Semperis, la strategica protezione dell’Active Directory
Semperis intende fornire protezione dagli attacchi e consentire di recuperare rapidamente i sistemi compromessi, senza perdere dati critici o configurazioni aziendali.
È un dato di fatto che il ransomware oggi sia la più grande minaccia alla sicurezza informatica che la maggior parte delle imprese deve affrontare, per i dati, le infrastrutture e Active Directory. Secondo l’ultimo report sui rischi ransomware realizzato da Semperis, azienda focalizzata sull’identity protection, il 58% delle organizzazioni italiane subisce attacchi ransomware nei fine settimana e nei giorni festivi, ma l’82% delle aziende ha ridotto il personale addetto alla sicurezza fino al 50%. Nel 90% dei casi gli autori degli attacchi ransomware compromettono il sistema di identità di un’organizzazione, il più delle volte Active Directory. È evidente come la sicurezza dell’identità sia fondamentale nel panorama digitale odierno per proteggere le risorsee i dati più sensibili di un’organizzazione, garantendo che solo gli utenti autenticati e autorizzati possano accedere ai sistemi critici, riducendo il rischio di violazioni dei dati.
Protezione delle identità digitali, l’aspetto più critico
“L’aspetto più critico rimane la protezione delle identità digitali, che rappresentano il principale vettore d’attacco – afferma Bruno Filippelli, Sales Director Semperis Italy –. Il 90% degli attacchi passa attraverso prodotti Microsoft, e di questi, l’80% colpisce le infrastrutture di directory e gestione delle identità. Questo dato evidenzia come gli attaccanti puntino strategicamente sui sistemi di autenticazione e gestione degli accessi”.
L’Italia, in particolare, si trova in una posizione di elevato rischio. “L’anno scorso, siamo stati il secondo Paese più attaccato al mondo. Per anni abbiamo pensato di essere al sicuro, lontani dalle principali minacce. Ma la realtà è che oggi siamo un bersaglio primario”.
L’assenza di un ente regolatore con un ruolo incisivo nella cybersecurity italiana si traduce in una maggiore vulnerabilità del settore pubblico, soprattutto in un contesto geopolitico instabile. “In un periodo di crisi globale, di guerre e di minacce ibride, il pubblico è uno dei soggetti più esposti, anche perché fatica ad ammodernarsi rapidamente”, sottolinea Filippelli.
La paura a chiedere supporto esterno
A fronte della mancanza di un sistema strutturato per la gestione delle emergenze a livello nazionale in ambito cybersecurity, alcune aziende hanno implementato servizi di pronto intervento, offrendo assistenza immediata anche a soggetti esterni al proprio ecosistema. “Sul nostro sito, per esempio – spiega Filippelli – è disponibile un servizio di pronto intervento anche per chi non è un nostro cliente. Se qualcuno subisce un attacco, abbiamo un numero di telefono dedicato per fornire supporto in situazioni critiche”. Tuttavia, in Italia l’adozione di questi strumenti rimane limitata: “Sinora, però, non abbiamo ricevuto alcuna chiamata. Questo dimostra quanto sia ancora radicata la paura e la diffidenza nel richiedere supporto esterno”.
A differenza di alcuni esempi internazionali, dove la condivisione degli attacchi subiti è vista come un’opportunità di crescita e di miglioramento delle difese collettive, in Italia il settore privato è restio a divulgare i dettagli delle violazioni subite. “Altrove, essere attaccati significa attivare un meccanismo di knowledge sharing, coinvolgendo l’intero ecosistema per risolvere insieme il problema. In Italia, invece, non siamo ancora a quel punto, e nel privato si fa fatica a reperire informazioni su ciò che è successo”.
Nel settore pubblico, invece, le informazioni sugli attacchi subiti sono spesso divulgate rapidamente e senza filtri, con una conseguente esposizione mediatica. “Anche per questo motivo la percezione del rischio e dell’esposizione è differente”.
