▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

MFA: le condizioni perché sia efficace

Perché alcuni cyber attacchi riescono a violare l’MFA e come rafforzare questo importante presidio di difesa informatica.

Vulnerabilità

È ormai chiaro che la difesa aziendale passa per la difesa dell’identità di ciascun dipendente, per questo tutte le aziende di ogni dimensione e settore sono incentivate ad attivare l’autenticazione a più fattori (MFA). Tuttavia, leggiamo sempre più spesso di notizie che riportano la violazione dell’MFA: perché accade? E soprattutto, significa che l’MFA non è sicura come si pensava? Sono domande a cui risponde Marco Rottigni, Technical Director di SentinelOne, in una riflessione che ha condiviso con la stampa.

In sintesi, la risposta è che l’MFA è sicura quando viene usata nell’ambito di una strategia di cybersecurity più ampia che include strumenti di sicurezza basati sull'identità (IAM e PAM) e che opereranno in sinergia con solide piattaforme di cybersecurity come l'Extended Detection and Response (XDR). È la combinazione di entrambi a ridurre la superficie di attacco complessiva delle identità, in quanto limita l'esposizione dell'azienda agli attacchi, monitorando costantemente i segnali di vettori comuni e nuovi basati sulle identità.

MFA fallibile

Da sola, l’MFA è fallibile. Come spiega Rottigni, la criticità degli strumenti MFA è che ogni azione è legata al livello di attenzione alla cybersecurity dimostrata dall’utente. Ecco perché gli attaccanti sfruttano tattiche di social engineering e malware, inondando l'app di autenticazione e il dispositivo dell'utente con richieste di conferma fino a quando questi non cederà sulla spinta delle pressanti notifiche.


Marco Rottigni, Technical Director di SentinelOne

Una seconda criticità è costituita dalle funzionalità di sicurezza mal implementare nei sistemi MFA, che possono aprire la strada ad opportunità di attacco. In particolare, ecco alcuni de casi in cui l'MFA può essere violato, in particolare quando si utilizza solo un codice 2FA: manipolazione della risposta da "falso" a "vero", modifica dello status code per eludere il codice 2FA, controllo della presenza del codice 2FA nella risposta. Ancora, ci sono i casi di analisi dei file JavaScript per i dati 2FA, di riutilizzo dei codici 2FA e di forzatura del codice 2FA. Non sono da trascurare nemmeno la disabilitazione del 2FA cambiando le credenziali di accesso e il bypass del 2FA con un codice di accesso non valido.

All’atto pratico gli attacchi MFA si declinano principalmente in tre tecniche:

  • Attacker-In-the-Middle (AiTM) - Gli attacchi AiTM si svolgono tra due host di comunicazione mentre un attaccante manomette lo scambio di dati. Entrambi gli host credono di comunicare con l'altro ma, in realtà, l'attaccante terzo ha intercettato i messaggi e controlla l'intero scambio. Gli attaccanti ottengono dati personali sensibili come dettagli di account, login e altro ancora tramite questa tipologia di attacchi.
  • Attacchi di SIM-swapping - Gli attaccanti si fingono prima vittime e chiedono al provider di telecomunicazioni di cambiare la carta SIM esistente con una controllata da loro stessi. Una volta sostituita la SIM, tutte le chiamate e i messaggi della vittima vengono ricevuti dall’attaccante, compresi gli eventuali codici MFA forniti dal sistema MFA basato su SMS.
  • Attacchi "Pass-the-Cookie" - In questo caso, viene rubato un cookie di autenticazione o di sessione che viene memorizzato da un web browser quando si accede a una risorsa basata sul web. Il cookie rubato viene poi utilizzato in una nuova sessione web per ingannare il browser sulla presenza dello stesso utente, evitando quindi che l'utente debba dimostrare ancora la propria identità nella nuova sessione. Gli attacchi "pass-the-cookie" sfruttano il fatto che i cookie salvati dalle applicazioni non scadono, almeno fino a quando l'utente si disconnette dal servizio.

    MFA affidabile

    Appurato che MFA da sola non è la soluzione definitiva per fermare i cyberattacchi basati sulle identità, l'MFA rimane un componente importante di una efficace strategia di difesa: le aziende che non implementano l'MFA lasciano spalancata la porta d'ingresso. Quello che bisogna fare è implementare ulteriori livelli di protezione per potenziare la tecnologia MFA.


    Per esempio è possibile aggiungere più informazioni e contesto ai login degli utenti. Anziché limitarsi a richiedere un semplice "accetta" o "nega" per l'autenticazione, è possibile aggiungere dettagli come l'ID globale, la posizione e il nome del dispositivo. In secondo luogo, si possono legare le soluzioni MFA a URL, host e dispositivi specifici per impedire l'accesso diretto alla risorsa in caso di attacco AiTM. Terzo, è consigliabile assicurarsi che la soluzione MFA richieda un rigoroso processo di reset e ripristino e che i cookie di sessione, i token di sicurezza e i valori di seed siano impostati per scadere in meno di 24 ore.

    Inoltre, è necessario inserire le soluzioni per la gestione dell'identità e degli accessi (IAM) e la gestione degli accessi privilegiati (PAM) basate su MFA in un contesto più ampio che includa una piattaforma XDR capace di limitare complessivamente l'esposizione dell'azienda agli attacchi, monitorando costantemente i segnali di attacchi. È infine da sottolineare che quanto detto riguarda tutte le realtà aziendali, incluse le PMI, che al momento risultano quelle più sguarnite di una protezione adeguata delle identità per i propri dipendenti.

    Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
    Iscriviti alla nostra Newsletter Gratuita. Iscriviti
    GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

    Notizie correlate

    Speciali Tutti gli speciali

    Speciale

    Speciale iperautomazione

    Speciale

    Speciale Backup e Resilienza 2025

    Speciale

    Speciale OT Security

    Speciale

    2025 obiettivo cybersecurity

    Speciale

    Previsioni per la cybersecurity del 2025

    Calendario Tutto

    Lug 11
    TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
    Lug 11
    Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
    Lug 11
    Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
    Lug 15
    Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
    Lug 15
    Networking on OCI: Dietro le Quinte della Rete Cloud
    Lug 15
    HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
    Lug 15
    Cisco 360 Level Up:la transizione guidata da TD SYNNEX
    Lug 16
    NetApp Hybrid Cloud Associate Workshop
    Lug 17
    Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

    Ultime notizie Tutto

    Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

    Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

    09-07-2025

    AI agent e automazione no-code: la nuova era dei SOC

    Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

    09-07-2025

    Acronis, come semplificare il lavoro di MSP e team IT con il patch management

    Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

    08-07-2025

    La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

    La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

    07-07-2025

    Iscriviti alla nostra newsletter

    Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

    Iscriviti alla newsletter

    www.securityopenlab.it - 8.3.21 - 4.6.1