Nell’odierno scenario delle minacce, in cui gli attacchi sono sempre più gravi per individui, aziende e governi, i cybercriminali sono diventati abili nello sfruttare le vulnerabilità per compromettere i sistemi. Quando le imprese cercano di migliorare la propria resilienza informatica, uno dei primi interventi per proteggersi efficacemente dagli attacchi informatici è quello di cercare di implementare validi protocolli di autenticazione. Adottare robuste tecniche di autenticazione può aiutare le organizzazioni a prevenire l’accesso non autorizzato ai sistemi e a proteggere le informazioni sensibili dalle mani sbagliate. La Cloud Security Alliance ha utilizzato un’espressione che ha un fondo di verità: “Gli aggressori non violano i sistemi, ma vi accedono”. Secondo il Verizon Data Breach Investigations Report del 2022, l’uso improprio delle credenziali è stato tra le principali cause di violazione dei dati, evidenziando la necessità per le aziende di dare priorità all’implementazione di misure di autenticazione efficaci. È necessario quindi capire l’importanza di un’autenticazione avanzata e robusta, delineare le best practice e mettere in evidenza i rischi per la sicurezza associati ai protocolli di autenticazione e come mitigarli.
Cosa si intende per “autenticazione”?
L’autenticazione consiste nel verificare le identità di un utente o di un dispositivo prima di concedere l’accesso a un sistema o a una rete. In genere si ottiene richiedendo agli utenti di fornire una forma di identificazione, come nome utente e password. Tuttavia è ben noto come sia difficile per gli utenti seguire le alcune regole per impostare le password e come sia semplice per gli hacker entrare nei sistemi utilizzando tecniche di ingegneria sociale o tecniche di forzatura. Per questo negli ultimi anni le aziende hanno capito la necessità di ricorrere a metodi di autenticazione più potenti, indicati come MFA o autenticazione a più fattori. Alcuni metodi MFA di uso comune oggi coinvolgono un fattore biometrico come l’impronta digitale o la scansione del riconoscimento facciale. Anche le app di autenticazione che generano codici unici a tempo e le chiavi USB hardware stanno diventando sempre più popolari tra le aziende attente alla sicurezza.
Perché è così importante avere una autenticazione avanzata?
Di sicuro perché è fondamentale per proteggersi dagli attacchi informatici. I cybercriminali sono abili nell’escogitare nuovi modi per rubare le credenziali di accesso e una volta ottenute le credenziali reali, riescono a ottenere l’accesso illimitato a un sistema o a una rete, mettendo a rischio dati e risorse sensibili. I protocolli di autenticazione avanzata che aggiungono ulteriori livelli di autenticazione, come quella a più fattori (MFA), riducono sensibilmente il rischio di accesso non autorizzato, perché chiedono qualcosa di più di una semplice password. L’MFA, se implementata in linea alle best practice, è una contromisura semplice ma efficace contro una delle principali vie di accesso utilizzate dagli attaccanti.
Quali sono le migliori procedure per ottenere un’autenticazione avanzata?
L’autenticazione avanzata è essenziale per proteggersi dagli attacchi. Ecco alcuni esempi:
1. Utilizzare l’autenticazione a più fattori (MFA): l’implementazione dell’MFA può ridurre notevolmente il rischio di furto di credenziali.
2. Applicare policy con password più sicure: le password sono ancora una delle forme di autenticazione più comuni, quindi è importante generarne più complesse.
3. Implementare l’autenticazione biometrica: l’autenticazione biometrica, come le scansioni delle impronte digitali o del riconoscimento facciale, è molto più difficile da replicare rispetto alle password e garantisce una protezione aggiuntiva.
4. Monitorare e analizzare i registri di autenticazione: Il monitoraggio può aiutare a rilevare e prevenire i tentativi di accesso non autorizzati. L’analisi dei registri di autenticazione fornisce indicazioni preziose su potenziali vulnerabilità della sicurezza.
Come i cybercriminali riescono ad aggirare l’MFA?
Ovviamente, di fronte alla crescente consapevolezza delle aziende di dover implementare le proprie misure di autenticazione, i cybercriminali hanno agito di conseguenza, trovando modi per aggirare le nuove tecnologie. Per questo è necessario comprendere quali siano i punti di forza e debolezza dell’MFA per poter contrastare i tentativi di attacco.
· Stress da MFA: alcune forme di MFA richiedono all’utente di approvare l’accesso su un altro dispositivo o in un’app di autenticazione. Se un attaccante ha già compromesso le credenziali dell’utente, può attivare la notifica ripetutamente nella speranza che l’utente approvi semplicemente la richiesta o che l’approvi per errore.
· Attacchi Pass-the-Cookie: molte applicazioni popolari per l’ambiente di lavoro che richiedono l’autenticazione, ad esempio Slack o Teams, funzionano inserendo cookie di sessione sul dispositivo dell’utente dopo l’avvenuta autenticazione. Se un hacker è in grado di rubare cookie di sessioni valide da un dispositivo, può essere in grado di accedere come utente su un altro dispositivo senza autenticazione.
· Attacchi Adversary-in-the-Middle: negli attacchi Adversary-in-the-Middle (AiTM), i cybercriminali intercettano la comunicazione tra un utente e un sistema e, inserendo un server proxy, possono raccogliere le credenziali dell’utente e rubare il cookie di sessione restituito dal sistema di autenticazione.
· SIM Swapping: lo scambio di SIM sfrutta il processo con cui i provider di telefonia cellulare assegnano i numeri ai nuovi dispositivi. Gli attaccanti si fingono vittime per convincere il provider a riassegnare il numero dalla carta SIM della vittima a una controllata dall’aggressore. In questo modo riescono a intercettare i codici di autenticazione e altri messaggi 2FA inviati all’utente.
Come difendersi dagli attacchi MFA Bypass
È probabile che gli hacker continuino a ideare nuovi attacchi di bypass dell’MFA, ma le seguenti best practice possono aiutare a mitigare i rischi associati ai bypass già noti:
· Limitare o disabilitare le notifiche push MFA
· Assicurarsi che i cookie di sessione scadano a intervalli più brevi
· Utilizzare almeno una forma di autenticazione biometrica
· Considerare l’utilizzo di chiavi hardware per la massima sicurezza
Inoltre, le aziende possono rafforzare le proprie superfici di identità e proteggere le credenziali con strumenti ITDR (Identity Threat Detection and Response) in grado di rilevare e prevenire in modo proattivo le minacce basate sulle identità.
Conclusione
I protocolli delle autenticazione robuste sono fondamentali per la protezione dagli attacchi informatici. L’implementazione di misure di autenticazione più solide, come l’MFA con autenticazione biometrica, può ridurre notevolmente il rischio di accesso non autorizzato e proteggere dati e risorse sensibili. Seguendo le best practice per l’MFA le aziende e i privati possono rafforzare le proprie difese digitali e difendersi dalla minaccia sempre presente degli attacchi informatici.
A cura di Marco Rottigni, Technical Director per l’Italia di SentinelOne