Report Purple Knight: persistenti lacune di sicurezza negli ambienti ibridi

Semperis ha pubblicato nelle scorse settimane i risultati del Report Purple Knight 2025, da cui emerge come le organizzazioni continuano ad avere difficoltà nell'identificare e risolvere le vulnerabilità di sicurezza nei sistemi di identità ibridi, come Active Directory, Entra ID e Okta.

In particolare, il punteggio medio di 61 su 100 risulta di 11 punti più basso rispetto alla media di 72 registrata nel report del 2023. Gli utenti hanno tuttavia riportato un miglioramento medio di 21 punti - e fino a 61 punti - dopo aver applicato le indicazioni di remediation elaborate dagli esperti di sicurezza delle identità di Semperis. I punteggi medi di Purple Knight (tool gratuito di valutazione della sicurezza AD di Semperis) sono risultati più alti tra le organizzazioni più grandi (oltre 10.000 dipendenti), con un punteggio medio di 73, e tra le aziende più piccole (0–500 dipendenti), con un punteggio medio di 68 su 100. 

“Le organizzazioni più grandi hanno più risorse, mentre quelle più piccole spesso hanno ambienti meno complessi da proteggere,” osserva Sean Deuby, Principal Technologist per le Americhe di Semperis. Le organizzazioni con un numero di dipendenti compreso tra 2.001 e 5.000 hanno registrato il punteggio medio più basso, pari a 52, evidenziando il dilemma affrontato dalle aziende di medie dimensioni, che devono gestire sistemi complessi con risorse limitate per risolvere i problemi di sicurezza di AD. “Nelle aziende di medie dimensioni i professionisti dell’IT devono fare di tutto. Non ci sono specialisti AD a tempo pieno,” spiega Deuby. Tra le sei categorie di vulnerabilità incluse in Purple Knight, i punteggi più bassi sono stati rilevati nella categoria AD Infrastructure, seguita da Account Security, Kerberos, Group Policy, Entra ID e Okta. 

"Le organizzazioni non possono proteggere ciò che non vedono"

“Gli ambienti di identità ibridi sono complessi, e gli attori delle minacce lo sanno bene. In generale, le organizzazioni non possono proteggere ciò che non vedono. I punteggi medi più bassi nel Report Purple Knight 2025 indicano quanto sia cruciale per le aziende valutare proattivamente le vulnerabilità dei loro sistemi di identità ibridi, così da colmare le lacune di sicurezza prima che vengano sfruttate dagli attaccanti” dichiara Deuby. “Purple Knight offre alle organizzazioni di tutte le dimensioni la possibilità di identificare le vulnerabilità e risolverle prima che i rischi si trasformino in perdite reali dovute a compromissioni.”

Tra i settori analizzati, il comparto pubblico ha ottenuto il punteggio medio più basso (46), seguito da retail con 51 su 100, e da trasporti ed istruzione con 57 su 100. Il settore sanitario ha registrato una media di 66, comunque bassa ma la più alta tra tutti i verticali.