Vai al contenuto
Prova RSA Cloud Security gratuitamente

Inizia subito il tuo periodo di prova ID Plus.

Inizia

L'autenticazione a più fattori (MFA) non è più un optional: è un requisito fondamentale per garantire l'accesso a sistemi e dati sensibili. Con l'aumentare delle minacce informatiche, i responsabili della sicurezza e della gestione dell'identità e degli accessi (IAM) nei servizi finanziari, nelle agenzie governative, nella sanità, nell'energia e in altri ambienti che privilegiano la sicurezza, devono orientarsi tra i requisiti MFA in continua evoluzione per garantire la conformità, ridurre i rischi per la sicurezza e proteggere le risorse critiche.

Per ulteriori informazioni sui requisiti MFA, sugli standard di conformità, sulle vulnerabilità di sicurezza e sulle best practice per rafforzare la sicurezza dell'autenticazione, si veda quanto segue, compreso il modo in cui i metodi di autenticazione esterna (EAM) di RSA con Microsoft aiutano le organizzazioni a soddisfare i rigorosi mandati normativi.

Requisiti e conformità dell'AMF

I requisiti MFA definiscono le politiche di autenticazione che le organizzazioni devono implementare per migliorare la sicurezza e ridurre il rischio di attacchi basati sulle credenziali. Questi requisiti variano a seconda del settore e del quadro normativo, ma in genere impongono l'uso di due o più fattori di autenticazione:

  • Qualcosa che si conoscepassword, PIN
  • Qualcosa che avete: token hardware, autenticatori mobili
  • Qualcosa che sietebiometria (impronte digitali, riconoscimento facciale)

L'MFA è richiesta da diversi settori per prevenire gli accessi non autorizzati, ridurre le frodi e migliorare la resilienza complessiva della cybersecurity. Alcuni quadri di conformità e requisiti tecnici che impongono l'MFA per garantire che le organizzazioni attenuino le minacce legate all'identità includono:

  • Il DORA (Digital Operational Resilience Act) impone requisiti rigorosi di AMF alle istituzioni finanziarie dell'UE, migliorando la sicurezza informatica e la resilienza operativa.
  • La NIS2 (Network and Information Security Directive 2) rafforza i requisiti di autenticazione per i settori critici in tutta l'UE.
  • Il PCI DSS (Payment Card Industry Data Security Standard) impone l'MFA per l'accesso amministrativo non consolare e per l'accesso remoto ai dati dei titolari di carta.
  • Il CMMC 2.0 (Cybersecurity Maturity Model Certification) richiede un MFA resistente al phishing per gli appaltatori federali che gestiscono dati governativi sensibili.
  • Il GDPR (General Data Protection Regulation) impone controlli di autenticazione sicuri per proteggere i dati personali.
  • I requisiti MFA di Microsoft per le applicazioni cloud come Azure AD richiedono un'autenticazione forte per gli account utente e amministratore.

RSA® ID Plus fornisce un'assistenza macrofinanziaria che soddisfa ciascuno di questi regolamenti e requisiti. Ad esempio, il Integrazione di RSA EAM con Microsoft consente alle organizzazioni di implementare MFA resistenti al phishing, criteri adattivi basati sul rischio e monitoraggio continuo dell'autenticazione, estendendo la sicurezza oltre l'ecosistema Microsoft per proteggere ambienti ibridi e multi-cloud.
La mancata conformità a questi requisiti potrebbe comportare multe e polizze di assicurazione informatica più costose. Inoltre, se le organizzazioni non adottano un'autenticazione moderna, rischiano di aumentare drasticamente la loro esposizione. La stragrande maggioranza dei cyberattacchi prende di mira credenziali deboli, come le password rubate. L'MFA è fondamentale per ridurre il rischio che ogni singola credenziale compromessa rappresenta.

