Nel mondo moderno, la sicurezza degli accessi rappresenta una delle priorità più cruciali per le aziende, le organizzazioni governative e persino per gli individui. Con la crescente digitalizzazione delle attività quotidiane e il rapido aumento delle minacce informatiche, proteggere i punti di accesso ai sistemi informatici e alle reti è diventato fondamentale, anche perché i criminali informatici continuano a sfruttare con successo gli account meno protetti, che diventano il punto di ingresso alle infrastrutture per i malintenzionati.
Secondo il più recente report Clusit, datato marzo 2024, i furti di identità e gli attacchi agli account rappresentano il 3% del totale, a livello globale. Ma a questi vanno aggiunti anche quelli di phishing e social engineering, che pesano per l’8%, è che spesso sono strettamente legati. Come mai? Perché spesso è proprio grazie al phishing e a tecniche di ingegneria sociale che i criminali riescono a ottenere delle credenziali valide e riescono così a mettere piede nell’infrastruttura delle vittime.
Per approfondire questo tema (e realizzare questo articolo) abbiamo intervistato alcuni dei principali esponenti nell’ambito della cybersecurity, verificando come effettivamente molte aziende non prestino la dovuta attenzione nella protezione degli account, sia quelli dei lavoratori, sia quelli dei sistemi M2M (Machine to Machine). I motivi sono differenti. In certi casi è una questione di scarsa consapevolezza, in altri è invece una questione di costi: con i budget sempre più ristretti, trovare risorse per migliorare ulteriormente la protezione non è facile.
Ma non sono gli unici motivi: alcune soluzioni per la protezione, come l’autenticazione a più fattori – oggi diffusissima anche per i servizi del mondo consumer (email, social network, servizi di streaming e non solo) –, vengono considerate troppo complicate dagli utenti e spesso dai manager stessi. C’è poi un altro punto da segnalare: molte aziende utilizzano anche sistemi legacy nella loro infrastruttura, e non è sempre facile aggiungere a questi asset ulteriori misure di protezione come la MFA (autenticazione a più fattori).
La MFA però non è l’unico approccio per proteggere identità e accessi: si può far leva sull’autenticazione biometrica o, meglio, su un approccio di tipo Zero Trust, a oggi considerato fra i più sicuri.
MFA: l’autenticazione a più fattori
L’autenticazione a più fattori (MFA) è un metodo di protezione che richiede agli utenti di fornire due o più prove di identità prima di consentire l’accesso a risorse digitali. Questo approccio va oltre la semplice combinazione di nome utente e password, aggiungendo livelli di sicurezza supplementari e offrendo maggiori garanzie. Se anche le credenziali venissero sottratte o violate in qualche maniera, infatti, risulterebbero poco utili a un malintenzionato, che dovrebbe trovare il modo di ottenere anche l’OTP, la One Time Password richiesta a ogni nuovo accesso.
L’approccio MFA si basa su più fattori:
- Fattori di Conoscenza: informazioni che solo l’utente dovrebbe conoscere, come la combinazione nome utente/password.
- Fattori di Possesso: oggetti che solo l’utente possiede, come lo smartphone o un token di sicurezza fisico, spesso sotto forma di chiavetta Usb.
Si tratta dell’approccio che solitamente viene utilizzato per svariati servizi, anche di tipo consumer, come già detto. L’accesso a Gmail, ad iCloud e anche ai social network solitamente è protetto da MFA, in alcuni casi in via predefinita: è l’utente, insomma, che deve disabilitare questa ulteriore protezione. Ovviamente, a suo rischio e pericolo.
Il funzionamento è molto semplice: ogni volta che ci si connette da un nuovo dispositivo a un servizio, dopo aver inserito le credenziali viene richiesto un ulteriore codice Otp (One time password) che può essere ricevuto via mail, generato da un’app di autenticazione (come Google Authenticator o Microsoft Authenticator), o anche via SMS. Quest’ultimo metodo, però, è fortemente sconsigliato: gli SMS sono un canale poco sicuro, che può essere facilmente violato tramite attacchi di tipo Sim Swap.
