Alcune delle più grandi violazioni di dati nella memoria recente hanno eluso l'autenticazione a più fattori (MFA). Che si tratti di attaccare le modalità di configurazione dell'MFA, di bombardare gli utenti o di attaccare i subappaltatori, LAPSUS$ e agenti sponsorizzati dallo Stato hanno trovato il modo di attaccare i punti deboli del ciclo di vita dell'identità, di esfiltrare i dati e di rivelare perché l'MFA deve essere la prima linea di difesa, ma non l'ultima.
Ho parlato di ciascuno di questi attacchi nel corso di un recente webinar che è possibile vedere su richiesta. Nel descrivere l'anatomia degli attacchi, ho cercato di spiegare i metodi e gli exploit utilizzati dagli attori delle minacce.
Queste spiegazioni hanno suscitato altrettante domande e risposte. I partecipanti hanno posto alcune grandi domande sui punti di forza relativi dei diversi fattori di autenticazione, sulla fiducia zero, sull'assenza di password e altro ancora. Ecco alcune delle domande che non abbiamo potuto affrontare durante la telefonata e le risposte che avrei condiviso se non avessimo esaurito il tempo a disposizione:
R: Si tratta di una questione affascinante che sarà dibattuta per molti anni a venire. Le password e i PIN rientrano entrambi nella categoria di autenticazione "qualcosa che si conosce" e sono quindi suscettibili di attacchi di phishing. Rispetto alle password, i PIN sono generalmente di lunghezza inferiore e utilizzano un set di caratteri limitato. Quindi, da un punto di vista entropico, i PIN sono più debole rispetto alle password, vale a dire che maggiore è il numero di scelte potenziali, più difficile sarà forzare una password o un PIN.
Ma questa è solo una parte della storia. A differenza delle password, i PIN (o almeno i PIN come definiti dal NIST SP800-63) sono convalidato localmente. Ciò significa che non vengono mai trasmessi o memorizzati in un archivio centralizzato. In questo modo i PIN hanno molte meno probabilità di essere intercettati o rubati in un attacco di tipo "smash-and-grab".
Come spesso accade, l'ambiente, la configurazione e la formazione degli utenti tendono ad avere un impatto maggiore sulla postura complessiva della cybersecurity rispetto ai protocolli o alle tecnologie.
R: Un sistema "fail open" è un sistema che si apre per default quando i controlli operativi standard non funzionano. Se questo è un principio di sicurezza importante per la sicurezza fisica (ad esempio, in caso di incendio, tutte le porte esterne dovrebbero sbloccarsi immediatamente), non è altrettanto importante per proteggere l'accesso alle risorse critiche.
Nel caso d'uso della ONG, gli aggressori hanno ottenuto l'accesso alla risorsa impedendo al sistema locale di comunicare con il provider MFA basato sul cloud, aggirando di fatto il controllo MFA. Ciò è stato possibile perché la soluzione per l'identità in uso prevedeva un "accesso predefinito".non aprire").
Ci sono alcuni modi in cui si sarebbe potuto evitare questo problema senza bloccare gli utenti dal sistema. Il primo è l'impiego di un sistema di autenticazione ibrido che può ripiegare su un nodo locale (on-prem) in caso di guasto di Internet. La seconda è utilizzare un sistema di autenticazione che possa essere convalidato offline. RSA ID Plus supporta entrambe le opzioni.
R: Se rispondo in modo diverso da "RSA ID Plus", sono abbastanza sicuro che perderò il mio lavoro.
Ma in tutta serietà, ci sono diverse cose che cercherei. Primo: il fornitore ha un'esperienza comprovata? In secondo luogo, l'Identità è il fulcro della loro attività o è solo una delle tante cose che fanno? Terzo, il fornitore privilegia la convenienza rispetto alla sicurezza nelle decisioni di progettazione? Quarto: la soluzione offre la flessibilità necessaria per supportare un'ampia gamma di utenti e casi d'uso, comprese le applicazioni legacy nelle viscere del datacenter? E infine, quando le cose vanno male (e lo faranno), il fornitore si assume la responsabilità con piena trasparenza o offusca e scarica le colpe?