Migliori pratiche per l'implementazione dell'MFA

Per implementare l'MFA in modo efficace, le organizzazioni dovrebbero osservare le seguenti best practice:

  • Ottenere i protocolli giusti per gli utenti giusti: L'MFA non dovrebbe essere uguale per tutti. Popolazioni di utenti diverse possono avere requisiti diversi. Ad esempio, gli utenti che lavorano in camere bianche o in altre strutture altamente sicure potrebbero non essere in grado di utilizzare dispositivi connessi a Internet o telefoni cellulari per autenticarsi. Assicuratevi di sapere cosa possono usare i vostri utenti, cosa non possono usare e con cosa hanno familiarità.
  • Non creare esperienze di autenticazione siloed: Sebbene le organizzazioni debbano soddisfare le esigenze dei diversi gruppi di utenti, non dovrebbero utilizzare soluzioni puntuali per distribuire l'MFA in base ai singoli gruppi. Ciò complica le operazioni e aumenta i costi di acquisto e di gestione. Le organizzazioni dovrebbero invece dare la priorità ai fornitori in grado di supportare una serie di metodi MFA da un'unica piattaforma di identità centrale.
  • Se non si pianificano le interruzioni, si pianifica il fallimento.: Se si utilizza un provider cloud per l'MFA, è necessario chiedersi cosa succede quando il cloud si blocca. Nel migliore dei casi può significare che gli utenti non possono accedere alle loro applicazioni; nel peggiore dei casi può essere un modo per gli attori delle minacce di lanciare un attacco. Le organizzazioni devono costruire la resilienza delle proprie infrastrutture critiche, in particolare l'AMF.
  • Mantenere la sicurezza del BYOD: Con i telefoni cellulari, il lavoro da casa e le politiche BYOD (Bring Your Own Device) prevalenti in tutti i settori, sempre più utenti completano l'MFA utilizzando dispositivi personali. Se da un lato ciò aumenta la comodità, dall'altro può introdurre rischi nel processo di autenticazione: malware, attacchi man-in-the-middle, social engineering e altro ancora possono compromettere il processo di autenticazione e mettere a rischio i dati aziendali, le risorse aziendali o i record dei clienti.
  • Assicuratevi di utilizzare la giusta autenticazione senza password: Se state pensando di utilizzare l'MFA senza password, allora è un ottimo modo per ridurre il rischio dell'organizzazione e far evolvere la sua maturità Zero Trust. Ma non tutte le autenticazioni senza password sono uguali: le organizzazioni devono conoscere la differenza tra le chiavi di accesso sincronizzate, che non garantiscono una sicurezza aziendale sufficiente, e le chiavi di accesso legate ai dispositivi, che possono garantire la sicurezza delle organizzazioni.
Comprendere i rischi di sicurezza dell'MFA

Sebbene l'MFA migliori significativamente la sicurezza, non è infallibile. Gli aggressori evolvono continuamente le loro tattiche per aggirare i controlli di autenticazione, rendendo fondamentale per le organizzazioni riconoscere e mitigare le potenziali vulnerabilità.

Come può essere compromesso l'MFA
  • Attacchi di ingegneria sociale: Gli attacchi di phishing, spear-phishing e MFA fatigue inducono gli utenti ad approvare richieste di autenticazione fraudolente.
  • Sfruttamento dell'help desk: Gli aggressori utilizzano l'ingegneria sociale per manipolare il personale di assistenza IT e indurlo a reimpostare le credenziali MFA o ad approvare richieste di accesso fraudolente.
  • Attacchi basati su malware: I keylogger e i trojan di accesso remoto (RAT) possono catturare le credenziali MFA e aggirare i controlli di autenticazione.
  • Scambio di SIM: Gli aggressori dirottano il numero di telefono della vittima per intercettare i codici MFA basati su SMS.
  • Attacchi Man-in-the-Middle (MitM): Gli avversari intercettano le richieste di autenticazione e rubano i token di sessione.
  • Bombardamento MFA o bombardamento immediato: Gli aggressori sommergono gli utenti di richieste di approvazione MFA finché non approvano involontariamente l'accesso.

