Inchieste
Lyceum: l’APT iraniana con il pallino del settore energetico e degli ISP
Tempo di lettura: 8 minuti. Attivi dal 2017, hanno concentrato la loro attività contro Israele, Africa appoggiandosi a server in Arabia Saudita.
Le backdoor Shark e Milan e dropper diversi: come lavorano
Inizia il viaggio nel mondo degli attori statali iraniani, tra i più temuti al mondo ed abili spie quasi sempre concentrati nell’ottenere informazioni dal Medio Oriente e dal Sud Est Asiatico. Oggi è il turno di Lyceum (definito anche Hexane e Siamesekitten) il cui primo attacco è stato rilevato nel maggio 2021 ad una azienda di Information Technology in Israele.
A tal fine, Siamesekitten ha creato un’ampia infrastruttura che gli ha permesso di impersonare l’azienda e il personale delle risorse umane con una infrastruttura costruita per adescare esperti IT e penetrare nei loro computer per ottenere l’accesso ai clienti dell’azienda.
Questa campagna è simile alla campagna nordcoreana “Job seekers” e utilizza quello che negli ultimi anni è diventato un vettore di attacco ampiamente utilizzato: l’impersonificazione. Molti gruppi di attacco come abbiamo già visto hanno eseguito questo tipo di campagne, come la campagna nordcoreana Lazarus (Dream Job) e la campagna iraniana OilRig (APT34) che ha preso di mira le vittime del Medio Oriente nel primo trimestre del 2021.
Lazarus 2020: l’interesse per Israele e gli attacchi a tema COVID19
Nel luglio 2021, è stata rilevata una seconda ondata di attacchi simili contro altre aziende in Israele. In questa ondata, Siamesekitten ha aggiornato il proprio malware backdoor a una nuova versione chiamata “Shark” e ha sostituito la vecchia versione del malware chiamata “Milan“.
Secondo i vecchi resoconti pubblici dell’attività del gruppo, Lyceum ha condotto operazioni mirate contro organizzazioni nei settori dell’energia e delle telecomunicazioni in tutto il Medio Oriente, durante le quali l’attore della minaccia ha utilizzato vari script PowerShell e uno strumento di amministrazione remota basato su .NET denominato “DanBot“. Quest’ultimo supportava la comunicazione con un server C&C tramite protocolli personalizzati su DNS o HTTP.
Il gruppo ha evoluto il suo arsenale nel corso degli anni ed ha spostato il suo utilizzo dal malware .NET precedentemente documentato a nuove versioni, scritte in C++. Sono stati raggruppati questi nuovi pezzi di malware sotto due diverse varianti, soprannominati “James” e “Kevin“, in base ai nomi ricorrenti che comparivano nei percorsi PDB dei campioni sottostanti.
Come per le vecchie istanze di DanBot, entrambe le varianti supportavano protocolli C&C personalizzati simili, collegati tramite tunnel DNS o HTTP. È stato anche identificato una variante insolita che non conteneva alcun meccanismo per la comunicazione di rete, ritenendo che sia stata utilizzata come mezzo per proxare il traffico tra due cluster di rete interni.
Oltre agli impianti rivelati, l’analisi approfondita ha permesso di dare uno sguardo al modus operandi dell’attore e sono stati osservati alcuni dei comandi utilizzati dagli aggressori negli ambienti compromessi, nonché le azioni intraprese per rubare le credenziali degli utenti: tra questi, l’uso di uno script PowerShell progettato per rubare le credenziali memorizzate nei browser e un keylogger personalizzato distribuito su alcuni dei computer presi di mira.
Sono state notate alcune somiglianze tra Lyceum e il famigerato gruppo DNSpionage, a sua volta associato al gruppo di attività OilRig. Oltre alla scelta di obiettivi geografici simili e all’uso di DNS o di siti Web falsi per il tunnel dei dati C&C come TTP, siamo stati in grado di rintracciare somiglianze significative tra i documenti di richiamo consegnati da Lyceum in passato e quelli utilizzati da DNSpionage. Queste sono state rese evidenti da una struttura di codice comune e dalla scelta dei nomi delle variabili.
Il gruppo Cyber Threat Intelligence (ACTI) di Accenture e l’Adversarial Counterintelligence Team (PACT) di Prevailion hanno scavato nelle campagne recentemente pubblicizzate del gruppo di spionaggio informatico Lyceum per analizzare ulteriormente l’infrastruttura operativa e la vittimologia di questo attore. I risultati del team confermano e rafforzano le precedenti ricerche di ClearSky e Kaspersky, che indicano un focus primario sugli eventi di intrusione nelle reti informatiche rivolti ai fornitori di telecomunicazioni in Medio Oriente. Inoltre, la ricerca amplia questo set di vittime identificando altri obiettivi tra i provider di servizi Internet (ISP) e le agenzie governative.
Tra luglio e ottobre 2021, le backdoor di Lyceum sembrano aver preso di mira ISP e operatori di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita, nonché un ministero degli Affari esteri (MAE) in Africa.
Il tunneling del sistema dei nomi di dominio (DNS) sembra essere utilizzato solo durante le prime fasi di implementazione della backdoor; successivamente, gli operatori di Lyceum utilizzano la funzionalità di comando e controllo (C2) HTTP(S) codificata nelle backdoor.
A partire da un’analisi completa di ClearSky e Kaspersky, ACTI e PACT hanno condotto una ricerca su queste campagne basandosi sulla telemetria di rete di Prevailion sovrapposta alla comprensione tecnica di ACTI della comunicazione della backdoor Lyceum.