Semperis mantiene un presidio costante sulle infrastrutture dei propri clienti, offrendo un servizio di Incident Response attivo 24/7. “Non appena si verifica un attacco – spiega Filippelli – interveniamo direttamente supportando il cliente nell’esecuzione delle procedure di risposta, analizzando il perimetro compromesso e lavorando per ripristinare la piena operatività. Il nostro coinvolgimento non si limita alla vendita di soluzioni: siamo direttamente impegnati nella gestione dei nostri prodotti e nella protezione dei sistemi che implementiamo”.
Solo vendita indiretta con partner altamente qualificati
Il modello di distribuzione adottato da Semperis è totalmente indiretto e si basa su un canale solido e altamente specializzato. All’interno dell’ecosistema dei partner si distinguono due tipologie principali. “Da un lato ci sono i partneraltamente specializzati sulla tecnologia, come quelli esperti di Active Directory e Identity & Access Management (IAM). Questi professionisti comprendono in dettaglio le dinamiche di compromissione delle identità e sono in grado di implementare contromisure avanzate”. Dall’altro, ci sono i partner focalizzati sulla sicurezza operativa, come i Security Operations Center (SOC) vendor. “Questi soggetti gestiscono la threat intelligence e la detection a livello enterprise, integrando i nostri strumenti nei loro processi di monitoraggio e incident handling”.
Gli impatti di un’intrusione possono essere devastanti. Antonio Feninno, Vice President of Sales di Semperis per il Sud EMEA, precisa che “il ransomware non si limita a cifrare le macchine, ma compromette l’intera identità digitale di un’azienda. Se l’Active Directory viene resa inutilizzabile, l’intera organizzazione rischia di dover essere ricostruita da zero. Alcune aziende hanno chiuso a seguito di attacchi di questo tipo, mentre altre hanno dovuto avviare progetti di recovery pluriennali per ripristinare le proprie infrastrutture”,
La partnership con i vendor specializzati e i SOC è quindi fondamentale per garantire un ecosistema di difesa resiliente. “Il nostro modello prevede un supporto costante, con un team dedicato alla recovery e alla risposta agli attacchi, disponibile in qualsiasi momento per assistere i clienti nella fase critica di contenimento e ripristino – aggiunge Filippelli –. L’installazione delle nostre soluzioni è rapida e poco onerosa, ma, soprattutto, lavoriamo in sinergia con i SOC e i team di cybersecurity per integrare le nostre tecnologie nei loro processi di protezione”.
Una crescita annuale oltre il 200%
“Il futuro del mercato presenta prospettive promettenti, grazie a una crescita costante e a strategie di espansione mirate. Abbiamo in programma nuove assunzioni, soprattutto in Italia, che rappresenta un focus strategico per noi – sostiene Feninno –. Attualmente il nostro tasso di crescita annuo supera stabilmente il 200% e intendiamo sviluppare un piano per incrementare la forza vendita dell’azienda”.
“Siamo presenti su tutti i vertical – aggiunge Feninno –, ma un settore su cui vogliamo investire in maniera significativa è la Pubblica Amministrazione. Per noi è strategica, però presenta sfide complesse dovute alla burocrazia e ai tempi di implementazione delle soluzioni. Abbiamo già clienti di rilievo, ma vogliamo incrementare ulteriormente la quota di mercato. In Spagna e Portogallo, i colleghi hanno fatto un lavoro eccezionale nella Public Administration. Vogliamo replicare quel modello anche in Italia, sfruttando le esperienze e le best practice adottate in tali mercati”.
La focalizzazione che fa la differenza
Qual è l’aspetto che principalmente differenzia Semperis dai concorrenti? “La focalizzazione sull’identity protection – risponde Filippelli –. Quando un trend tecnologico prende piede nel settore della cybersecurity, molte aziende vi si tuffano senza una reale comprensione dei costi, delle implicazioni e delle reali necessità del mercato. Lo abbiamo visto con l’evoluzione delle protezioni avanzate: le aziende hanno acquisito altre realtà per ampliare il proprio portfolio, mentre altre hanno cercato di integrare nuove funzionalità verticali senza una strategia chiara”.
