Non è certo un mistero che le minacce informatiche incombano sulle imprese: la cybersecurity è diventata un tema cruciale per le aziende di ogni dimensione. Nonostante i pericoli evidenti, però molte imprese sono ancora riluttanti ad adottare specifiche misure di sicurezza, a partire dall’autenticazione multi-fattore (MFA), nonostante siano molto diffuse e spesso relativamente semplici da adottare. Un approccio che dall’esterno può sembrare miope: parliamo di soluzioni che ormai sono largamente adottate anche nel mondo consumer, quindi dal grande pubblico, che però non sempre sono utilizzate nelle aziende, anche di grandi dimensioni.
I motivi di questa scarsa adozione sono svariati, secondo Bogdan Botezatu, director of threat research and reporting di Bitdefender. A partire dalla complessità: “rinnovare il meccanismo di autenticazione è piuttosto difficile per un’azienda che ha già una sua infrastruttura. Bisogna tenere conto del fatto che alcune aziende non adottano nemmeno forme basiche di protezione dell’autenticazione, come il single sign-on, la rotazione delle password o una qualche forma di login federato”. Un secondo motivo per cui l’adozione di soluzioni per la protezione degli accessi non è diffusa quanto dovrebbe è il costo. Le aziende, infatti, dovrebbero dotarsi di chiavi hardware, o fornire ai loro dipendenti smarpthone aziendali, dato che non tutti desiderano utilizzare i propri dispositivi personali per il lavoro. Infine, non bisogna trascurare il costo di eventuali metodi di fallback basati su SMS, che prevedono un costo aggiuntivo per l’invio di messaggi agli utenti (oltre a non essere sicuri in quanto vulnerabili ad attacchi di tipo Sim Swap).
Botezatu ha anche sottolineato il problema dei sistemi legacy, ancora largamente utilizzati in molte aziende. “Alcune infrastrutture hanno componenti legacy che non supportano l’MFA. Abbiamo visto molte aziende che hanno un mix di tecnologie. Alcune di queste sono moderne e potrebbero essere integrate in un sistema di autenticazione multi-fattore, ma altre no, e c’è un gran caos di server macOS, Windows, Linux, virtualizzazione e vari dispositivi di rete, controller di dominio. In questo scenario, alcuni dispositivi o infrastrutture trarrebbero beneficio dall’MFA, mentre altri no. Il cloud complica ulteriormente la situazione perché, ad esempio, ci sono Api che non supportano in alcun modo l’autenticazione multi-fattore, preferendo invece affidarsi a token per autenticare le richieste”.
Infine, c’è un ultimo aspetto relativo all’esperienza utente: l’autenticazione a più fattori aggiunge complessità al processo di login, il che può scoraggiare gli utenti meno tecnici e aumentare il numero di ticket al servizio di assistenza.
Di fronte a queste sfide, la conversazione si è spostata sulla possibilità di utilizzare una politica di zero trust come alternativa all’MFA per le aziende che trovano troppo costoso o complesso implementare quest’ultimo. Secondo Botezatu, lo zero trust potrebbe essere utile, specialmente nel prevenire attacchi di identità: “lo zero trust è l’equivalente della MFA applicato ai sistemi critici: se adotti lo zero trust, segreghi la rete in caso di una violazione dei dati. Si presuppone che tutti, sia all’interno sia all’esterno della tua organizzazione, siano già stati compromessi e che i loro livelli di accesso debbano essere ridotti al minimo. Tutte le richieste verso i servizi dovrebbero essere sempre autenticate. E tutto dovrebbe essere segmentato sulla rete in compartimenti più piccoli, in modo da non mettere tutte le uova nello stesso paniere: se qualcuno è già sulla rete, dovrebbe avere accesso solo a una piccola parte”. Ma non è una soluzione universale e potrebbe non essere adatta a tutte le aziende, in particolare a quelle che devono bilanciare la sicurezza con l’efficienza operativa.
Dato che nessuna di queste soluzioni si adatta a ogni situazione, sempre più aziende sono al lavoro su soluzioni più moderne, facili da usare, implementare e possibilmente accessibili economicamente. Come l’autenticazione senza password, sulla quale stanno investendo colossi come Microsoft e Amazon. Un approccio sul quale Botezatu si è mostrato ottimista, arrivando a definirlo come “uno dei passi più importanti nella sicurezza delle infrastrutture dai tempi dell’invenzione delle password”. Ma non bisogna aspettarsi di vedere soluzioni passwordless come standard, non in tempi brevi per lo meno, perché “non tutte le imprese hanno accesso alle tecnologie più recenti”.
Uno degli aspetti emersi dall’intervista è stato il ritardo evidente tra la sicurezza consumer e quella aziendale. Mentre i dispositivi mobili moderni sono dotati di un’autenticazione biometrica facile da usare, le aziende sembrano essere ancorate al passato, affidandosi talvolta a sistemi e pratiche obsolete. Secondo Botezatu, oltre ai problemi già citati, questo è dovuto anche alle tante soluzioni legacy presenti in azienda, soluzioni che non possono essere dismesse facilmente o velocemente. Un esempio sono i sistemi basati su Explorer 6 o Windows XP ancora in utilizzo in alcune banche, che non possono aggiornarli rapidamente dato che porterebbero incompatibilità. E il refactoring di queste applicazioni può richiedere parecchio tempo.
Il nodo delle regolamentazioni secondo Botezatu
Per incrementare la consapevolezza e spingere le aziende ad adottare soluzioni più sicure per sé e i propri clienti i Governi, a partire da quelli UE, stanno emanando nuove regole, che sicuramente possono avere un impatto importante. Ma pur benvenute, non sono la panacea di ogni male: Botezatu fa l’esempio del GDPR, che ha costretto le aziende a “implementare almeno misure di sicurezza di base”, che però non bastano. Le aziende devono essere educate sull’importanza della cybersecurity: serve consapevolezza e questo richiede un mix di carota e bastone. Secondo il manager di Bitdefender, infatti, gli obblighi normativi non sono sufficienti: le imprese devono comprendere perché la cybersecurity è cruciale e come può proteggere le loro operazioni e i loro clienti.
Qualcosa relativamente semplice per le grandi aziende, che hanno il budget necessario per acquistare le ultime soluzioni tecnologiche, assumere i migliori esperti, investire sulla formazione del personale. Più complesso per le piccole imprese, che potrebbero non avere le risorse o l’esperienza delle grandi organizzazioni. Da dove dovrebbero partire queste realtà per rendere più sicuri gli accesi ai loro sistemi? Due i focus secondo Botezatu: la gestione degli inventari, “perché non puoi mettere in sicurezza quello che non sai di avere nell’infrastruttura”. E sono tante le realtà che non hanno una conoscenza approfondita di tutti i sistemi e gli endopoint che fanno parte dell’infrastruttura. Il secondo punto su cui investire è la modellazione delle minacce: “capire chi è il tuo avversario, se si tratta di un concorrente, un attore criminale, un governo nemico, anche un insider. E capire quali asset devi proteggere. Una volta che hai stabilito chi ti può minacciare e cosa devi mettere al sicuro, puoi procedere alla creazione di un piano di sicurezza”. Infine, Botezatu consiglia di non sottovalutare di effettuare simulazioni di attacco informatico, “un esercizio che richiede tempo e sforzi, ma è di vitale importanza”