Il team di ricerca congiunto ACTI/PACT è stato in grado di identificare un’ulteriore infrastruttura web utilizzata da Lyceum, che ha corroborato le segnalazioni precedenti e ha identificato sei domini con un collegamento precedentemente sconosciuto a Lyceum (cinque dei quali sono attualmente registrati). Questa ricerca ha infine alimentato la capacità di Prevailion di annettere oltre 20 domini Lyceum, che hanno fornito una telemetria di rete delle compromissioni in corso. L’analisi di questa telemetria, arricchita e corroborata da dati basati sull’host, ha permesso al team di identificare altre vittime e di fornire ulteriore visibilità sulla metodologia di targeting di Lyceum.
Attivo dal 2017, Lyceum prende di mira organizzazioni in settori di importanza strategica nazionale, tra cui organizzazioni di petrolio e gas e fornitori di telecomunicazioni. ACTI/PACT ha ritenuto che gli obiettivi di questa campagna siano congruenti con l’attività precedente di Lyceum; tuttavia, il gruppo ha ampliato il proprio target includendo ISP ed enti governativi.
ACTI/PACT ha identificato le vittime all’interno di società di telecomunicazioni e ISP in Israele, Marocco, Tunisia e Arabia Saudita, oltre a un AMF in Africa. Le società di telecomunicazioni e gli ISP sono obiettivi di alto livello per gli attori delle minacce di spionaggio informatico perché, una volta compromessi, forniscono l’accesso a varie organizzazioni e abbonati, oltre che a sistemi interni che possono essere utilizzati per sfruttare ulteriormente i comportamenti dannosi. Inoltre, le aziende di questi settori possono essere utilizzate dagli attori delle minacce o dai loro sponsor per sorvegliare individui di interesse. Le AMF sono anche obiettivi molto ambiti perché dispongono di preziose informazioni sullo stato attuale delle relazioni bilaterali e di intuizioni sulle trattative future.
Durante questa campagna, Lyceum ha utilizzato due famiglie di malware principali, denominate Shark e Milan (alias James). L’indagine di ACTI/PACT si è concentrata sugli aspetti di comunicazione C2 che gli analisti hanno osservato nella telemetria di Prevailion, dopo che ClearSky e Kasperksy hanno fornito descrizioni tecniche dettagliate delle backdoor. Entrambe le backdoor sono in grado di comunicare tramite DNS e HTTP(S) per la comunicazione C2 (per ulteriori informazioni, vedere la descrizione tecnica dettagliata di seguito).
Shark produce un file di configurazione che contiene almeno un dominio C2, utilizzato con un algoritmo di generazione dei domini (DGA) per il tunneling DNS o le comunicazioni C2 HTTP. Il server dei nomi autorevoli dei domini C2 è controllato da un attaccante che consente agli operatori Lyceum di fornire comandi attraverso gli indirizzi IP nei record A delle risposte DNS. Shark utilizza una sintassi specifica per l’invio di richieste HTTP che ha permesso ai ricercatori di ACTI/PACT di creare un’espressione regolare una combinazione di caratteri in stringhe che specificano un modello di ricerca per identificare ulteriori vittime della campagna. Utilizzando questa espressione regolare, i ricercatori sono stati in grado di passare da probabili host israeliani a indirizzi IP che si risolvono in telecomunicazioni e ISP in Israele e Arabia Saudita. La backdoor ha lanciato segnali costanti a queste vittime a partire da settembre fino a ottobre 2021.
Per le comunicazioni C2 tramite DNS, Milan utilizza domini hardcoded come input per un DGA personalizzato. Il DGA è documentato nel rapporto di Kaspersky, così come alcune delle sintassi utilizzate da Milan per le comunicazioni C2 su HTTP(S). Tuttavia, ACTI ha riscontrato che alcune delle backdoor legacy di Milan recuperano i dati generando richieste utilizzando il dominio codificato e richiedendo poi uno dei percorsi URL relativi ad Active Server Pages. Questi percorsi URL sono codificati in modo rigido in alcuni campioni di Milan. Quelli identificati da ACTI sono:
- contact.aspx
- default.aspx
- anteprima.aspx
- team.aspx
Quando il team ACTI/PACT ha interrogato il dataset Prevailion per i percorsi URL noti e hard-coded di cui sopra, osservati nei campioni di Milan, ha osservato un beaconing continuo nel mese di ottobre 2021 da un indirizzo IP che si risolveva in un operatore di telecomunicazioni in Marocco.
Seguendo questo filone di indagine, il team ACTI/PACT ha identificato il beaconing da una backdoor Lyceum riconfigurata o forse nuova alla fine di ottobre 2021. I beacon osservati sono stati visti uscire da una società di telecomunicazioni in Tunisia e da un MFA in Africa. La sintassi dell’URL della backdoor Shark è simile a quella generata dalla versione più recente di Milan; tuttavia, poiché la sintassi dell’URL è configurabile, è probabile che gli operatori di Lyceum abbiano riconfigurato la sintassi dell’URL utilizzata da Milan per eludere i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) codificati per rilevare la precedente sintassi dei beacon di Milan.
Nell’ambito della più ampia campagna Lyceum, abbiamo osservato anche diversi dropper eseguibili. Si tratta di eseguibili con icone PDF, ma non di documenti:
- Tutti gli eseguibili sono scritti in modo leggermente diverso, ma l’idea principale è la stessa: in primo luogo, il dropper estrae un file PDF di richiamo incorporato come risorsa e lo apre, in background e senza essere notato dalla vittima, il dropper quindi scarica ed esegue il payload.
