Recentemente, l'Ufficio per la gestione e il bilancio degli Stati Uniti (OMB) ha pubblicato Memorandum M-22-09 che richiede alle agenzie di raggiungere specifici obiettivi di sicurezza zero trust entro la fine dell'anno fiscale 2024. L'avanzamento verso lo zero trust è uno dei principali obiettivi di modernizzazione della sicurezza informatica del governo, come indicato nel documento The Ordine esecutivo del 2021 sul miglioramento della sicurezza informatica della nazione.
Come descritto nell'Architettura di riferimento per la fiducia zero del Dipartimento della Difesa, "il principio fondamentale del modello di fiducia zero è che nessun attore, sistema, rete o servizio che opera al di fuori o all'interno del perimetro di sicurezza è affidabile". Al contrario, ogni cosa che tenta di stabilire l'accesso deve essere verificata.
Il passaggio alla fiducia zero enfatizza "il rafforzamento dei controlli aziendali sull'identità e sull'accesso, compresa l'autenticazione a più fattori (MFA)" perché senza "sistemi di identità sicuri e gestiti a livello aziendale, gli avversari possono impadronirsi degli account degli utenti e prendere piede in un'agenzia per rubare dati o lanciare attacchi". I processi di autenticazione devono essere in grado di "rilevare e impedire la divulgazione dei segreti di autenticazione e dei risultati a un sito web o a un'applicazione mascherata da sistema legittimo". Il memorandum afferma inoltre che l'MFA dovrebbe essere integrata a livello di applicazione, ad esempio attraverso un servizio di identità aziendale, piuttosto che attraverso l'autenticazione di rete, come una rete privata virtuale (VPN).
RSA sostiene il passaggio a un modello a fiducia zero. Stiamo aiutando organizzazioni e agenzie di tutto il mondo ad affrontare questa nuova sfida attraverso un approccio completo e moderno alla gestione delle identità e degli accessi (IAM). RSA offre una gamma di metodi di autenticazione a più fattori (MFA) per soddisfare le esigenze di utenti e casi d'uso diversi. RSA ristabilisce le identità fidate degli utenti, impiegando al contempo machine learning e analisi basate sul rischio per rilevare attività anomale, compresi potenziali attacchi di phishing. Offriamo inoltre funzionalità intelligenti di governance e di ciclo di vita progettate per ridurre la superficie di attacco di un'organizzazione. Per proteggere l'organizzazione dalle minacce interne ed esterne, i nostri prodotti eliminano le eccedenze di diritti che possono essere sfruttate dagli attori delle minacce.
Mentre aiutavamo le nostre agenzie governative a muoversi verso lo zero trust e a prepararsi per l'M-22-09 e l'Ordine Esecutivo, abbiamo aiutato i nostri clienti a rispondere a una serie di domande su come rispondere a questi nuovi requisiti:
RSA offre un'ampia gamma di opzioni MFA forti per aiutare le agenzie federali ad autenticare in modo sicuro gli utenti da qualsiasi luogo a qualsiasi cosa, compresi i sistemi di agenzia di nuova generazione e quelli legacy. Il passaggio al cloud, il lavoro da remoto e le iniziative digitali hanno cambiato le reti e il perimetro che storicamente proteggeva le risorse continua a dissolversi. Ora i dipendenti di ogni agenzia devono connettersi da molte postazioni diverse; alcuni devono addirittura effettuare il login senza accesso a Internet. Questa diversità di ambienti e utenti pone una serie di problemi di autenticazione, ma le agenzie governative devono essere in grado di fornire in modo affidabile un'autenticazione sicura e conveniente indipendentemente dalla posizione delle persone o dei dispositivi.
Le soluzioni RSA collegano qualsiasi utente, da qualsiasi luogo, a qualsiasi cosa. Offriamo diverse scelte di autenticatori per soddisfare i requisiti delle agenzie e le preferenze degli utenti, compreso il supporto per FIDO. In qualità di membro del consiglio di amministrazione di FIDO Alliance e co-presidente del gruppo di lavoro Enterprise, abbiamo spinto per l'eliminazione delle password molto prima che diventasse di moda, e siamo lieti che alcuni altri piattaforme stanno adottando misure simili. La nostra piattaforma di identità supporta autenticazione senza password con una disponibilità del 99,95%, compresa una funzionalità "no-fail" che consente l'autenticazione senza connessione di rete, in modo che gli utenti possano Autenticazione sicura anche in caso di interruzione della connettività., o se sono senza servizio Internet.
