Sean Deuby | Tecnologo principale, Americhe

I CISO sono costantemente bombardati da allarmanti avvertimenti sulla prossima minaccia critica all'infrastruttura della vostra organizzazione. E sebbene tali avvertimenti siano una parte importante delle informazioni sulle minacce, non aiutano voi e il vostro team di sicurezza a costruire una difesa efficace. Non avete bisogno di un'altra analisi concitata sul ransomware. Avete bisogno di informazioni su cui poter agire e di un piano che il vostro consiglio di amministrazione sosterrà.

Durante tutto l'anno, gli esperti di Semperis conducono studi intersettoriali per comprendere e monitorare il rischio globale di ransomware, la preparazione alle minacce e la risposta alle crisi. In questi studi troverete punti di contatto e approfondimenti che possono aiutarvi a elaborare una strategia pragmatica per costruire non solo piani di difesa contro il ransomware, ma anche una vera e propria resilienza contro attacchi ransomware dinamici e sofisticati.


Rischio ransomware: cosa abbiamo osservato nel 2025 (e perché è importante per il 2026)

Dalla ricerca condotta quest'anno emerge un dato inequivocabile: il modo più rapido per trasformare un incidente informatico in un'interruzione dell'attività aziendale è compromettere l'infrastruttura di identità, in particolare Active Directory (AD) ed Entra ID.

Il nostro rapporto sul rischio ransomware 2025 rivela che l'83% degli attacchi ransomware riusciti ha compromesso l'infrastruttura di identità; tuttavia, molte organizzazioni non dispongono di un piano di ripristino AD collaudato e ancora di più non dispongono di funzionalità di backup specifiche per AD.

Figura 1: Gli studi condotti da Semperis dimostrano che l'infrastruttura di identità è l'obiettivo principale dei ransomware, ma non sempre viene presa in considerazione nei piani di ripristino.

Perché è un problema così grave? Perché il ripristino di Active Directory è complesso, complicato ed estremamente dispendioso in termini di tempo. Il 76% delle vittime di ransomware ha impiegato molto più di un giorno, e in molti casi fino a un mese, per tornare alla normalità.

Figura 2: Gli intervistati dello studio hanno segnalato tempi più lunghi per il ripristino delle normali operazioni dopo un attacco ransomware.

Inoltre, gli autori delle minacce, sempre opportunisti, pianificano le loro campagne nei momenti in cui le aziende sono distratte. Nel nostro Rapporto sui rischi delle vacanze 2025 relativo al ransomware, il 52% degli attacchi ransomware ha colpito durante un fine settimana o un giorno festivo e il 60% ha seguito eventi aziendali rilevanti come fusioni e acquisizioni.

Nel frattempo, anche se la maggior parte delle aziende intervistate dispone di un centro operativo di sicurezza (SOC), il 78% di esse riduce il personale del SOC di oltre il 50% durante i fine settimana e i giorni festivi, mentre il 6% dichiara di non avere alcuna copertura SOC in quei periodi.

È una lacuna nella copertura che puoi colmare.

Figura 3: Che si tratti di personale ridotto al minimo durante le vacanze, fusioni e acquisizioni o un'offerta pubblica iniziale, i cybercriminali sono pronti ad approfittare di qualsiasi calo di attenzione.

Per un CISO che combatte il ransomware nel 2026, un'efficace resilienza informatica richiede non solo difese robuste contro il ransomware, ma anche un piano di risposta alle crisi che consenta un rapido ripristino di uno stato affidabile.


La trappola del "abbiamo un piano"

La maggior parte delle aziende può affermare di avere un piano di gestione delle crisi informatiche. Nel nostro studio sullo Stato di preparazione delle imprese alle crisi informatiche, il 96% delle organizzazioni dichiara di averlo.

Tuttavia, il 71% ha comunque subito almeno un incidente informatico che ha bloccato funzioni aziendali critiche e il 90% ha attivato team di crisi negli ultimi 12 mesi.

Il divario non è intenzionale, ma è dovuto all'esecuzione: il 90% dei team ha segnalato gravi ostacoli a una risposta efficace agli incidenti informatici.