Sono stati identificate tre categorie di dropper:
- Dropper .NET DNS – Utilizzato per rilasciare la backdoor .NET DNS
- .NET TCP Dropper – Scarica la variante della backdoor HTTP .NET e aggiunge un’attività pianificata per eseguirla.
- Golang Dropper – rilascia la backdoor Golang nella cartella di Avvio e nella cartella PublicDownloads. Inoltre, rilascia un file PDF (un rapporto sulla minaccia informatica iraniana, simile agli altri dropper) nella cartella Public\Downloads e lo esegue. Dopo aver aperto il rapporto PDF, il dropper esegue infine la backdoor Golang dalla cartella Public\Downloads.
I file possono essere scaricati da Internet o estratti dal dropper stesso, a seconda del campione. Ogni dropper porta il proprio tipo di payload e sono state osservate le seguenti backdoor distribuite:
- Backdoor DNS .NET
- La backdoor .NET DNS è una versione modificata di uno strumento chiamato DnsDig, con l’aggiunta di codice per formare frm1 che utilizza le funzionalità di HeijdenDNS e DnsDig.
- La backdoor utilizza il tunneling DNS per comunicare con il server C&C ed è in grado di scaricare/caricare file ed eseguire comandi.
Backdoor .NET TCP
La backdoor comunica con il C&C utilizzando socket TCP grezzi e implementando il proprio protocollo di comunicazione. Ogni campione contiene una configurazione che definisce come deve comunicare con il C&C, compresi i caratteri di separazione, le porte TCP e la mappatura dei tipi di comando in numeri.
Sebbene il malware contenga una configurazione per la comunicazione con C&C, utilizza ancora valori codificati nel codice stesso, invece delle costanti di configurazione. Ciò indica che il malware potrebbe essere ancora in fase di sviluppo attivo.
Le capacità di questa backdoor includono:
- Esecuzione di comandi.
- Effettuare screenshot.
- Elencare file/directory.
- Elencare le applicazioni installate.
- Caricare/scaricare/eseguire file.
- Backdoor HTTP Golang
L’esecuzione della backdoor HTTP, scritta in Golang, consiste in 3 fasi, che si svolgono in un ciclo:
- Fase 1 – Controllo della connettività. Il malware genera un ID univoco per la vittima, basato sull’hash MD5 del nome utente. Quindi invia una richiesta HTTP POST vuota all’URI /GO/1.php del server C&C. Se il server risponde con OK, il server viene controllato. Se il server risponde con OK, la backdoor passa alla fase successiva.
- Fase 2 – Registrazione della vittima. In questa fase, il malware invia i dati di base della vittima in una richiesta POST all’URI /GO/2.php, per registrare la vittima nel server C&C dell’aggressore.
- Fase 3 – Recupero ed esecuzione dei comandi. In primo luogo, il malware invia richieste HTTP POST all’URI /GO/3.php per ottenere comandi da eseguire. Come le altre backdoor descritte, la backdoor supporta comandi che le consentono di scaricare/caricare file ed eseguire comandi di shell.
Attribuzione e vittimologia
Oltre agli obiettivi del settore energetico israeliano, durante la ricerca dei file e dell’infrastruttura relativi a questo attacco, il CPR ha osservato alcuni artefatti caricati su VirusTotal (VT) dall’Arabia Saudita. Sebbene questi artefatti contengano trappole relative all’Iran, gli altri documenti trovati sull’infrastruttura pertinente suggeriscono che il gruppo potrebbe aver utilizzato le esche relative alla guerra Russia-Ucraina anche in Arabia Saudita, e probabilmente in altri Paesi della regione, che è l’obiettivo principale delle attività del gruppo.
Oltre alla chiara vittimologia, altri indicatori che suggeriscono che questa attività proviene dal gruppo Lyceum APT includono:
- L’uso della libreria open-source Heijden.DNS, utilizzata da Lyceum nei suoi precedenti attacchi. Questa volta, gli attori non hanno offuscato il nome della libreria, ma hanno modificato uno strumento chiamato DnsDig che utilizza Heijden.DNS.
- Tecnica di tunneling DNS nella comunicazione C&C ampiamente utilizzata nelle precedenti campagne di Lyceum.
- Sovrapposizioni nell’infrastruttura, come i server C&C Lyceum noti ospitati sullo stesso ASN nelle stesse reti con i C&C di questa campagna e l’uso delle stesse società di registrazione di domini come Namecheap.
- Utilizzo di indirizzi e-mail Protonmail per inviare le e-mail dannose agli obiettivi o per registrare i domini.
A giudicare dagli artefatti dei timestamp trovati e dalla registrazione dei domini dannosi, questa campagna specifica è in corso da alcuni mesi. L’adozione di esche più rilevanti e la costante rielaborazione del malware suggeriscono che il gruppo Lyceum continuerà a condurre e adattare le proprie operazioni di spionaggio in Medio Oriente, nonostante le rivelazioni pubbliche.
APT di mezzo mondo scatenate con la scusa della guerra Ucraina
Inchieste
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
Tempo di lettura: 7 minuti. I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.
Dopo aver approfondito attraverso una serie di inchieste lo stato del cloud in Italia concentrandoci sul mercato e sulle sue tendenze, Matrice Digitale termina l’inchiesta a puntate con un’analisi su un interrogativo che può sfuggire a molti ed interessarne a pochi: qual è il cloud che scelgono i professionisti it?
Perchè comprendere dove le aziende IT posizionano il loro cloud?