Fatto che è accaduto non troppo tempo fa alla SEC, la Securities and Exchange Commission degli Stati Uniti: parliamo di gennaio 2024, quando sul canale X (ex Twitter) di SEC è apparso un tweet che annunciava l’approvazione di un Etf legato ai Bitcoin. Notizia vera, ma data in anticipo, che ha inevitabilmente scatenato investitori. “Due giorni dopo l’incidente, in consultazione con l’operatore telefonico della SEC, la Commissione ha stabilito che il soggetto non autorizzato ha ottenuto il controllo del numero di cellulare della SEC associato all’account tramite un attacco di ‘SIM swap’“, ha dichiarato un portavoce della SEC il 22 gennaio. “Una volta ottenuto il controllo del numero di telefono, il soggetto non autorizzato ha resettato la password dell’account @SECGov“. Fortunatamente in questo caso non sono stati sottratti dati né installati ransomware sui sistemi della vittima, ma il fatto che uno dei canali di comunicazione ufficiali di Sec sia stato violato è già sufficientemente grave.
Molto più sicure le app di autenticazione, accessibili solo dal cellulare, o ancora meglio i dispositivi hardware, come YubiKey, che si inseriscono in una porta USB e funzionano in maniera trasparente. Che però rappresentano un costo non trascurabile, soprattutto per le aziende con numerosi dipendenti.
Pro e contro di MFA
L’adozione di MFA comporta numerosi vantaggi: riduce drasticamente le possibilità di accesso non autorizzato, anche in caso di furto delle credenziali. E può anche rendere inefficaci molti tentativi di phishing: se un utente cade vittima di phishing e fornisce involontariamente le proprie credenziali a un impostore, quest’ultimo avrà comunque bisogno del secondo fattore per accedere. La MFA inoltre può essere implementata in diversi contesti, da piccole aziende a grandi organizzazioni, con spese tutto sommato contenute.
Fra gli aspetti negativi, segnaliamo una certa ritrosia all’utilizzo da parte di alcuni utenti, quelli meno avvezzi al digitale. Praticamente tutti gli esperti di sicurezza con cui abbiamo parlato affermano che, per quanto possa sembrare banale l’utilizzo, non è così per tutti. E a questo va aggiunto un particolare: non tutte le imprese adottano una politica Byod (Bring your own device) e in questi casi per poter attivare la MFA sarebbe necessario fornire uno smartphone e una Sim (o una chiave hardware) a tutti i dipendenti, con costi non trascurabili.
Si potrebbe obiettare che, alla fine, non è poi così complicato imparare a usare una MFA, e che le aziende potrebbero tranquillamente imporre un minimo di sforzo ai loro lavoratori, pur di garantire una maggiore sicurezza. Ma in molti casi, il carico di lavoro aggiuntivo per il reparto di assistenza, che si troverà spesso a dover supportare lavoratori che faticano ad accedere ai sistemi aziendali, si è rivelato significativo.
Autenticazione biometrica
L’autenticazione biometrica utilizza caratteristiche fisiche o comportamentali uniche degli individui per verificarne l’identità. In pratica, è quello che fanno tutte le banche con i loro clienti da quanto è attiva Psd2: dopo aver inserito le credenziali, verrà inviata una notifica tramite un’app installata sul cellulare che chiederà un’ulteriore conferma. Praticamente, il concetto è lo stesso della MFA con una differenza: al posto di un codice Otp, per confermare la propria identità si utilizzeranno i propri dati biometrici.
Tra le tecnologie biometriche più comuni troviamo l’accesso tramite impronte digitali, un metodo semplice e ampiamente supportato. Tuttavia, sugli smartphone più evoluti o di fascia alta, questa tecnologia sta diventando meno prevalente, poiché spesso viene sostituita o integrata da tecniche più avanzate, come il riconoscimento facciale e la scansione dell’iride. Il riconoscimento facciale, presente in molti dispositivi moderni, utilizza algoritmi sofisticati per confrontare le caratteristiche del viso dell’utente con quelle archiviate in modo sicuro. Anche se efficace, può essere vulnerabile in alcuni casi a inganni tramite foto o video. La scansione dell’iride, inizialmente riservata a contesti di alta sicurezza, è ora disponibile sugli smartphone più avanzati, offrendo un ulteriore livello di protezione.In questo caso, per un malintenzionato sarà praticamente impossibile riuscire a superare questa fase usando foto o filmati, per quanto ad elevatissima risoluzione.