Figura 4: Sistemi, comunicazioni e strumenti frammentati impediscono un coordinamento efficace della risposta agli incidenti.

La soluzione è la centralizzazione, l'orchestrazione e tanta pratica.


Il vostro team di sicurezza deve essere dotato di solide capacità difensive e di monitoraggio. Inoltre, deve avere fiducia nel proprio processo di recupero dell'identità. Disporre di un centro di comando fuori banda (come il Ready1 ) in cui il personale, i processi e la tecnologia sono unificati consente non solo di pianificare la risposta agli incidenti, ma anche di addestrare il personale a tale scopo.

Senza un impegno costante con professionisti esperti di incident response, i team spesso costruiscono i loro piani sulla base di ipotesi piuttosto che di minacce e tendenze reali. Questa lacuna diventa dolorosamente evidente durante un incidente reale.

Jeff Wichman, Direttore della risposta agli incidenti, Semperis

Perché il rischio di recupero dell'identità dovrebbe essere il primo punto della presentazione al consiglio di amministrazione

Troppo spesso le organizzazioni si concentrano sulla protezione dei dati e sui backup, trascurando la pianificazione del ripristino. Le misure difensive sono essenziali, senza dubbio, e possono ridurre la probabilità di un attacco ransomware riuscito. Ma la difesa è solo una parte dell'equazione. L'identità è il primo vettore di attacco e la prima cosa che devi ripristinare.

Traduciamo questo concetto in termini aziendali. Ogni sistema della vostra azienda dipende dall'infrastruttura di identità, dalle applicazioni alle operazioni, alle persone, ai sistemi, ai servizi e alle risorse aziendali, sia in ambienti locali che nel cloud.

Se il sistema di identità smette di funzionare, tutto ciò che dipende da esso smette di funzionare. Ciò significa che la perdita del sistema di identità rappresenta un rischio elevato per l'azienda e che il ripristino del sistema di identità è una priorità nel piano di risposta alle crisi aziendali.


Il ripristino con integrità, ovvero il ritorno di AD ed Entra ID a uno stato affidabile, è il presupposto fondamentale per ripristinare rapidamente le applicazioni, l'accesso e le operazioni di fatturazione.


L'obiettivo da raggiungere entro il 2026: tempo necessario per ripulire il recupero dell'identità dello stato e la conseguente riduzione dei tempi di inattività.


Resilienza dell'identità: miglioramento della sicurezza e del ripristino

Probabilmente avete adottato rilevamento e risposta alle minacce all'identità (ITDR) in linea di principio. Ma le lacune nell'esecuzione sono il terreno fertile per gli aggressori. Molte organizzazioni non dispongono di piani di recupero dell'identità eseguibili e di un follow-up coerente delle misure correttive. Solo:

  • Il 66% dichiara di avere un piano di ripristino AD
  • Il 55% dispone di un piano di recupero dell'ID Entra
  • 63% automatizza il ripristino del sistema di identità
  • Il 45% dispone di procedure per rimediare alle vulnerabilità relative all'identità.

Questi numeri sono un regalo per qualsiasi avversario.

Per quanto riguarda la sicurezza dell'identità, il Purple Knight mostra perché le configurazioni errate persistono. Il punteggio medio iniziale di sicurezza riportato nel 2025 era 61 su 100, un voto quasi insufficiente. Non si tratta solo di rischio informatico, ma di rischio per la missione.

La buona notizia: i team che hanno applicato le linee guida di correzione dello strumento hanno migliorato in media di 21 punti, con miglioramenti massimi di 61 punti, a dimostrazione del fatto che è possibile ottenere progressi misurabili trimestre dopo trimestre.


Cosa cambiare per il 2026: mosse pragmatiche e pronte per il consiglio di amministrazione

Non hai bisogno di 30 priorità. Hai bisogno delle cinque giuste.