Le imprese italiane, in piena migrazione di in massa verso i servizi cloud, sono assistite da esperti del settore IT che quotidianamente disegnano e realizzano architetture informatiche di tipo pubblico, privato ed ibrido.
I fruitori del Cloud è possibile dividerli in tre categorie che rispecchiano il mercato IT:
- Singoli utenti
- Aziende
- Pubblica Amministrazione
Secondo un’analisi effettuata da Matrice Digitale, l’offerta dei servizi proposta dalle aziende individuate come operatori rilevanti di servizi cloud, è suddivisa in 17 soggetti che hanno prodotti standard, complementari o simili (come approfondito in precedenza) e soprattutto rivolti generalmente ad un pubblico di ampio target.
Confronto canali di vendita
Fornitore | Diretti Privati | Diretti Aziende | Diretti Pubblica Amministrazione | Canale ICT (MSP, Rivenditori) |
---|---|---|---|---|
Aruba | ✔ | ✔ | ✔ | ✔ |
Cdlan | • | ✔ | • | ✔ |
CoreTech | • | • | • | ✔ |
Elmec | • | ✔ | ✔ | • |
Fastweb | ✔ | ✔ | ✔ | ✔ |
Hosting Solutions – Genesys informatica | ✔ | ✔ | ✔ | ✔ |
Naquadria | • | ✔ | • | ✔ |
Netalia | • | ✔ | ✔ | • |
Netsons | ✔ | ✔ | • | ✔ |
Noovle (TIM) | • | ✔ | ✔ | ✔ |
Reevo – It.net | • | ✔ | ✔ | ✔ |
Register – Keliweb | ✔ | ✔ | ✔ | ✔ |
Retelit | • | ✔ | ✔ | • |
DHH (Seeweb ed altri) | ✔ | ✔ | ✔ | ✔ |
ServerPlan | ✔ | ✔ | ✔ | ✔ |
Tiscali | • | ✔ | ✔ | • |
Vianova – Host.it | ✔ | ✔ | • | ✔ |
Un mercato in crescita rivolto a tutti, ma di pochi
Le offerte nel mondo del cloud computing sembrano tante, ma sono poche se poi si stringe il cerchio sulle reali capacità delle imprese che erogano i servizi sulla carta. Le aziende IT che si rivolgono al mondo delle PMI e medie imprese sono più orientate verso soluzioni distanti dalle multinazionali, soprattutto dopo che Broadcom ha rilevato VMware ed ha creato grande panico nei confronti di coloro che necessitano di virtualizzare i server per il loro business, aumentando di molto i costi delle licenze. Un ricatto costante, quello tecnologico, che ciclicamente vede le multinazionali falciare chi non ha un piano B pronto e dipende totalmente dal loro schema che diventa sempre più costoso con meno servizi inclusi.
Anche il Cloud può essere Made in Italy
Il caso Broadcom non è isolato e soprattutto non è il primo nell’ambito informatico. Le aziende italiane che svolgono attività nel settore del cloud computing in opposizione alla forte concorrenza, spesso sleale che si nasconde dietro il concetto di economia di scala, sono quelle che preferiscono la nicchia al ventaglio di prodotti multiservizi. Solo Serverplan e CoreTech, con la differenza che la seconda si contraddistingue per la vendita al solo Canale di specialisti IT, svolgono questo tipo di attività come unica fonte di guadagno e di business. Molti imprenditori nel settore IT si affidano per i servizi cloud ad altri specialisti per continuare a produrre il proprio servizio o prodotto senza snaturare la propria impresa inglobando risorse materiali e umane ed i relativi costi per sostenerli che ne aumentano il rischio d’impresa. Per fronteggiare l’avanzata aggressiva delle Big Tech nel mercato Cloud, c’è chi gioca in favore come un qualsiasi rivenditore commerciale acquistando prodotti confezionati e chi invece si rivolge ad aziende di pari dimensione per ottenere prodotti che garantiscono servizi di assistenza meno freddi e forniscono prodotti di sicurezza inclusi come forma di garanzia di qualità di un prodotto. Non è un caso, infatti, che il mercato del lavoro attuale non solo richiede numerose figure specializzate in informatica, ma non apprezza quelle già presenti perché formate non secondo le esigenze della domanda nel settore. Questa mancanza di figure qualificate, mista all’insoddisfazione delle imprese, rende ancora più prezioso il lavoro di chi invece è altamente specializzato e preferisce rivolgersi ad una clientela di alto profilo.
Dubbio amletico sulla natura delle nuvole tricolori
Sulla base degli approfondimenti e delle riflessioni maturate attraverso questo lungo viaggio nel cloud italiano, Matrice Digitale si è immedesimata in un individuo che vuole acquistare in piena autonomia un servizio cloud ed ha scoperto che non tutte le aziende hanno la caratteristica di un servizio del tutto pubblico nonostante si promuovano in questo modo nella fase di posizionamento sul mercato.
Prospettiva Pricing Trasparente
Fornitore | Pubblico | Non presente su sito |
---|---|---|
Aruba | ✔ | • |
Cdlan | • | ✔ |
CoreTech | ✔ | • |
Elmec | • | ✔ |
Fastweb | • | ✔ |
Hosting Solutions – Genesys informatica | ✔ | • |
Naquadria | ✔ | • |
Netalia | • | ✔ |
Netsons | ✔ | • |
Noovle (TIM) | • | ✔ |
Reevo – It.net | • | ✔ |
Register – Keliweb | ✔ | • |
Retelit | • | ✔ |
DHH (Seeweb ed altri) | ✔ | • |
ServerPlan | ✔ | • |
Tiscali | • | ✔ |
Vianova – Host.it | • | ✔ |
Dalla ricerca effettuata da Matrice Digitale, la metà delle aziende presenti in lista (CdLan, Elmec, Fastweb, Netalia, NoovleTim, Retelit, Reevo, Tiscali, Vianova) non è munita di un listino prezzi consultabile liberamente online con annesso carrello elettronico per acquistare i servizi in ogni momento senza passare per un ufficio vendita-commerciale.
