Semperis, azienda specializzata nella sicurezza dell’identità basata sull’intelligenza artificiale e nella resilienza informatica, ha pubblicato i risultati del nuovo Report Purple Knight 2025, che indicano come le organizzazioni continuino a incontrare difficoltà nell’identificare e risolvere le vulnerabilità di sicurezza nei sistemi di identità ibridi, come Active Directory, Entra ID e Okta. In particolare, il punteggio medio di 61 su 100 risulta di 11 punti più basso rispetto alla media di 72 registrata nel report del 2023. Tuttavia, gli utenti hanno riportato un miglioramento medio di 21 punti—e fino a 61 punti—dopo aver applicato le indicazioni di remediation elaborate dagli esperti di sicurezza delle identità di Semperis.
I punteggi medi di Purple Knight (tool gratuito di valutazione della sicurezza AD di Semperis) sono risultati più alti tra le organizzazioni più grandi (oltre 10.000 dipendenti), con un punteggio medio di 73, e tra le aziende più piccole (0–500 dipendenti), con un punteggio medio di 68 su 100.
“Le organizzazioni più grandi hanno più risorse, mentre quelle più piccole spesso hanno ambienti meno complessi da proteggere”, ha dichiarato Sean Deuby, Principal Technologist per le Americhe di Semperis.
Le organizzazioni con un numero di dipendenti compreso tra 2.001 e 5.000 hanno registrato il punteggio medio più basso, pari a 52, evidenziando il dilemma affrontato dalle aziende di medie dimensioni, che devono gestire sistemi complessi con risorse limitate per risolvere i problemi di sicurezza di AD.
“Nelle aziende di medie dimensioni i professionisti dell’IT devono fare di tutto. Non ci sono specialisti AD a tempo pieno”, ha spiegato Sean Deuby.
Tra le sei categorie di vulnerabilità incluse in Purple Knight, i punteggi più bassi sono stati rilevati nella categoria AD Infrastructure, seguita da Account Security, Kerberos, Group Policy, Entra ID e Okta.
“Gli ambienti di identità ibridi sono complessi, e gli attori delle minacce lo sanno bene. In generale, le organizzazioni non possono proteggere ciò che non vedono. I punteggi medi più bassi nel Report Purple Knight 2025 indicano quanto sia cruciale per le aziende valutare proattivamente le vulnerabilità dei loro sistemi di identità ibridi, così da colmare le lacune di sicurezza prima che vengano sfruttate dagli attaccanti”, ha dichiarato Sean Deuby. “Purple Knight offre alle organizzazioni di tutte le dimensioni la possibilità di identificare le vulnerabilità e risolverle prima che i rischi si trasformino in perdite reali dovute a compromissioni”.
Tra i settori analizzati, il comparto pubblico ha ottenuto il punteggio medio più basso (46), seguito da retail con 51 su 100, e da trasporti ed istruzione con 57 su 100. Il settore sanitario ha registrato una media di 66, comunque bassa ma la più alta tra tutti i verticali.
Considerazioni dal settore sul valore di Purple Knight
Sebbene molti utenti siano rimasti delusi dai loro punteggi iniziali bassi, hanno applicato le linee guida di remediation di Purple Knight—sviluppate dagli esperti di sicurezza AD di Semperis—per migliorare il loro punteggio di sicurezza in media di 21 punti rispetto alla valutazione iniziale.
“La mia azienda ha avviato un progetto pluriennale per riorganizzare l’ambiente, che attualmente conta circa 30 foreste AD. Utilizzare Purple Knight per analizzare questi ambienti ci aiuta a capire cosa potrebbe rompersi nella nostra struttura di permessi o quali vulnerabilità aperte dobbiamo risolvere”, ha dichiarato Bob G., responsabile del team infrastrutture di un’azienda globale di spedizioni.
“Abbiamo subito un attacco che ha compromesso alcuni dei nostri sistemi, e pensavamo di essere abbastanza sicuri sul fronte Active Directory. Da quell’evento abbiamo imparato molto. Per curiosità, ho eseguito Purple Knight sull’ambiente e ho scoperto un nuovo mondo di problemi da risolvere”, ha raccontato Jose G., amministratore globale di un’azienda di servizi IT.
“Penso di fare un buon lavoro. E non siamo mai stati violati. Ma poi vedi quel D- sulla tua pagella e dici: wow. Ci sono delle cose che potremmo fare meglio”, ha commentato Eric M., senior identity engineer, azienda globale di stampa.