La sicurezza non è facile e gli attori delle minacce identità del target più di qualsiasi altra parte della superficie di attacco. Le organizzazioni hanno bisogno di IDP che lo capiscano.
R: L'accesso alla rete a fiducia zero (ZTNA) è un concetto basato sul principio che la fiducia non deve essere mai assunto Gli utenti devono essere continuamente autenticati, devono avere il permesso di accedere a una risorsa specifica e devono avere un motivo valido per farlo.
Sebbene oggi esistano molti prodotti "Zero Trust" sul mercato, è importante notare che lo ZTNA è un quadro concettuale e un insieme di best practice. Come L'impiego della tecnologia, la definizione delle politiche e la gestione dell'ecosistema determineranno la vostra posizione ZTNA. La tecnologia può certamente aiutare, ma se un fornitore vi dice che il suo prodotto vi renderà conformi allo ZTNA, cercate qualcun altro.
Se volete saperne di più sulla fiducia zero, vi consiglio di iniziare con i sette principi della fiducia zero definiti in NIST SP800-207.
R: Con opzioni come Face ID di Apple che stanno diventando quasi onnipresenti per gli utenti di telefonia mobile, la biometria è sicuramente una forma popolare di autenticazione senza password, ma certamente non l'unica. FIDO2 è una scelta sempre più comune sia per i consumatori che per le aziende. Anche i metodi senza contatto come il codice QR, BLE e NFC sono utilizzati, anche se in misura minore. Sempre più spesso i principi dell'intelligenza artificiale, come le regole intelligenti, l'apprendimento automatico e l'analisi comportamentale, vengono utilizzati per aumentare ulteriormente la sicurezza dell'identità come fattori di autenticazione invisibili che introducono un attrito minimo o nullo per l'utente finale. RSA ID Plus supporta oggi tutte queste opzioni.
R: Credo che questi tre attacchi dimostrino che "Identity & Access Management" è, se non un termine obsoleto, forse insufficiente.
Questi attacchi sottolineano che dobbiamo proteggere le identità, non solo gestirle. Ad esempio, il provisioning dell'accesso non è sufficiente: dovremmo iniziare a chiederci "l'utente ha bisogno di accedere?". Se sì, per quanto tempo? Abbiamo fornito loro un accesso eccessivo o sufficiente? Come facciamo a saperlo? In troppi casi, non credo che gli amministratori sappiano in che modo e nemmeno come scoprirlo.
Gli attori delle minacce sanno che l'identità va oltre la gestione dell'identità. Gli attacchi che ho esaminato dimostrano come i criminali informatici attacchino le lacune di cui l'IAM non tiene conto. Credo che la comprensione dell'identità da parte delle organizzazioni debba espandersi per tenere conto e proteggere l'intero ciclo di vita dell'identità.
A livello tecnico, ritengo che l'intelligenza artificiale avrà un ruolo importante nell'elaborazione delle enormi quantità di dati autenticazione, diritti e utilizzo. Disporre di una piattaforma intelligente in grado di valutare i dati a grana fine in modo rapido e su scala può essere una vera risorsa per mantenere la sicurezza delle organizzazioni.
R: SecurID e YubiKey sono autenticatori leader nelle rispettive categorie. E la buona notizia è che RSA ID Plus supporta entrambi (oltre a molte altre opzioni di autenticazione).
Se si prescinde dalle specifiche dei fornitori, gli autenticatori OTP e FIDO hanno ciascuno i propri vantaggi. Mentre FIDO sta crescendo in popolarità come opzione sicura e conveniente per i login basati sul web, le opzioni FIDO basate su software hanno ancora una versatilità limitata, i dispositivi hardware spesso richiedono una connessione fisica e il vero supporto per FIDO al di là del browser web è quasi inesistente. Nel frattempo, l'OTP ha il vantaggio di funzionare praticamente ovunque, sia su hardware che su software, senza bisogno di un software client specializzato o di una connessione fisica.
Quando si confrontano OTP e FIDO, tuttavia, la risposta migliore è solitamente un "AND". Dispositivi ibridi come l'autenticatore RSA DS100 combinano il meglio dei due mondi, offrendo OTP e FIDO2 in un unico fattore di forma per fornire la massima flessibilità e ampiezza di supporto.