Esempi di vulnerabilità della sicurezza MFA sono i seguenti 2022 Uber ha richiesto un attacco dinamitardo e gli attacchi di ingegneria sociale del 2023 che hanno preso di mira Villaggi turistici di Las Vegas. Queste evidenziano come gli attori delle minacce possano sfruttare le implementazioni MFA deboli e altre vulnerabilità della sicurezza MFA. Le organizzazioni devono adottare metodi di autenticazione resistenti al phishing, come le passkey basate su RSA FIDO2 e l'autenticazione adattiva basata sul rischio, per contrastare queste minacce.

Rafforzare l'AMF con i principi della fiducia zero

L'MFA da sola non è sufficiente; le organizzazioni devono integrarla all'interno di un'architettura a fiducia zero (ZTA) per garantire una verifica continua dell'identità dell'utente e della sicurezza del dispositivo.

Zero Trust presuppone che nessun utente o dispositivo sia intrinsecamente affidabile, richiedendo un'autenticazione continua e controlli di accesso basati su policy. L'integrazione di RSA con il framework Zero Trust di Microsoft consente alle aziende di:

  • Applicare l'accesso con il minimo privilegio con politiche MFA adattive basate sul rischio.
  • Sfruttate l'autenticazione resistente al phishing, come le chiavi di sicurezza FIDO2 e le passkey legate ai dispositivi.
  • Monitorare le richieste di autenticazione in tempo reale per rilevare le anomalie e prevenire la compromissione delle credenziali.
Le migliori pratiche per l'implementazione di un MFA sicuro

Per massimizzare la sicurezza e la conformità, le organizzazioni dovrebbero considerare le seguenti best practice:
Scegliere la giusta soluzione MFA

  • Utilizzate MFA resistenti al phishing, come l'autenticazione basata su RSA FIDO2 o le passkey legate ai dispositivi.
  • Evitare l'MFA basato su SMS a causa di vulnerabilità come lo scambio di SIM.
  • Implementare chiavi di sicurezza hardware per l'autenticazione ad alta sicurezza.
  • Utilizzate l'autenticazione moderna, progettata per essere senza password, adattiva e consapevole dei rischi. L'autenticazione moderna va oltre la MFA tradizionale, verificando continuamente gli utenti durante l'intera sessione, non solo al momento dell'accesso. L'autenticazione moderna elimina le password, utilizza il contesto e i segnali di rischio per rafforzare la sicurezza e funziona senza problemi in ambienti cloud, ibridi e on-premise.

Educare gli utenti alla sicurezza MFA

  • Formare i dipendenti a riconoscere gli attacchi di social engineering e phishing che hanno come obiettivo l'MFA.
  • Abilitate il ripristino dell'autenticazione self-service per ridurre l'onere del supporto IT.
  • Incoraggiare gli utenti a segnalare richieste MFA sospette.

Monitoraggio e audit continui

  • Implementare il rilevamento delle minacce all'identità in tempo reale per segnalare comportamenti di autenticazione insoliti.
  • Aggiornare regolarmente le politiche MFA per far fronte all'evoluzione delle minacce alla sicurezza informatica.
  • Eseguire test di penetrazione per valutare la resilienza dell'MFA contro i metodi di attacco.

Sfruttando RSA EAM con Microsoft, le organizzazioni possono ottenere implementazioni MFA senza soluzione di continuità, conformi e altamente sicure, allineandosi ai principi di Zero Trust.

L'MFA è un pilastro fondamentale della moderna sicurezza delle identità, ma deve essere implementato in modo strategico per massimizzare la protezione contro le minacce in evoluzione. Comprendendo i requisiti dell'MFA, allineandosi ai quadri di conformità come DORA e NIS2 e integrando l'MFA in un quadro più ampio di Zero Trust, le organizzazioni possono migliorare la sicurezza e mitigare i rischi di autenticazione.

Contatta la RSA per saperne di più su come RSA offre una gamma di soluzioni MFA che soddisfano le normative globali e si integrano in una più ampia strategia di sicurezza delle identità.

Potresti essere interessato anche a...

Richiedi una demo

Richiedi una demo