L’autenticazione rimane una delle sfide più ardue affrontate dai CISO nelle organizzazioni grandi e piccole. Questo elemento fondamentale della sicurezza di lunga data continua a causare parecchi grattacapi ai leader della sicurezza che cercano di identificare e autorizzare utenti e dispositivi spesso diffusi in diversi Paesi e fusi orari. Nel frattempo, i rischi persistenti associati a strategie e processi di autenticazione inefficaci minacciano le aziende man mano che diventano più agili e remote, richiedendo ai team di sicurezza di ripensare gli approcci all’autenticazione nel panorama moderno.

L’autenticazione è un ostacolo significativo per i CISO

“In passato, abbiamo implementato l’autenticazione in un costrutto molto semplice: se ho bisogno di accedere, devo superare i test delle credenziali (accesso/password) per ogni utente/richiesta di servizio senza l’uso di MFA nella maggior parte dei casi” ha affermato Lamont Orange, CISO di Netskope.

L’autenticazione moderna, tuttavia, deve considerare l’autenticazione basata su token e API insieme alle funzionalità MFA, che introducono complicazioni, aggiunge Orange. L’autenticazione deve inoltre affrontare nuove minacce e vulnerabilità che richiedono una rivalutazione costante per autenticare in modo sicuro utenti e dispositivi, afferma Chris Hickman, CSO di Keyfactor. Anche la continua espansione oltre la rete tradizionale e il passaggio alla trasformazione del cloud svolgono un ruolo chiave. “I CISO sperimentano una mancanza di visibilità o la continua necessità di configurare e riconfigurare gateway di autenticazione e provider di identità per stare al passo con le mutevoli richieste”, afferma Hickman.

Anche l’attrito in relazione ai livelli crescenti di rigore nella verifica di un’identità è un problema significativo, afferma Sammy Migues di Synopsys Software Integrity Group. “A un certo punto i più alti livelli di rigore nell’autenticazione diventano un peso quasi eccessivo per le nostre organizzazioni e dipendenti”.

Le sfide dell’autenticazione

Le sfide poste ai CISO e alle loro organizzazioni dall’autenticazione moderna sono numerose e comprendono l’interoperabilità, l’usabilità, i limiti tecnici e le vulnerabilità. “Molte aziende stanno ancora lottando per affrontare il problema dell’identità degli utenti e ora le moderne complessità di autenticazione introducono opportunità da risolvere a livello di macchina, di sistema e di gestione dei segreti”, afferma Orange. Non tutte le tecnologie però sono sufficientemente mature per adattarsi e quindi si hanno modelli di governance eterogenei e talvolta un supporto implicito a protocolli legacy che introducono lacune di sicurezza”.

Per Greg Day, CISO globale di Cybereason, l’esperienza dell’utente rappresenta la sfida più grande. “A nessuno piace cercare di ricordare password lunghe e complesse, o ricevere la richiesta di inserirle ogni cinque minuti, o dover ricordare 100 password diverse per tutti i processi che utilizzano. Chiedere agli utenti di inserire il proprio PIN univoco per ogni transazione migliora la sicurezza, ma aggiunge tempo per completare le transazioni”.

Il cambiamento dei paradigmi di autenticazione richiede ai team di sicurezza e tecnologia di ripensare gli approcci con modelli come zero trust, afferma Hickman. “Nuove strategie come zero trust richiedono un’autenticazione forte della macchina o del dispositivo per concedere l’autorizzazione. La maggior parte delle organizzazioni sta solo ora iniziando a impiegare una strategia di identità della macchina e la gestione delle credenziali della macchina e, proprio come quella umana, l’identità/autenticazione della macchina si presenta in molte forme e fattori. Può essere un problema non da poco gestire in modo efficace tutte le autenticazioni basate su macchina”.

riconoscimento biometrico

Anche l’emergente autenticazione biometrica presenta notevoli ostacoli, aggiunge Migues. “La biometria umana ha più garanzie, ma è molto più difficile da implementare su larga scala e anche questi sistemi possono essere falsificati. Qualcuno deve presentarsi da qualche parte e farsi fare, ad esempio, una foto dettagliata del proprio occhio, fornire copie delle proprie impronte digitali, ottenere una scansione termica e così via. Cosa bisogna portare come mezzo di autenticazione in modo che si possa ottenere l’autenticazione? Patente di guida? Certificato di nascita? Passaporto? Come verranno verificati? E se non guido o non ho un passaporto?. Ovviamente sono metodi che dobbiamo implementare per forza per le persone che, ad esempio, accedono ai silos di missili nucleari, ma farlo anche per tutti gli altri diventa una bella sfida”.

 

Accesso non autorizzato

Un’autorizzazione inefficace introduce rischi significativi per le organizzazioni, con risultati che possono manifestarsi in utenti, sistemi/macchine, servizi e dispositivi con privilegi eccessivi che possono portare a un accesso non autorizzato e alla divulgazione dei dati, afferma Orange. “Nell’ecosistema DevOps, i componenti API possono aprirsi a diverse vulnerabilità e sfruttamento, come autorizzazioni a livello di oggetto non funzionanti. Anche le autorizzazioni inefficaci introducono API che possono rappresentare una minaccia di sanzioni per violazioni della privacy e sfruttamento del ransomware tramite l’espansione della superficie di attacco”.

In effetti, i dati sono una delle risorse più preziose in possesso di ogni azienda e se non potete controllare chi ha accesso ad essi, mettete a rischio la vostra attività, afferma Day. “Vediamo spesso le implicazioni nel mondo reale di ciò attraverso il ransomware e le richieste sempre crescenti di pagamenti che accompagnano questi attacchi. Controllare chi ha accesso ai dati e con chi vengono condivisi è fondamentale per il successo di ogni azienda”.

Procedure consigliate per un’autenticazione moderna efficace

Le migliori pratiche di autenticazione sono facili da elencare ma non necessariamente così facili da implementare, specialmente nelle grandi organizzazioni, afferma Migues. “Non cercate di inventare il vostro sistema di token, crittografia, protocolli e così via. Non ci riuscireste. Pensate solo a quanti avvisi di sicurezza ricevete da aziende che letteralmente fanno questo per vivere e basano i loro prodotti su esperienze anche decennali e sul feedback continuo di migliaia di utenti”.

Migues sostiene la necessità di spostarsi verso l’autenticazione senza password e di garantire che l’autenticazione da API a API abbia la stessa attenzione dei dipendenti che accedono a file sensibili. Suggerisce inoltre di utilizzare NIST 800-63B e linee guida simili durante la pianificazione della strategia di autenticazione. “Inoltre, tenete presente che si verificheranno attacchi contro i servizi di autenticazione: dovrete quindi mettere controlli di velocità ovunque per rallentare gli attacchi automatizzati”.

Per Orange, anche coinvolgere i team di governance, rischio e conformità (GRC) per fornire i requisiti per le moderne autenticazioni, testare continuamente per identificare i punti deboli, recuperare visibilità e analisi contestuale attraverso soluzioni implementate e formare la forza lavoro sulle minacce correlate sono best practice importanti per implementare.

Day esorta infine i CISO a non trascurare l’importanza dell’esperienza utente, avvertendo che se i processi di autenticazione sono troppo difficili o troppo complessi, i dipendenti troveranno un modo per aggirare gli strumenti di autenticazione esistenti. “L’obiettivo a lungo termine deve essere quello di trovare un modo per avere una gestione degli accessi consolidata basata sul rischio in tutti i sistemi informativi”.