Nel cuore della trasformazione digitale delle aziende si sta consumando una rivoluzione silenziosa ma fondamentale: la gestione delle identità digitali non umane sta diventando una delle sfide più critiche per la sicurezza informatica. CrowdStrike ha deciso di investire 740 milioni di dollari per acquisire SGNL, una startup specializzata nella sicurezza delle identità, con l'obiettivo di integrare nella propria piattaforma una tecnologia capace di concedere o revocare accessi in tempo reale sulla base del livello di rischio effettivo, abbandonando il tradizionale modello di permessi fissi e statici.
L'esplosione delle identità digitali delle macchine
Il problema è molto più grande di quanto sembri. Secondo stime del settore citate da Gartner, in alcuni ambienti aziendali le identità macchina superano quelle umane fino a 82 volte. Si tratta di account di servizio, chiavi API e agenti di intelligenza artificiale che operano attraverso l'intero ecosistema cloud con privilegi spesso molto estesi. Come ha spiegato George Kurtz, CEO di CrowdStrike, gli agenti AI lavorano a velocità enormemente superiori rispetto agli esseri umani e dispongono di ampie autorizzazioni di accesso, rendendo indispensabile la loro protezione.
Gartner prevede che entro il 2028 il 25% di tutte le violazioni aziendali sarà collegato all'abuso di agenti AI da parte di attaccanti esterni o da insider malevoli. Una prospettiva che sta spingendo le aziende a rivedere radicalmente i propri sistemi di controllo degli accessi.
Come funziona la tecnologia di autorizzazione dinamica
La tecnologia sviluppata da SGNL non sostituisce i sistemi di gestione delle identità esistenti come Okta, Microsoft o Amazon Web Services, ma vi si integra operando come uno strato intermedio tra i fornitori di identità e le risorse effettive. Il sistema valuta continuamente le richieste di accesso basandosi su dati contestuali diversificati: comportamento dell'utente, stato del dispositivo e intelligence sulle minacce.
A differenza dei sistemi IAM tradizionali che si affidano all'autenticazione al momento del login e a revisioni periodiche dei privilegi, SGNL effettua valutazioni continue e può revocare istantaneamente i permessi quando le condizioni cambiano. Ad esempio, se la piattaforma Falcon di CrowdStrike rileva attività sospette su un endpoint, può bloccare immediatamente l'accesso senza attendere un intervento manuale.
Un cambio di paradigma nel settore della sicurezza
Apeksha Kaushik, analista senior di Gartner, sottolinea che SGNL fornisce funzionalità di autorizzazione continua e contestuale capaci di prendere decisioni istantanee basate su segnali in tempo reale, un'area in cui i sistemi IAM tradizionali hanno sempre mostrato difficoltà. Meng Liu, analista senior di Forrester, precisa che non si tratta di una semplice integrazione ma di colmare un vuoto reale nel campo dell'autorizzazione dinamica delle identità che riflette i rischi effettivi.
L'operazione da 740 milioni di dollari – che dovrebbe concludersi entro il 30 aprile, ultimo giorno del primo trimestre fiscale di CrowdStrike – sarà pagata principalmente in contanti con una parte in azioni vincolate a condizioni future. Il valore dell'accordo riflette l'accelerazione della ristrutturazione del mercato della cybersecurity attorno alle capacità di gestione delle identità.
Il mercato della sicurezza delle identità in rapida espansione
Secondo dati IDC citati da CrowdStrike, il mercato della sicurezza delle identità crescerà da circa 29 miliardi di dollari nel 2025 a 56 miliardi nel 2029. L'acquisizione di SGNL si colloca in una serie di operazioni significative nel settore, dopo l'acquisizione di Auth0 da parte di Okta per 6,5 miliardi nel 2021 e la privatizzazione di ForgeRock da parte di Thoma Bravo per 2,3 miliardi nel 2023.
John Paul Cunningham, CISO di Silverfort, osserva che il settore si sta dividendo in tre categorie distinte: aziende specializzate nella sicurezza delle identità, fornitori ibridi che integrano funzionalità di gestione delle identità nei prodotti esistenti, e grandi piattaforme come Palo Alto Networks e CrowdStrike che si espandono come parte di un ecosistema di sicurezza più ampio. Liu di Forrester paragona questa mossa all'acquisizione di CyberArk da parte di Palo Alto Networks nel 2025, evidenziando come entrambe le aziende stiano competendo per integrare rilevamento delle minacce con capacità di risposta e applicazione in un'unica piattaforma.
Le sfide dell'adozione aziendale
Arjun Chauhan, practice director di Everest Group, spiega che la maggior parte delle organizzazioni non sostituirà completamente i propri sistemi IAM esistenti, ma aggiungerà controlli in tempo reale sopra l'infrastruttura attuale per colmare lacune specifiche come rischi da insider, anomalie a livello di sessione e violazioni che si verificano dopo l'autenticazione. L'interesse per le tecnologie di autorizzazione adattiva e in tempo reale sta crescendo soprattutto in settori regolamentati, aziende digitalmente native e organizzazioni con un'alta percentuale di accessi tramite terze parti o identità macchina.
Le aziende che intendono adottare tecnologie di autorizzazione delle identità in tempo reale devono definire politiche flessibili che rispondano a condizioni mutevoli. A differenza del controllo degli accessi basato sui ruoli, l'autorizzazione in tempo reale richiede che le organizzazioni stabiliscano standard per i modelli di comportamento normali e definiscano chiaramente i confini del rischio accettabile.
Integrazione e prospettive future
I dettagli specifici dell'integrazione non sono ancora stati resi pubblici. CrowdStrike non ha chiarito quando le funzionalità di SGNL saranno disponibili per i clienti Falcon, se sarà necessaria una licenza aggiuntiva o quali modifiche saranno richieste alle configurazioni IAM esistenti. SGNL, fondata da ex dipendenti di Google, aveva raccolto circa 75 milioni di dollari da Costanoa Ventures e CRV prima dell'acquisizione.
Questa acquisizione si inserisce in una più ampia strategia di espansione della piattaforma che CrowdStrike sta perseguendo dopo l'incidente del luglio 2024, quando un aggiornamento software causò un'interruzione massiccia dei sistemi Windows. L'azienda ha riportato ricavi ricorrenti annuali di 4 miliardi di dollari nel terzo trimestre fiscale concluso a dicembre dello scorso anno, con un incremento del 25% rispetto all'anno precedente. Chauhan conclude che l'operazione va vista come continuazione di una strategia di espansione della piattaforma a lungo termine piuttosto che come segnale di recupero a breve termine, contribuendo anche a ridurre l'eccessiva dipendenza dalla sicurezza degli endpoint.