Un ulteriore esempio di autenticazione biometrica è il riconoscimento vocale, che però non viene usato in ambienti lavorativi ma soprattutto sui dispositivi consumer per la smart home, come Amazon Echo, Google Home o simili. Adottandolo, si impedirà che uno sconosciuto possa dare comandi agli assistenti virtuali di terzi.
Autenticazione biometrica: pro e contro
Per quanto l’autenticazione biometrica sia molto efficace, va sottolineato un aspetto: per quanto migliori di molto la sicurezza degli accessi, la MFA non è la soluzione a tutti i mali. Ci sono tecniche che permettono agli attaccanti di eluderla. È il caso dei sistemi passwordless che inviano una notifica sullo smartphone per confermare l’identità prima di consentire l’accesso: un malintenzionato potrebbe bombardare la vittima di notifiche sino a che questa, per disperazione o distrazione, non abbassa la guardia e concede, involontariamente, l’accesso.
C’è anche un altro aspetto da non trascurare: se per qualche motivo un criminale riuscisse a violare i dati biometrici, sarebbe un grave problema. Una password si può cambiare, le impronte digitali e l’iride, ovviamente, no. Si tratta in ogni caso di un rischio relativamente basso: queste informazioni non sono mai inviate online, ma rimangono registrate in locale, sul dispositivo, su una speciale memoria alla quale non è possibile accedere.
Autenticazione MFA e biometrica: cosa offre il mercato?
Per il mondo aziendale, ci sono diverse soluzioni di autenticazione a più fattori (MFA) di alto livello fornite da produttori di primo piano come Microsoft, Cisco, Okta, Ping Identity e altri. Ecco una panoramica delle principali soluzioni disponibili.
Microsoft Entra ID, evoluzione di Azure Active Directory, supporta svariati metodi di autenticazione, come l’app Authenticator di Microsoft, Windows Hello for Business, le chiavi di sicurezza FIDO2, i token hardware e software OATH, i codici SMS e anche le chiamate vocali. Il suo punto di forza è, come intuibile, l’integrazione con le applicazioni Microsoft 365 e altre soluzioni SaaS, semplificando l’implementazione e la gestione delle politiche di accesso.
Cisco Duo, invece, offre una varietà di opzioni di autenticazione come notifiche push, biometria, token hardware, e altro. Include funzionalità di visibilità dei dispositivi e politiche di accesso adattive. Può integrarsi con le principali piattaforme, a partire da quelle dell’ecosistema Cisco, ma non solo.
Anche Big Blue propone una sua soluzione, Ibm Security Verify, che offre autenticazione basata su rischi contestuali e machine learning, con supporto per Otp via e-mail e Sms, autenticazione biometrica tramite l’app IBM Verify, e policy di accesso condizionali. Si tratta di soluzione adatta sia per implementazioni cloud che on-premises, che garantisce una gestione completa degli accessi. Come la maggior parte delle soluzioni di Ibm, è ideale per le imprese più strutturate.
Zero Trust: un approccio completo alla protezione degli accessi
Il concetto di Zero Trust rappresenta una rivoluzione all’approccio della sicurezza informatica. A differenza delle architetture tradizionali, che si basano su una difesa perimetrale, Zero Trust parte dal presupposto che non ci si può mai fidarsi di nulla, né all’interno né all’esterno della rete. Ogni tentativo di accesso deve essere verificato e autorizzato rigorosamente, sempre. Anche se l’utente è già connesso alla rete aziendale, ogni azione verrà controllata e verificata, richiedendo ulteriori conferme se necessario.
Il modello Zero Trust si basa su diversi principi e componenti chiave:
- Microsegmentazione: un approccio che prevede la suddivisione della rete in segmenti più piccoli e gestibili, ciascuno con controlli di sicurezza specifici. La microsegmentazione limita il movimento laterale degli attaccanti all’interno della rete, riducendo la superficie di attacco.
