Le credenziali rubate sono diventate il volano per la maggior parte dei cyber attacchi. Un account violato costituisce la chiave d'accesso per un endpoint, da cui avviare movimenti laterali nelle reti aziendali. Come proteggerle in maniera efficace?

Il boom del lavoro da remoto ha spinto la maggior parte delle organizzazioni verso il cloud, ma l'infrastruttura di sicurezza è rimasta indietro. Senza visibilità oltre l’edge e nel cloud, le organizzazioni si stanno affidando ciecamente a credenziali inefficaci per proteggere tutto ciò che vi è contenuto.

Gli attaccanti cercano sempre i punti più vulnerabili per avere accesso al proprio obiettivo e l’acquisizione di un account può essere la base di lancio perfetta per attaccare un’azienda privata o pubblica; a tal proposito, gli account takeover (acquisizione dell’account) sono diventati il maggiore vettore di minacce nel cloud.

Di solito un cyber criminale ottiene l’accesso all’account utente sfruttando attacchi di tipo social engineering (es. phishing, baiting) e, per le tipologie di attacco più comuni, si può ridurre il rischio attraverso l’autenticazione multifattore (MFA). Tuttavia, l’autenticazione multifattore non è più sufficiente a proteggere gli utenti dagli attacchi più recenti e avanzati: ogni mese circa il 30% delle organizzazioni soffre questo tipo di attacchi, nonostante l’utilizzo della MFA.

Nell’affiancare una strategia di sicurezza che include tecnologie di autenticazione, policy, best practice e awareness, risulta fondamentale tenere sotto monitoraggio i comportamenti degli utenti nell’utilizzo degli account all’interno della rete una volta autenticati – e non semplicemente i tentativi di accesso anomali – e avere visibilità in tempo reale di ciò che accade sia nell’infrastruttura on-premise sia nel cloud, in modo da poter rilevare, rispondere e neutralizzare una minaccia, prima che diventi un vero e proprio breach.

L'eliminazione delle password può essere una soluzione percorribile, alla luce del fatto che Microsoft permette l'accesso ai servizi Microsoft Edge e Microsoft 365 senza più chiedere le password, e che altri big hanno proposto tecnologie passwordless?

Nonostante nessun sistema di accesso sia completamente a prova di hacker, l’autenticazione senza password è sicuramente un tassello importante in una strategia volta a incrementare la postura di sicurezza aziendale.

Le password non sono sicure e lo sappiamo da tempo. Difficili da ricordare, facili da smarrire, rimangono l’obiettivo numero uno per gli attaccanti e il principale vettore di attacchi cyber. Si stima che ogni utente medio possegga una media tra le 75 e le 100 password e questo numero è in continuo aumento.

Come visto sopra, l’autenticazione a due fattori è un valido supporto: si aggiunge alla password (something you know) un altro fattore di autenticazione come, ad esempio, notifiche push o token (something you have). Sebbene risulti un miglioramento oggettivo, si tratta tuttavia di un metodo bypassabile dagli attaccanti più avanzati e non riduce l’esposizione dell’utente ad attacchi come phishing e/o social engineering.

Adottando, invece, un approccio passwordless, dal modello di autenticazione viene eliminato il fattore password (something you know) e l’utente può utilizzare diversi altri metodi per verificare la propria identità, come un OTP (one-time password) o l’autenticazione biometrica (something you are: impronta digitale, riconoscimento facciale) e certificati digitali sul proprio dispositivo.

I vantaggi dell’autenticazione passwordless sono quindi direttamente misurabili in una riduzione del rischio di credenziali rubate da parte degli attaccanti, in una migliore user experience e in una riduzione di lavoro per l’helpdesk, limitando conseguentemente la superficie di attacco per l’azienda. Gli svantaggi? A seconda del tipo di implementazione della tecnologia e del provider stesso, vanno considerati i costi di implementazione e il fatto che gli utenti rimangono ancora a rischio in caso di furto del dispositivo o di attacchi avanzati che sfruttano specifici malware o eventuali debolezze dell’autenticazione biometrica utilizzata.

Quasi sempre il problema delle credenziali "bucate" è riconducibile a una cattiva gestione delle password da parte degli utenti, fra il riciclo di chiavi di sicurezza e la mancanza di aggiornamenti anche a seguito di data breach. Che ruolo gioca la formazione al riguardo?

Sembra un luogo comune, ma è un dato di fatto: l’utente rimane l’anello debole della catena quando si parla di sicurezza. Un programma di security awareness deve essere parte integrante della strategia di sicurezza di un’azienda, con formazione periodica per il personale volta a fornire conoscenze e competenze, soprattutto ora che una grossa percentuale del personale stesso lavora al di fuori del perimetro di sicurezza aziendale.

Quali prodotti/servizi consigliate ai vostri clienti per una gestione ottimale delle password?

Nonostante sia molto probabile nel futuro vedere la graduale diffusione di tecnologie di autenticazione passwordless, dovremo convivere con le password ancora per un po’ di tempo: è quindi consigliabile adottare una corretta gestione del loro ciclo di vita, a partire dal momento in cui vengono create (lunghezza minima, complessità, password differenti per differenti account, ecc.).

Una volta creata, la password deve essere salvata in maniera sicura: in questa fase è consigliabile l’utilizzo di una soluzione di gestione password (password manager). Ci sono differenti soluzioni sul mercato, adatte sia a un’utenza privata sia a una enterprise, che hanno il compito fondamentale di salvare le password in forma crittografata e consentire l’accesso a esse attraverso una “master key”, che a quel punto sarà l’unica password che l’utente dovrà ricordare e proteggere.

A livello enterprise è, inoltre, necessario porre un ulteriore livello di attenzione per le password relative ad account privilegiati, che vanno gestite centralmente e in maniera sicura attraverso soluzioni specifiche, quasi sempre affiancate a piattaforme di gestione degli accessi privilegiati.