Restare al passo con le minacce informatiche è una sfida costante per la maggior parte delle organizzazioni, ed è per questo che le agenzie governative aggiornano continuamente le loro linee guida e i loro requisiti.
Il Direttorato australiano dei segnali (ASD) ha recentemente aggiornato la Otto essenziali-che rappresentano "le otto strategie di mitigazione più efficaci" per le organizzazioni per difendersi dai cyberattacchi più frequenti e a più alto impatto, con nuove importanti linee guida sul multi-fattore (MFA) per aiutare nella continua battaglia contro gli attori delle minacce.
Sebbene molte organizzazioni governative siano tenute ad allinearsi agli Otto Essenziali, gli aggiornamenti non dovrebbero essere visti come un esercizio di conformità esclusivamente governativo. Al contrario, gli aggiornamenti rappresentano un'opportunità per tutte le organizzazioni di rafforzare il proprio quadro di riferimento per la cybersecurity attraverso l'adozione di queste linee guida.
Una delle modifiche principali apportate all'Essential Eight è il nuovo requisito che impone alle organizzazioni di introdurre l'uso di MFA resistenti al phishing, come i dispositivi FIDO2. Si tratta di un cambiamento fondamentale, che rappresenta un significativo innalzamento dei meccanismi di difesa delle organizzazioni contro la minaccia di cybersecurity più diffusa: gli attacchi di phishing, che sono stati la causa più frequente di violazione e la seconda più dannosa per i profitti di un'organizzazione. Rapporto IBM sul costo della violazione dei dati in materia di sicurezza 2024 ha rilevato che le violazioni causate dal phishing sono costate in media 4,88 milioni di dollari.
Vista la frequenza e l'impatto degli attacchi di phishing, RSA sostiene con forza l'Australian Cyber Security Centre (ACSC) e l'ASD nel rendere questo requisito un'implementazione MFA per raggiungere una postura di "livello di maturità 2" e con l'obiettivo finale di ridurre il rischio per le organizzazioni.
FIDO2 è una tecnologia progettata per rivoluzionare l'autenticazione online. Si tratta di un sistema in due parti che rende l'accesso ai siti web più sicuro e conveniente. Con FIDO2 è possibile utilizzare la biometria (come l'impronta digitale), una chiave di sicurezza o il telefono per accedere, invece di affidarsi alle password tradizionali. Questo metodo è molto più sicuro, in quanto è molto più difficile per gli aggressori violare o falsificare le credenziali degli utenti utilizzando FIDO2.
FIDO2 consiste in un protocollo speciale che consente ai dispositivi hardware di comunicare in modo sicuro con i servizi online e in un'API web che integra questa tecnologia direttamente nei browser web come Chrome o Safari, rendendo l'intero processo di facile utilizzo. È un modo più intelligente per proteggere le identità e i dati online.
FIDO2 consente inoltre alle organizzazioni di eliminare gradualmente le password dalla propria infrastruttura. L'eliminazione delle password è da tempo un grido d'allarme per la maggior parte delle organizzazioni. Tuttavia, nonostante gli evidenti vantaggi di FIDO2 in termini di sicurezza e usabilità, l'adozione in Australia è stata purtroppo molto bassa. Ciò è dovuto in gran parte al fatto che le infrastrutture e i sistemi tradizionali non possono sfruttare i protocolli FIDO2, creando una barriera tecnica e finanziaria significativa a un'adozione più diffusa. Questi vecchi sistemi si affidano ancora in gran parte a vecchi metodi MFA, come la One Time Password (OTP).
Per ottenere il massimo dagli investimenti precedenti, soddisfare le nuove linee guida Essential Eight e migliorare la propria posizione complessiva di cybersecurity, le organizzazioni dovrebbero esaminare le tecnologie in grado di fornire contemporaneamente FIDO2 e OTP nella stessa soluzione, nel modo più discreto possibile.