Le implicazioni di un pricing poco trasparente
Un fattore che fa riflettere sia in positivo perché si pensa ad un prodotto “su misura”, seppur odori di strategia di marketing, sia in negativo perché chi nel mondo IT cerca un prodotto come il cloud computing sa quali sono le sue esigenze, conosce anche i costi di mercato e riconosce chi espone i prezzi come un venditore specializzato in quel campo con un business già avviato e per nulla improvvisato. Inoltre, c’è anche il rischio che dinanzi ad alcune offerte di servizio ci sia chi fornisce il servizio di “housing” proponendolo al potenziale cliente come Cloud, ma nella pratica non farà altro che ospitare nella propria infrastruttura informatica un server fisico. Proprio per questo motivo, da profani apriamo una riflessione che rimettiamo al mercato sul se chi non espone i prezzi sia da considerare un “Cloud Pubblico” e non invece privato che offre successivamente lo spazio sui suoi server ai clienti che sottoscrivono un’offerta omnicomprensiva di servizi che spaziano dalla connettività fino ad arrivare alla fonia.
Qual è il cloud degli specialisti dell’IT?
Gli specialisti del settore IT di lunga data non acquistano dai soliti rivenditori la tecnologia su cui costruire la nuvola per i propri clienti che, ricordiamo, per la maggiore sono Piccole o Piccole Medie Imprese. Molti MSP impiegano in forma esclusiva prodotti delle multinazionali svolgendo in primis un ruolo di rivenditori dei prodotti di terzi. Questa scelta potrebbe fornire più garanzie sulla carta, ma potrebbe rafforzare allo stesso tempo sistemi di potere già consolidati, traghettandoli verso una posizione monopolistica che riconosca un potere incontrastato nello stabilire un prezzo di mercato che con il tempo diventi insostenibile per le aziende. Oltre alla pura logica di mercato, c’è anche un problema identitario dell’azienda che subentra e dove è messo a rischio il brand del fornitore di servizi nel caso che il cliente continui ad interfacciarsi con prodotti di terze parti ignorando il valore del fornitore tanto da credere di poterlo sostituire perché tanto utilizza un prodotto di terze parti di marchi ben più noti e commerciali e facilmente sostituibile.
Se è consideriamo che l’87 per cento della spesa è riservata alle grandi imprese che sono più propense nel chiudere accordi con i grandi gruppi e spesso hanno uffici interni preposti all’Information Technology, c’è un tessuto produttivo composto da piccole e medie imprese che quotidianamente si affida al Canale composto dai già noti MSP (Managed Service Provider), sviluppatori e fornitori IT.
Cloud pubblico
Il Cloud Pubblico è un modello di cloud computing in cui i servizi e le infrastrutture sono ospitati da un provider di cloud e resi disponibili al pubblico o a grandi gruppi industriali tramite Internet. Queste risorse, come server e storage, sono di proprietà e gestite dal provider di cloud e condivise tra tutti i clienti. Gli utenti accedono ai servizi e li gestiscono tramite un browser web e pagano in base al consumo, senza dover investire in hardware o manutenzione. Ecco una lista dei cloud pubblici italiani in concorrenza con i big USA Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) che forniscono servizi Cloud, ma lo fanno da piattaforme fisiche dislocate all’estero.
Fornitore | Cloud Pubblico | Cloud Privato | Data Center-Colocation | MSP/System Integrator | Fornitore CyberSecurity | Fornitore Connettività | Fornitore Telefonia |
---|---|---|---|---|---|---|---|
Aruba | |||||||
Cdlan | |||||||
CoreTech | |||||||
Elmec | |||||||
Fastweb | |||||||
Hosting Solutions – Genesys informatica | |||||||
Naquadria | |||||||
Netalia | |||||||
Netsons | |||||||
Noovle (TIM) | |||||||
Reevo – It.net | |||||||
Register – Keliweb | |||||||
Retelit | |||||||
DHH (Seeweb ed altri) | |||||||
ServerPlan | |||||||
Tiscali | |||||||
Vianova – Host.it |
Anche il metodo di classificazione di un’azienda che fornisce servizi Cloud risulta difficile agli occhi degli utenti e delle imprese. Un’impresa che eroga il servizio di noleggio delle infrastrutture informatiche sulla “nuvola” non può essere confusa né con chi vende servizi di connettività né con chi offre uno spazio sui propri server ai siti Internet dei clienti come da usanza delle web agencies che li realizzano. Partire da 2 milioni di euro di fatturato è un giusto parametro per avere una garanzia sia sul core business e sia per intuire la presenza di una fidelizzazione della clientela nei confronti dei servizi offerti dal fornitore del servizio di Cloud Computing.
Chi sono gli utenti del Cloud?