Le soluzioni di threat detection si concentrano sull’identificazione degli attacchi su Active Directory, fornendo indicatori precoci di compromissione. Tuttavia, queste soluzioni devono essere integrate con strumenti di monitoring continuo, poiché un attacco di successo spesso inizia con la disabilitazione dei log di sicurezza, rendendo ciechi molti strumenti di detection.
Critica è poi la protezione post-attacco. “Molti vendor si focalizzano esclusivamente su prevenzione e detection, trascurando la resilienza operativa post-compromissione.Ciò che fa Semperis è assicurarsi che, anche in caso di successo di un attacco, l’organizzazione possa recuperare rapidamente i sistemi compromessi, senza perdere dati critici o configurazioni aziendali essenziali”. Questo approccio implica una continua valutazione della postura di sicurezza, garantendo che configurazioni errate o vulnerabilità non siano sfruttabili da attori malevoli.
Anche la gestione degli accessi e delle identità gioca un ruolo chiave in questo scenario. “Un errore comune è pensare che un assessment annuale sia sufficiente. Ma cosa accade se il giorno dopo si crea un varco nella sicurezza aziendale? La nostra soluzione prevede un assessment continuo della configurazione e della sicurezza delle identità, riducendo drasticamente il rischio di escalation di privilegi non autorizzate”.
Il backup e il disaster recovery rappresentano un ulteriore pilastro della resilienza. Tuttavia, non basta ripristinare un backup: occorre capire quando l’attaccante è entrato, quali modifiche ha apportato e come garantire un recupero sicuro senza reintrodurre il payload malevolo nel sistema. “Ripristinare un backup di sei mesi prima, in un’azienda con migliaia di dipendenti e continui aggiornamenti di policy, è praticamente impraticabile. Ecco perché il nostro focus non è solo sul recupero dei dati, ma sulla restaurazione selettiva di componenti critici come Active Directory e servizi chiave, mantenendo l’operatività aziendale”.
Il ruolo sempre più centrale dell’AI
L’intelligenza artificiale sta assumendo un ruolo sempre più centrale nella cybersecurity, ma non è la panacea per ogni problema. “Machine learning e AI ci permettono di migliorare la detection e la risposta agli attacchi, ma senza un’integrazione con esperti di sicurezza e strategie consolidate, rischiano di essere solo un altro trend passeggero. La strategia di Semperis si basa su un’integrazione efficace di AI e automazione nelle security operation, con un’attenzione particolare alla prevenzione e alla risposta post-attacco”.
La cybersecurity è un ecosistema in continua evoluzione, in cui non basta seguire i trend del momento. “Il vero valore è nella complementarità tra le soluzioni: detection, prevenzione e risposta e resilienza devono essere integrate per offrire una sicurezza end-to-end solida e sostenibile nel tempo”, conclude Filippelli.
A fronte della mancanza di un sistema strutturato per la gestione delle emergenze a livello nazionale in ambito cybersecurity, alcune aziende hanno implementato servizi di pronto intervento, offrendo assistenza immediata anche a soggetti esterni al proprio ecosistema. “Sul nostro sito, per esempio – spiega Filippelli – è disponibile un servizio di pronto intervento anche per chi non è un nostro cliente. Se qualcuno subisce un attacco, abbiamo un numero di telefono dedicato per fornire supporto in situazioni critiche”. Tuttavia, in Italia l’adozione di questi strumenti rimane limitata: “Sinora, però, non abbiamo ricevuto alcuna chiamata. Questo dimostra quanto sia ancora radicata la paura e la diffidenza nel richiedere supporto esterno”.
Gli impatti di un’intrusione possono essere devastanti. Antonio Feninno, Vice President of Sales di Semperis per il Sud EMEA, precisa che “il ransomware non si limita a cifrare le macchine, ma compromette l’intera identità digitale di un’azienda. Se l’Active Directory viene resa inutilizzabile, l’intera organizzazione rischia di dover essere ricostruita da zero. Alcune aziende hanno chiuso a seguito di attacchi di questo tipo, mentre altre hanno dovuto avviare progetti di recovery pluriennali per ripristinare le proprie infrastrutture”,