- Verifica continua: uno dei pilastri del modello Zero Trust è la verifica continua delle identità e delle attività. Questo significa monitorare costantemente chi accede alla rete, cosa sta facendo e da dove sta accedendo. Come detto, il concetto base è “non fidarsi mai”.
- Controllo degli accessi basato sull’identità: ogni accesso è autorizzato in base all’identità dell’utente e al contesto specifico. Ciò richiede l’implementazione di soluzioni di gestione delle identità e degli accessi (Iam) avanzate.
- Principio del minimo privilegio: gli utenti e i dispositivi ottengono solo i permessi strettamente necessari per svolgere le loro funzioni, riducendo così il rischio di movimenti laterali da parte di un possibile attaccante.
Zero trust: pro e contro
Il modello Zero Trust offre numerosi vantaggi, tra cui la riduzione della superficie di attacco: limitando l’accesso a segmenti specifici della rete, si riduce il potenziale impatto di un attacco. Anche se un attaccante riesce a infiltrarsi in un segmento, non può facilmente muoversi attraverso l’intera rete. Zero Trust offre anche una maggiore trasparenza sulle attività di rete e facilita l’identificazione di comportamenti anomali, anche da parte dei sistemi di controllo automatizzato. Questo è particolarmente utile per rilevare e rispondere rapidamente a potenziali minacce.
Infine, l’adozione di questo approccio permette di mitigare le minacce interne, che sono un problema da non sottovalutare: una percentuale non trascurabile dei furti di dati, infatti, è dovuta non ad attacchi esterni, ma da dipendenti infedeli che, per esempio, cercando di rivendere alla concorrenza informazioni riservate.
Panoramica delle principali soluzioni sul mercato
Microsoft Zero Trust offre un approccio completo che inizia con la protezione delle identità e dei dispositivi. Fa leva su Entra ID per gestire le identità, su Intune per la gestione degli endpoint e su Microsoft Defender per la protezione contro le minacce in tempo reale. Un ecosistema integrato permette di applicare politiche di accesso condizionale basate su segnali di rischio, garantendo che ogni accesso sia monitorato e verificato prima di essere concesso. La strategia Zero Trust di Microsoft prevede la gestione avanzata dei dispositivi, consentendo un controllo più dettagliato e sicuro delle risorse aziendali.
Cisco Zero Trust include una gamma di soluzioni che combinano tecnologie di rete e sicurezza: Secure Access Service Edge (Sase), che unisce funzionalità di rete come SD-Wan con avanzate caratteristiche di sicurezza come firewall, broker di sicurezza per l’accesso al cloud (Casb) e gateway web sicuri (Swg). Questa combinazione permette alle aziende di costruire un’infrastruttura di sicurezza robusta e cloud-centrica, capace di migliorare i controlli di sicurezza e rispondere proattivamente agli incidenti informatici. Grazie alla collaborazione con Kyndryl, Cisco fornisce un servizio modulare e unificato per la consulenza e l’implementazione di architetture Zero Trust, aiutando le aziende a integrare la sicurezza nei loro modelli di servizio cloud.
Anche Kyndryl Zero Trust Services offre un approccio integrato in grado di coprire identità, dispositivi, rete, applicazioni e dati. Le soluzioni di Kyndryl integrano diversi punti di visibilità, automatizzano il rilevamento e la risposta alle minacce, e prendono decisioni di accesso basate sul rischio. Questo servizio è progettato per proteggere applicazioni critiche, dati e sistemi, riducendo al minimo la superficie di attacco. Kyndryl adotta una metodologia consultiva, aiutando le aziende a maturare le loro capacità Zero Trust e a migliorare il ritorno sugli investimenti in sicurezza. Collaborando strettamente con Cisco, Kyndryl combina capacità di rete avanzate con una sicurezza rigorosa, fornendo una soluzione end-to-end per la transizione verso un’architettura Sase e la gestione sicura degli accessi.
Parlano i protagonisti
AWS: c’è assoluta necessità di adottare MFA e Zero Trust in modo pervasivo
Protezione degli accessi e sicurezza Zero Trust: ne parliamo con Claudia Tagliacollo, IBM