Le grandi imprese rappresentano l’87% della spesa complessiva nel cloud, evidenziando come queste organizzazioni stiano guidando l’adozione del cloud in Italia. Tuttavia, anche le PMI stanno rapidamente abbracciando il cloud, con una crescita del 34% nella spesa per servizi in Public Cloud, raggiungendo i 478 milioni di euro. Oltre la metà delle applicazioni aziendali nelle grandi imprese (51%) risiede ora nel cloud, segnalando un punto di svolta nella digitalizzazione del settore aziendale italiano. Un settore in espansione che mette alla luce diverse criticità soprattutto se si considera che il bene fisico dove sono custoditi i dati spesso viene abbandonato e dato in pasto ad aziende estranee, così come l’acquisto di licenze software per l’ufficio è sempre più sotto forma di abbonamento che, una volta scaduto, potrebbe minare il processo produttivo dell’azienda e la custodia “pro manibus” dei propri dati allontanandola da una capacità di essere indipendente e proprietaria nel medio lungo periodo.
Cos’è un MSP?
I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.
Inchieste
Managed Service Providers in Italia: numeri di un mercato in crescita
Nel contesto italiano, caratterizzato da un tessuto imprenditoriale prevalentemente composto da piccole e medie imprese, gli MSP stanno emergendo come una componente importante per la trasformazione digitale dell’intero contesto produttivo del Bel Paese.
Cos’è un MSP?
I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT in un modello di outsourcing che consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni delegando la gestione IT che con il tempo diventa sempre più complessa. L’attività degli MSP varia dalla normale amministrazione di tipo hardware e di rete fino all’offerta di una soluzione più complessa come quella di un cloud o di piattaforme software diverse sulla base ai settori di appartenenza dei propri clienti.
Un mercato in crescita
Con l’aumento della diffusione digitale nelle imprese, cresce anche l’esigenza di essere più completi e professionali da parte di coloro che lavorano nel settore IT. Questo fenomeno sta incidendo notevolmente sul fatturato degli MSP che tende a crescere in virtù della forte domanda di mercato e questo fa il paio con il bisogno costante di reperire nel mercato del lavoro personale altamente qualificato a cui sono richieste competenze spesso orizzontali e che rimane un ostacolo a causa della poca offerta lavorativa specializzata.
Costo del personale rispetto al fatturato
Secondo un’analisi emersa all’MSP Fest 2023 si è rivelato che il costo medio del personale nel settore ICT è del 30,8% del fatturato totale, un indicatore di quanto le aziende investono nelle loro risorse umane. Questo dato varia significativamente tra i diversi cluster:
Partner ERP (Enterprise Resource Planning), software che consente di gestire l’intera attività d’impresa, sostenendo l’automazione dai processi di finanza, risorse umane, produzione, supply chain, servizi, approvvigionamento e altro, mostrano una coerenza interna con un costo del personale che oscilla tra il 29% e il 33%.
MSP: registrano un costo inferiore, ridotto di circa 9-10 punti percentuali rispetto ai partner ERP, suggerendo una maggiore efficienza o un modello di business differente che minimizza i costi del personale.
Software House: presentano la variabilità più alta, con una media del 37% che in alcuni casi raggiunge il 70%, indicando un elevato investimento in capitale umano, tipico delle aziende che dipendono fortemente dalla manodopera qualificata.
Questi dati suggeriscono che le strutture aziendali, le strategie di outsourcing e l’automazione possono influenzare significativamente il rapporto tra costo del personale e fatturato.
Fatturato per dipendente
Passando alla produttività misurata come fatturato per dipendente, emergono ulteriori dettagli rilevanti:
Software House: alcune registrano cifre allarmanti come 50k€/anno per dipendente, un livello basso che potrebbe indicare margini ridotti e sostenibilità a lungo termine a rischio.
Media del settore: il fatturato medio per dipendente si attesta intorno ai 145k€, con punte superiori ai 200k€ in aziende più efficienti. Questo dato riflette una variazione sostanziale basata sulla natura del modello di business e sulla capacità di generare ricavi aggiuntivi attraverso la vendita di licenze software, servizi o hardware.
Questo indicatore è cruciale per valutare l’efficacia con cui le aziende utilizzano il loro personale. Un fatturato per dipendente elevato può indicare un’alta produttività e un modello di business efficace, mentre valori bassi possono segnalare la necessità di rivedere le strategie operative.
Più della metà degli MSP ad oggi tende a superare mediamente il milione di euro di fatturato, segnalando una maturazione del settore. Questo dato dimostra che ci si sta allontanando da un mercato composto prevalentemente da micro-imprese ed indica una tendenza verso una dimensione non più da incubatore di professionalità, bensì di aziende strutturate.
MSP a chi si rivolgono
I primi fruitori del mercato IT sono prevalentemente imprese produttive e studi professionali e questo consente di tracciare una linea di indirizzo generale sui prodotti necessari a garantire uno standard di qualità minimo ed uguale per tutti. Questo indirizzo operativo permette di affinare le offerte di servizi e di aumentare l’efficienza di gestione attraverso la standardizzazione e la personalizzazione delle soluzioni per i clienti di nicchia. Se prima ci si rivolgeva al negozio sotto l’ufficio o all’amico di famiglia più pratico con i computer, oggi la gestione delle reti informatiche e la manutenzione dei computer aziendali, compreso tutto l’aspetto che riguarda la complessa, quanto sentita, messa in sicurezza del perimetro cibernetico, sono gestiti dagli MSP che si presentano sul mercato con contratti annuali o con la possibilità di una tariffazione oraria. Un’altra capacità che è richiesta ai Managed Service Providers è l’affinare la propria scalabilità nella gestione di un numero di clienti che può aumentare anche repentinamente.
