Vai al contenuto
Prova RSA Cloud Security gratuitamente

Inizia subito il tuo periodo di prova ID Plus.

Inizia
Cosa sta succedendo all'AMF?

Il Rapporto Verizon sulle indagini sulle violazioni dei dati nel 2024 ha rilevato che l'80% delle violazioni avviene a causa di credenziali rubate. Ecco perché 61% delle organizzazioni intende diventare senza password nel 2025.

Per quanto le password rubate siano un problema - e lo sono davvero - non sono l'unico problema. I criminali informatici hanno industrializzato gli attacchi:

  • Il Malware-as-a-Service (MaaS) è salito alle stelle del 4.000%, per Usciere, che ha anche rilevato che il traffico del mobile banking rappresenta oggi l'85% delle transazioni bancarie digitali, rendendo i servizi finanziari un obiettivo primario.
  • Le minacce all'identità guidate dall'intelligenza artificiale si stanno intensificando. In Giappone, Gli aggressori utilizzano deepfakes e social engineering per spacciarsi per persone che parlano correntemente giapponese e ingannare gli help desk per reimpostare le credenziali.
  • Il kit di phishing Darcula offre una nuova versione del phishing-as-a-service (PhaaS) che permette ai criminali informatici di "copiare e incollare semplicemente qualsiasi URL nell'interfaccia... e la piattaforma sputerà fuori un kit di phishing completo", secondo quanto riportato da Darcula. Lettura oscura.

E nonostante l'adozione dell'autenticazione a più fattori (MFA) sia in aumento in tutti i settori, gli attacchi non rallentano. Come afferma Ant Allan di Gartner, "l'MFA è un modo di pensare sempre più obsoleto. Ciò che è importante è come le credenziali possono essere combinate con il riconoscimento, l'affermazione e i segnali di rischio per fornire una fiducia sufficiente in una richiesta di identità".

L'AMF avrebbe dovuto fermare gli attacchi. Quindi cosa sta succedendo?

Le recenti violazioni dimostrano che l'MFA tradizionale non è sufficiente a fermare gli aggressori:

  • MGM Resorts ha riferito $100 milioni dopo che gli aggressori hanno usato credenziali Okta rubate per superare l'MFA, causando una delle più grandi interruzioni informatiche nella storia dell'ospitalità.
  • Gli hacker hanno sfruttato API insicure per bypassare i controlli di autenticazione presso l'azienda. S. Dipartimento del Tesoro.
  • Un difetto in Microsoft Azure MFA ha causato una vulnerabilità di bypass dell'autenticazione che ha reso "milioni di account suscettibili di accesso non autorizzato", secondo quanto riportato da Rivista Infosecurity.

Qual è la risposta? L'autenticazione moderna.

Che cos'è l'autenticazione moderna?

Autenticazione moderna è senza password per impostazione predefinita, consapevole dei rischi e continuamente adattabile. Integra le informazioni sull'utente e sull'accesso, il contesto e i segnali di rischio per autenticare gli utenti in modo dinamico, non solo al momento dell'accesso, ma durante l'intera sessione.

A differenza dell'MFA tradizionale, l'autenticazione moderna è progettata per soddisfare il livello di maturità ottimale di Zero Trust, come definito da NIST. L'autenticazione moderna deve soddisfare questi criteri:

  • Sicurezza più forte senza password-Eliminare i segreti condivisi sfruttati dagli aggressori.
  • Convalida continua dell'identità-Sfruttare i segnali di rischio, il contesto del dispositivo e l'analisi del comportamento.
  • Funziona ovunque, per tutti-Che sia on-premises, cloud o ibrida, l'autenticazione moderna deve proteggere tutti gli utenti, tutti i dispositivi e tutti gli ambienti.
Tre pilastri di una strategia di autenticazione moderna e sicura

1. Sicurezza end-to-end:

La resistenza al phishing non è sufficiente. Una soluzione di autenticazione moderna deve essere resistente al malware, alle frodi, agli attacchi brute-force, alle tecniche di bypass e alle interruzioni, tutti fattori che hanno contribuito alle recenti violazioni.

Considerazioni chiave:

  • Il vostro metodo di autenticazione protegge dal dirottamento di sessione e dal furto di token di sessione?
  • È in grado di prevenire il bombardamento di prompt MFA e il riempimento di credenziali?
  • È resiliente in caso di interruzione o la vostra organizzazione sarà bloccata?

2. End-to-End senza password

L'MFA tradizionale si basa ancora sulle password: nella maggior parte dei casi, l'MFA tradizionale ricorre ancora a un metodo basato sulle password per l'impostazione, il recupero delle credenziali o altre fasi del ciclo di vita dell'identità. Gli utenti tendono a inserire le password per iniziare una sfida MFA, per iscriversi all'MFA all'inizio e per resettare l'MFA se necessario. Questo è un problema, perché minacce come il malware, lo spray per le password e il bombardamento dell'MFA possono ancora sfruttare la password di base.

Senza password dovrebbe significare esattamente questo. Un approccio di autenticazione moderno dovrebbe eliminare completamente le password e dovrebbe includere:

  • Chiave hardware e/o mobile per tutti gli utenti
  • Autenticazione moderna per server, mainframe e infrastrutture IT
  • Opzioni multiple senza password per l'accesso al desktop di Windows e macOS.
  • Fallback OTP senza password per tutto il resto.

Quindi chiedetevi: la vostra soluzione di autenticazione elimina effettivamente le password o si limita a sovrapporle?

3. Funziona ovunque e per tutti

Le aziende operano in ambienti cloud, ibridi e on-premise. Qualsiasi strategia di autenticazione che non sia indipendente dall'infrastruttura crea lacune nella sicurezza.

Domande da porre:

  • La vostra soluzione di autenticazione funziona su tutte le piattaforme (Windows, macOS, Linux, mobile, server on-prem)? E le applicazioni legacy?
  • È resiliente? È in grado di supportare il failover ibrido e l'accesso offline in scenari critici?
  • È scalabile per tutti gli utenti, compresi i dipendenti, gli appaltatori e gli amministratori privilegiati?
Perché le organizzazioni hanno bisogno di una moderna autenticazione senza password per fermare le violazioni di dati
L'autenticazione moderna deve essere sicura contro tutti gli attacchi, fornire una vera password senza mascheramento e in tutti gli ambienti e sistemi operativi.
I criminali informatici stanno superando l'MFA tradizionale. Dovreste farlo anche voi

Il futuro dell'autenticazione non è solo un MFA resistente al phishing. È invece senza password, resiliente e sicuro per tutto il ciclo di vita dell'identità.

Le organizzazioni con operazioni mission-critical hanno bisogno di soluzioni che proteggano dalle minacce guidate dall'intelligenza artificiale, dai deepfake e dalle tecniche di aggiramento delle credenziali, che rimangano disponibili nonostante le interruzioni di terze parti e che sostengano i criteri di autenticazione durante l'intero ciclo di vita dell'identità. In breve, hanno bisogno di una moderna autenticazione senza password.

Siete pronti a ripensare la vostra strategia di autenticazione? È ora di adottare un approccio moderno, end-to-end.

Potresti essere interessato anche a...

Richiedi una demo

Richiedi una demo