  • Riduci la superficie di attacco alla tua identità. Nonostante tutto il clamore, la maggior parte degli aggressori utilizza un numero limitato di tecniche collaudate per compromettere i sistemi di identità, quindi eliminarle può ridurre significativamente la tua esposizione. Stabilisci una cadenza per rilevare e correggere gli indicatori di esposizione e compromissione (IOE e IOC) nell'AD ibrido utilizzando linee guida prioritarie. Purple Knight mostrano miglioramenti credibili e riportabili che i consigli di amministrazione comprendono.
  • Rendi il ripristino dell'identità in condizioni ottimali il tuo punto di riferimento RTO. Documenta, automatizza e verifica il ripristino di AD ed Entra ID in condizioni affidabili , non solo operative. Monitora il tuo obiettivo di tempo di ripristino (RTO) e il tuo obiettivo di punto di ripristino (RPO) per l'identità come metriche aziendali di primo ordine; collegali direttamente al tempo di inattività evitato.
  • Mantieni alta la guardia nei momenti di distrazione. Considera i fine settimana, le festività e gli eventi aziendali importanti come periodi di massimo rischio. I dati dimostrano che gli hacker sono già all'opera proprio in questi momenti di minore copertura. Pre-autorizza le soglie decisionali, definisci i turni di reperibilità e predisponi comunicazioni fuori banda.
  • Migliorate le vostre esercitazioni teoriche. Coinvolgete i team legali, finanziari, di continuità operativa e di ripristino di emergenza, perché saranno fondamentali quando si tratterà di affrontare una situazione reale. Ricordate che lo scorso anno il 90% delle organizzazioni ha attivato i propri team di crisi. Esercitatevi come se fosse una certezza, non una possibilità.
  • Passare dal caos al controllo. I piani falliscono sotto pressione quando le comunicazioni si frammentano e gli strumenti si moltiplicano, causando un divario nell'esecuzione anche tra le organizzazioni che "hanno un piano". Centralizzare il coordinamento delle crisi e la raccolta delle prove. E stabilire ruoli e responsabilità chiari.

Come mettere in pratica la ricerca sul ransomware (in questo trimestre)

Se desideri ottenere un sostegno immediato dal tuo team dirigenziale:

  • Condividi le immagini esecutive del Rapporto sui rischi legati al ransomware 2025, in particolare le diapositive relative alla compromissione dell'identità e ai tempi di ripristino, e definisci gli impegni relativi a RTO e RPO in materia di identità.
  • Utilizzate il Rapporto sui rischi legati al ransomware durante le festività per impostare una copertura temporanea contro i picchi di attività in vista della prossima ondata di weekend e festività e per rafforzare la governance in materia di fusioni e acquisizioni, offerte pubbliche iniziali e licenziamenti.
  • Commissiona una rapida analisi di base dell'identità con Purple Knight; mostra il tuo punteggio attuale e il piano di miglioramento con date e responsabili. È un modo semplice e credibile per dimostrare lo slancio e il ROI.
  • Aggiornate le vostre esercitazioni di crisi per includere gli stakeholder non tecnici che determinano effettivamente la velocità decisionale e la fiducia normativa. La comunicazione tra i team è uno dei principali ostacoli; iniziate identificando una piattaforma di gestione delle crisi completa e fuori banda come Ready1.

Mantieni un approccio umano e misurabile

Sì, quest'anno abbiamo assistito a modesti miglioramenti nel successo degli attacchi ransomware. Ma le verità fondamentali rimangono: la compromissione dell'infrastruttura di identità è la via più rapida per ottenere un impatto significativo sul business, e l'integrità del ripristino è il collo di bottiglia che determina la durata dell'interruzione.

Il punto cardine per il 2026 non è avere di più di tutto, ma concentrarsi con precisione sulla resilienza dell'identità e sui momenti che contano, dove gli avversari continuano a vincere.

Sei già in prima linea. I team che proteggi danno il meglio di sé quando il percorso è chiaro e le metriche sono trasparenti. Nel 2026, ciò si tradurrà in: meno finestre a sorpresa, meno backdoor di identità, ripristino più rapido dello stato pulito e comunicazioni più sicure quando la pressione aumenta.

È questa la resilienza che percepirà il vostro consiglio di amministrazione e che porterà benefici alla vostra azienda.


Risorse da condividere con il tuo team dirigenziale