Tecnologia e innovazione
L’adozione di tecnologie avanzate come il monitoraggio remoto, l’automazione dei processi di servizio e la gestione avanzata dei ticket sta diventando sempre più comune rispetto alla telefonata amichevole di un tempo. Questi strumenti non solo migliorano l’efficienza operativa ma permettono agli MSP di offrire un livello di servizio superiore, indispensabile per competere in un mercato tecnologicamente avanzato ed in continua evoluzione sulla base delle esigenze del mercato. La convergenza tra la crescente necessità di servizi IT gestiti e le capacità avanzate offerte dagli MSP suggerisce un ruolo sempre più centrale per questi ultimi nel supportare le imprese italiane nel percorso di trasformazione digitale e questo richiede una formazione costante dei quadri dirigenziali e di tutto il personale e non solo attraverso la lettura di articoli tecnici. In aggiunta agli aggiornamenti generali del settore su riviste specializzate come Matrice digitale, gli MSP si concentrano su diversi campi specifici per il proprio sviluppo professionale, evidenziando le seguenti aree principali:
Cybersecurity
Con la crescente incidenza di minacce informatiche, la cybersecurity rimane un campo di primaria importanza. Gli MSP riconoscono la necessità di fortificare le proprie competenze in questo ambito per proteggere efficacemente le infrastrutture IT dei loro clienti.
Conoscenza dei prodotti utilizzati
Un’approfondita conoscenza dei prodotti è essenziale per gli MSP per garantire l’efficienza e l’efficacia delle soluzioni implementate. Questo include una comprensione dettagliata dei software e degli hardware impiegati nelle loro operazioni quotidiane.
Organizzazione e processi Aziendali
L’efficienza operativa attraverso l’organizzazione e la gestione ottimizzata dei processi aziendali è un altro pilastro fondamentale. Gli MSP investono in formazione per migliorare la gestione dei progetti, il flusso di lavoro, e le pratiche operative generali.
Sales & Marketing
Le competenze in vendita e marketing sono cruciali per gli MSP per attrarre e mantenere una clientela ampia. Questo aspetto della formazione è orientato a strategie di comunicazione efficaci, generazione di lead e tecniche di negoziazione.
Helpdesk e Customer Service
Queste aree sono vitali per il mantenimento delle relazioni con i clienti positive e per la gestione efficiente delle richieste di supporto e assistenza.
Il ruolo sociale degli MSP
Chi ha l’onere ed il compito di gestire le infrastrutture informatiche di porzioni della produttività italiana non solo ha il dovere di gestirle a dovere, avendo cura dei dati che gli vengono affidati, ma ha il compito di trasmettere valori educativi nel campo digitale verso tutti i suoi assistiti che non sono solo le imprese, ma anche i dipendenti. Questo aspetto non andrebbe sottovalutato in un momento storico dove gli attacchi informatici crescono sempre ed il primo contatto tra criminali ed imprese, sono proprio i dipendenti che aprono inconsapevolmente le porte alle azioni coordinate.
Inchieste
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
L’Italia è sempre più digitale grazie al trend globale di trasformazione dei processi analogici verso un’integralismo, o integrità, virtuale che pone il Paese dinanzi a grandi sfide. Se il mercato offre diverse realtà, c’è una forte concorrenza alle imprese tricolori che viene oltreoceano e si rischia sempre di fare la solita fine di grandi colossi internazionali che alimentano un indotto sottoponendo l’intero sistema produttivo ad un ricatto costante nel caso vi sia una exit strategy o un cambio delle condizioni contrattuali.
Situazione del Mercato Digitale Italiano nel 2023:
Il mercato digitale italiano nel 2023 ha evidenziato una crescita robusta del +2,8% rispetto all’anno precedente, superando la crescita del PIL italiano che ha mostrato un rallentamento con un incremento di pochi decimali e che dovrebbe essere confermato per l’attuale anno.
Settori trainanti
Quando si parla di mercato digitale si può dire tutto oppure niente ed è proprio questo il motivo per cui è necessario tracciare una lista dei vari settori e determinare una crescita particolare per ogni singola attività produttiva che contribuisce nel fornire tasselli al variegato puzzle del setore ICT
Servizi ICT: Hanno registrato la crescita percentuale più elevata con un +9% dove il cloud fa da soggetto trainante in tutti i suoi aspetti: sia infrastrutturale sia in termini di servizi erogati su piattaforma
Contenuti e Pubblicità Digitale: Seguono con un incremento del +5,9%.
Software e Soluzioni ICT: Chiudono con un +5,8%.
Aumento degli investimenti nella Cybersecurity e fondi in arrivo
Nel 2023, la spesa per la cybersecurity è aumentata del +13%, sottolineando l’importanza della sicurezza informatica nel sostenere l’evoluzione digitale delle aziende. In particolare, i Servizi di Sicurezza Gestiti (MSS) e i settori della Sanità (+18,7%) e della Pubblica Amministrazione (Centrale +12,7% e Locale +13,7%) hanno mostrato il maggior interesse per le soluzioni di sicurezza informatica.
Pubblica Amministrazione: Il mercato digitale nella Pubblica Amministrazione nel 2023 ha previsto una crescita del +9,1%, raggiungendo quasi 8 miliardi di euro.
L’iniziativa del governo italiano di allocare significativi fondi per il sostegno e lo sviluppo delle tecnologie emergenti, come l’intelligenza artificiale, il quantum computing e la cybersicurezza, segna un passo importante verso l’affermazione del Paese nel panorama tecnologico globale. Con un finanziamento totale che supera i 130 milioni di euro, a cui si aggiungerebbero gli 800 milioni annunciati ma non stanziati per l’intelligenza artificiale, distribuiti tra vari settori chiave, questa mossa riflette un impegno strategico verso l’innovazione e la sicurezza digitale.