RSA offre una serie di funzionalità IAM per supportare i requisiti federali relativi a zero trust, sicurezza del cloud e autenticazione, e siamo autorizzati da FedRAMP e godiamo della fiducia delle agenzie governative più sensibili. A questo punto, alcune agenzie potrebbero avere applicazioni che non supportano FIDO, e stiamo lavorando per aiutare i clienti come soluzioni e aziende nella transizione delle loro infrastrutture e applicazioni per supportare FIDO. Nel frattempo, le agenzie potrebbero continuare ad avere bisogno di soluzioni OTP (One Time Password), ma è importante capire che non tutte le soluzioni OTP sono uguali.
L'OTP SecurID implementato in modo sicuro impiega molteplici controlli per impedire a un utente malintenzionato di accedere a un OTP basato sul tempo (TOTP). Inoltre, impedisce l'uso del TOTP nel raro caso in cui un utente malintenzionato riesca ad accedere. A differenza del TOTP via SMS, che ha una finestra temporale di solito di 10-15 minuti, la nostra finestra temporale è di soli 60 secondi. Inoltre, l'OTP via SMS viene trasmesso su un canale insicuro che è regolarmente oggetto di abusi fraudolenti, mentre il TOTP non lo è.
Limitando la durata di un OTP a un solo minuto, RSA impedisce ai malintenzionati di memorizzare i fattori di autenticazione per un uso successivo. E anche quando un malintenzionato tenta di riutilizzare l'OTP entro quella finestra di 60 secondi, il nostro server di autenticazione non accetta un OTP che ha già visto. Questo rifiuto crea un evento verificabile, perché l'utente reale deve autenticarsi una seconda volta per accedere, oppure gli viene semplicemente negato l'accesso. Il fatto di poter utilizzare un OTP una sola volta per l'autenticazione impedisce a un phisher di eseguire il mirroring o di memorizzare il tentativo di autenticazione di un utente legittimo. Gli OTP SecurID possono essere utilizzati una sola volta e la loro durata è estremamente breve.
Il nostro motore di rischio basato sull'apprendimento automatico rileva anche le anomalie comportamentali. L'autenticazione basata sul rischio di RSA utilizza tecniche e tecnologie per valutare il rischio che una richiesta di accesso comporta per l'organizzazione. Grazie all'apprendimento automatico, l'autenticazione basata sul rischio impara dalle proprie valutazioni e applica tali conoscenze alle richieste future.
RSA non solo protegge l'autenticazione, ma anche l'intero ciclo di vita dell'identità con la gestione self-service delle password, la certificazione degli accessi facilitata e i processi automatizzati di joiner, mover, leaver (JML), che assicurano un accesso appropriato e conforme per tutto il ciclo di vita dell'utente. RSA gestisce il provisioning e il deprovisioning degli autenticatori e fornisce strumenti di help-desk per gestire situazioni come lo smarrimento dei token e l'accesso di emergenza.
RSA utilizza anche metodi crittografici basati su standard per proteggere tutte le comunicazioni necessarie per elaborare un tentativo di autenticazione. Utilizziamo la crittografia end-to-end del PIN e dell'OTP, che va oltre la crittografia del livello di trasporto, in modo che gli OTP non possano essere decifrati da un proxy. Questi metodi non solo proteggono l'OTP e il PIN mentre vengono trasportati all'interno, all'esterno e attraverso le reti, ma garantiscono anche che i vari componenti software possano autenticarsi.
Il phishing è un problema che non scompare, ma è importante ricordare che la tecnologia non opera in modo isolato. Il successo di un attacco di phishing può dipendere dalla psicologia umana quanto dalla tecnologia. Una forza lavoro istruita dovrebbe essere la prima linea di difesa. I dipendenti che sono attenti alle e-mail di phishing non cliccheranno su link sospetti che danno adito agli aggressori.
Fornendo una scelta di opzioni di autenticazione e costruendo modelli comportamentali, le agenzie governative possono ottenere una soluzione di autenticazione resistente al phishing che fornisce una difesa approfondita che va al di là di ogni particolare fattore di autenticazione.
È inoltre importante ricordare che qualsiasi tecnologia è valida solo quanto la sua implementazione. Una buona soluzione di autenticazione deve fare di più che gestire le potenziali minacce di phishing. Un corretto provisioning e gestione del ciclo di vita delle credenziali devono essere parti integranti della soluzione di autenticazione. RSA è stata pioniera e ha stabilito pratiche standard di settore per raggiungere questi obiettivi per l'autenticazione basata su OTP.
RSA offre da decenni innovazioni e soluzioni pratiche di autenticazione. La nostra collaudata tecnologia è apprezzata dai clienti governativi e commerciali più sensibili alla sicurezza in tutto il mondo. Il nostro IAM offre le funzionalità di cui la vostra organizzazione ha bisogno per raggiungere gli obiettivi critici di cybersecurity nazionale. Le nostre soluzioni di autenticazione sono collaudate da tempo e continuiamo a innovare e perfezionare le nostre implementazioni in base all'evoluzione del panorama delle minacce.
