a Roma, Burke in un incontro con CorCom ha acceso i riflettori sulle minacce crescenti e sull’evoluzione dello scenario e ha annunciato che “la presenza nel mercato crescerà e stiamo valutando l’apertura di una sede europea”.
Effetto domino devastante da una sola identità compromessa
“Gli attacchi informatici vengono messi a segno sfruttando le debolezze. E una delle principali è rappresentata dalla scarsa protezione delle identità digitali, ossia delle credenziali in capo ai dipendenti e dagli accessi attraverso dispositivi non adeguatamente protetti. Semperis promuove l’innovazione in una delle aree più trascurate ma cruciali della sicurezza informatica: la difesa del sistema di identità”.
In Italia il caso della Regione Lazio un esempio per tutti: l’attacco hacker è stato sferrato attraverso un pc in capo a un dipendente e ci sono volute settimane per ripristinare la piena operatività con un danno economico – che seppure non reso ufficialmente noto – non può che essere stato consistente. Per non parlare degli impatti sull’operatività e nel caso specifico dei servizi ai cittadini: si bloccò la piattaforma per la prenotazione dei vaccini Covid. “Si immagini cosa ciò possa significare per un’azienda. Basta un solo accesso compromesso a comprometterne a catena a decine, anche quelli con accesso a funzioni privilegiate. Un movimento trasversale su tutta la rete aziendale e non caso le aziende sono disposte a sborsare ingenti somme agli hacker pur di ottenere il ripristino dell’accesso a dati e infrastrutture cruciali”, evidenzia Burke.
Nel mirino le Active directory
“La maggior parte degli attacchi coinvolge l’identità e, a prescindere dal punto di accesso iniziale, nel mirino ci sono le cosiddette Active directory, come Microsoft Active Directory e Azure AD, utilizzati da oltre il 90% delle aziende e la tecnologia brevettata di Semperis protegge oltre 50 milioni di identità da attacchi informatici, violazioni dei dati ed errori operativi”, evidenzia Burke.
L’identità digitale e il cloud
La messa in sicurezza dell’identità digitale diventa ancor più dirimente se si considera la crescita esponenziale dell’adozione del cloud: “È logico aspettarsi che gli ambienti di identità ibridi vengano presi di mira con crescente frequenza. I servizi basati sul cloud non sono meno sicuri di quelli on-premise ma è l’approccio alla sicurezza che è diverso e dunque è necessario mettere a punto una strategia di ad hoc a seconda degli ambienti tenendo conto, nel caso del cloud, della virtualizzazione degli accessi”.
Il check up gratuito per individuare le vulnerabilità in tempo reale
Oltre a fornire tutta una serie di soluzioni per la messa in sicurezza delle identità digitali e della directory, Semperis offre gratuitamente un “check up” che consente ad aziende e organizzazioni di ottenere in tempo reale la propria mappa delle vulnerabilità. Si tratta di Semperis Purple Knight “che aiuta a individuare lacune e vulnerabilità spesso esistenti da anni, la mettiamo a disposizione di chiunque per avere un’idea immediata di falle e pericoli”, sottolinea Burke.
Secondo i risultati emersi da un sondaggio effettuato fra i responsabili IT e della sicurezza che utilizzano nei propri ambienti Purple Knight le aziende prese in esame hanno ottenuto una media del 68% in cinque categorie di sicurezza di Active Directory, un voto appena sufficiente. E le grandi organizzazioni hanno ottenuto risultati persino peggiori con un punteggio medio del 64%, dal quale si evince che le problematiche di sicurezza di Active Directory si ampliano a causa di applicazioni datate e ambienti complessi.