Chi comanda e dirige gli appalti sulla cybersicurezza?
La decisione di affidare la gestione di questi investimenti all’Agenzia Nazionale per la Cybersicurezza è una scelta di responsabilizzazione di coloro che dovrebbero essere le figure chiave più qualificate dell’intero paese. Anche per questo motivo, il governo ha stanziato ulteriori 300 mila euro per il biennio all’Agenzia con il fine di coprire le spese operative ed il reclutamento di personale specializzato.
Chi sono gli uomini più influenti del Governo nel mercato digitale?
Per gestire i fondi che verranno erogati nei prossimi mesi sia dal punto di vista finanziario che direttivo è stata istituita una struttura di coordinamento che coinvolge entità di rilievo come Palazzo Chigi, l’Agenzia per la Cybersicurezza Nazionale e CDP Venture Capital, insieme alla nomina di figure chiave quali Alessio Butti, Bruno Frattasi e Agostino Scornajenchi, sottolinea l’approccio olistico adottato per garantire che gli investimenti siano gestiti efficacemente e che le iniziative siano allineate con le priorità strategiche nazionali.
La sfida da portare al termine
La sfida per l’Italia sarà quella di mantenere questo impegno nel lungo termine, assicurando che le risorse siano utilizzate in modo efficace e che siano messe in atto politiche che sostengano l’innovazione continua e la formazione di competenze avanzate, ma soprattutto che la sicurezza informatica non sia solo una voce passiva nella spesa dello Stato e che possa produrre realtà trainanti di un mercato interno ed anche estero.
Proiezioni future
Per il 2024, si prevede un aumento del +3,8%, seguito da un +4,8% nel 2025, e un +5% nel 2026, con un mercato che potrebbe superare i 90 miliardi di euro entro il 2026. L’intelligenza artificiale è prevista crescere ad un tasso medio annuale del +28,2% tra il 2023 e il 2026.
Tecnologie emergenti
Hardware: Si prevede un rallentamento della crescita da +2,0% nel 2023 a +0,9% nel 2024.
Software: Forte crescita prevista con un +5,6% nel 2023 e un ulteriore aumento al +6,2% nel 2024.
Servizi: Crescita costante con un +2,7% nel 2023 e un leggero aumento al +2,8% nel 2024.
Tecnologie Emergenti e loro Crescita:
Intelligenza Artificiale: Crescita significativa con +29,4% nel 2023 e +27,6% nel 2024.
Blockchain: Crescita robusta con +27,5% nel 2023 e +25,5% nel 2024.
Servizi Cloud: Continua crescita con +20,1% nel 2023 e +19,5% nel 2024.
Cybersecurity: In aumento con +14,6% nel 2023 e +15,3% nel 2024.
Internet of Things: Crescita stabile con +8,7% nel 2023 e +8,8% nel 2024.
Wearable Technology: Leggera decelerazione con +5,6% nel 2023 e +5,3% nel 2024.
L’intelligenza artificiale generativa con ChatGPT ed i suoi simili, insieme a big data, cloud e quantum computing, sono state identificate come tecnologie chiave che trasformeranno vari settori produttivi in Italia, contribuendo alla crescita e alla scala delle imprese. Da non trascurare, però, la robotica che rappresenta il terminale ultimo delle attuali tecnologie di tipo LLM ed il mondo già sta proponendo diversi prototipi avanzati.
Importanza della Trasformazione Digitale: La trasformazione digitale è vista come una necessità fondamentale per mantenere la competitività e il posizionamento strategico di un Paese nel contesto globale.
Gap di Competenze: È evidenziato un divario significativo nelle competenze digitali, con solo il 46% dei cittadini italiani che possiede competenze digitali di base rispetto alla media europea del 54%.
- Il mercato digitale italiano sta mostrando una crescita sostenuta, guidata principalmente dal software e dai servizi, nonostante un rallentamento nel settore hardware.
- Le tecnologie emergenti, in particolare l’intelligenza artificiale e i servizi cloud, stanno giocando un ruolo chiave nell’innovazione e nella crescita del settore.
- La trasformazione digitale è fondamentale per la competitività del Paese, ma è necessario affrontare il gap di competenze digitali per sfruttare appieno il potenziale di crescita.
In conclusione, il mercato digitale italiano sta mostrando segnali positivi di crescita e innovazione, spinto dall’adozione di tecnologie avanzate. Tuttavia, per sostenere questa crescita e rimanere competitivi a livello globale, è essenziale investire nella formazione e nell’aggiornamento delle competenze digitali della forza lavoro.
- Notizie2 settimane fa
Australia ed USA arresti contro sviluppatori RAT Hive – Firebird
- Cyber Security2 settimane fa
Dove studiare Sicurezza Informatica in Italia: Guida alle migliori opzioni
- Inchieste1 settimana fa
Banca Sella: il problema che i detrattori del Piracy Shield non dicono
- Notizie2 settimane fa
Intensificazione delle operazioni di influenza digitale da parte di Cina e Corea del Nord
- Notizie1 settimana fa
LightSpy: APT41 minaccia Utenti iPhone in Asia
- Notizie1 settimana fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie1 settimana fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Cyber Security2 settimane fa
Il Ruolo e le Responsabilità del Responsabile per la Transizione Digitale nelle Pubbliche Amministrazioni