RSA offre alle organizzazioni opzioni economiche e altamente sicure che superano questi requisiti. Il RSA Authenticato L'applicazione è certificata FIDO su Android e iOS. In secondo luogo, la Autenticatore hardware RSA DS100 è un dispositivo hardware certificato FIDO e fornisce OTP in un pannello di visualizzazione. Infine, il Serie RSA iShield Key 2, gestito da Swissbit, offre un dispositivo certificato FIDO che supporta FIDO2 e TOTP ed è certificata FIPS 140-3.
Le linee guida Essential Eight hanno escluso la biometria (ad esempio l'impronta digitale sul telefono) come metodo di autenticazione valido per qualsiasi livello di maturità. È necessario rivedere qualsiasi requisito per l'utilizzo di questo tipo di tecnologia per l'accesso privilegiato e non utilizzare mai la biometria come unico mezzo per concedere l'accesso.
Inoltre, il riconoscimento vocale è un altro approccio alla concessione dell'accesso in cui l'utente viene sfidato a usare la propria voce per accedere a qualcosa. Le odierne tecniche di IA generativa consentono agli attori delle minacce di clonare qualsiasi voce con un piccolo set di campioni, e i risultati sono molto convincenti: la voce dell'utente è stata riconosciuta come una voce di un'altra persona. Indice di sicurezza mobile Verizon 2023 Il white paper riporta che "sette parole possono essere un campione sufficiente per creare un'imitazione credibile della voce di una persona".
Alla luce di questi sviluppi, si può affermare che il riconoscimento vocale è, di fatto, una tecnologia morta per l'autenticazione. Gli aggiornamenti biometrici di Essential Eight sottolineano perché le organizzazioni devono essere caute nei confronti dei rapidi sviluppi nel mondo della tecnologia AI generativa e del suo rapporto con l'identità e la sicurezza. Rimanete vigili!
L'adozione di questi cambiamenti richiede una pianificazione e un'esecuzione strategica. Un primo passo è garantire l'allineamento con il budget e le risorse stanziate. L'integrazione di una MFA più sofisticata può richiedere risorse iniziali significative, ma rappresenta un investimento a lungo termine nella sicurezza digitale complessiva dell'organizzazione. Quando qualcosa è gratuito, si ottiene sempre ciò per cui si è pagato.
Anche il coinvolgimento dei dipendenti è fondamentale. L'efficacia delle nuove misure di sicurezza dipende in larga misura dalla comprensione e dall'adesione degli utenti. La formazione e la promozione continua di una cultura di consapevolezza della cybersecurity faciliteranno la transizione ai nuovi metodi di autenticazione.
Abbiamo visto organizzazioni che hanno ottenuto una più rapida accettazione da parte dei dipendenti coinvolgendoli nella transizione e dotandoli di nuove risorse, anziché imporre loro il cambiamento. In questo senso, può essere utile fornire agli utenti un self-service che consenta loro di scegliere tra una serie di metodi MFA equivalenti.
Inoltre, cosa altrettanto importante, è fondamentale bilanciare la sicurezza informatica con l'efficienza operativa. L'implementazione delle misure MFA non deve ostacolare l'esperienza dell'utente o le operazioni aziendali. Trovare il giusto equilibrio tra i rigorosi protocolli di sicurezza e l'esperienza dell'utente può essere difficile, ma è fondamentale per un'adozione di successo. Inoltre, è bene tenere presente i sistemi legacy: scegliete un fornitore in grado di proteggere le risorse obsolete, ma anche di proteggere quelle all'avanguardia.
Le linee guida Essential Eight aggiornate sottolineano l'importanza della gestione del rischio. L'implementazione di una solida soluzione MFA riduce la probabilità di accessi non autorizzati e quindi di potenziali violazioni dei dati. Di conseguenza, queste misure riducono notevolmente il rischio complessivo per l'infrastruttura digitale.
Ecco perché invitiamo tutte le organizzazioni ad avvicinarsi alle linee guida rivedute sugli Otto essenziali per l'AMF come molto più di un requisito di conformità per le sole organizzazioni governative e gli affiliati, e a vederle invece per quello che sono: un percorso strategico per fortificare qualsiasi organizzazione contro le minacce informatiche.
