Nel panorama delle minacce odierno, in cui gli attacchi informatici sono emersi come una potente minaccia per individui, aziende e governi, i criminali informatici sono diventati abili nello sfruttare le vulnerabilità e nell'esporre e compromettere i sistemi.
Mentre le organizzazioni cercano di migliorare la loro resilienza informatica, uno dei primi passi per proteggersi efficacemente dagli attacchi informatici è l'implementazione di solidi protocolli di autenticazione.
L'implementazione di tecniche di autenticazione forte può aiutare le organizzazioni a impedire l'accesso non autorizzato ai sistemi e proteggere le informazioni sensibili dal cadere nelle mani sbagliate. Come evidenziato dalla Cloud Security Alliance, l’affermazione: "Gli aggressori non hackerano, effettuano l'accesso", contiene una grande quantità di verità.
Secondo il Verizon Data Breach Investigations Report del 2022, l'uso improprio delle credenziali è stato tra le principali cause di violazione dei dati, evidenziando la necessità per le aziende di dare priorità all'implementazione di misure di autenticazione forte.
Questo articolo di SentinelOne spiega la necessità di un'autenticazione forte, delinea le best practice ed evidenzia i principali rischi per la sicurezza associati ai protocolli di autenticazione e come mitigarli.
Cos’è l’Autenticazione?
L'autenticazione verifica l'identità di un utente o di un dispositivo prima di concedere l'accesso a un sistema o a una rete. In genere si ottiene richiedendo agli utenti di fornire una qualche forma di identificazione, come un nome utente e una password.
Tuttavia, dati i problemi ben documentati che gli utenti incontrano nel seguire le best practice relative alle password, insieme al fatto che tramite una fuga di dati o ingegneria sociale, un metodo di autenticazione a fattore singolo come una password può essere facilmente compromesso e utilizzato da altri, negli ultimi anni le organizzazioni hanno compreso la necessità di ulteriori metodi di autenticazione, ampiamente indicati come MFA o autenticazione a più fattori.
Alcuni metodi MFA di uso comune oggi coinvolgono un fattore biometrico come un'impronta digitale o una scansione del riconoscimento facciale. Anche le app di autenticazione che generano codici univoci basati sul tempo e chiavi USB hardware stanno diventando sempre più popolari tra le aziende attente alla sicurezza.
Perché un’Autenticazione Forte è Importante?
L'autenticazione forte è fondamentale per la protezione dagli attacchi informatici, in particolare quelli che si basano su credenziali rubate. Come notato sopra, i criminali informatici sono abili nell'inventare nuovi modi per impossessarsi delle credenziali di accesso, tramite e-mail di phishing, tattiche di ingegneria sociale o attacchi di forza bruta. Una volta ottenute credenziali valide, possono ottenere l'accesso illimitato a un sistema o a una rete, mettendo a rischio dati e risorse sensibili.
Robusti protocolli di autenticazione che aggiungono ulteriori livelli di sicurezza, come l'autenticazione a più fattori (MFA), possono ridurre significativamente il rischio di accesso non autorizzato. La semplice conoscenza o l'ottenimento delle credenziali di accesso di un utente non sarà sufficiente per ottenere l'accesso quando è richiesto un fattore biometrico o altro.
L'autenticazione a più fattori, se implementata tenendo conto delle best practice, è una contromisura semplice ma molto efficace a una delle principali vie di compromissione utilizzate dai criminali informatici.
Best Practice per un’Autenticazione Forte
L'implementazione di un protocollo di autenticazione forte è un passaggio fondamentale nella protezione dagli attacchi informatici. Ecco alcune best practice per garantire un'autenticazione forte:
1. Utilizzo Autenticazione Multi-Fattore – Come accennato in precedenza, l'MFA è uno dei modi più efficaci per proteggere da accessi non autorizzati. L'implementazione dell'MFA può ridurre notevolmente il rischio di furto delle credenziali.
2. Applicazione di Criteri per Password Complesse – Le password sono ancora una delle forme più comuni di autenticazione, quindi è importante assicurarsi che gli utenti utilizzino password complesse. Applicare criteri che richiedono agli utenti di utilizzare password complesse e incoraggiarli ad utilizzare gestori di password per archiviare le proprie password in modo sicuro fanno parte delle best practice per un’autenticazione sicura.
3. Implementazione Autenticazione Biometrica – L’autenticazione biometrica, come impronte digitali o scansioni di riconoscimento facciale, può migliorare notevolmente la sicurezza. Questi metodi sono molto più difficili da replicare rispetto alle password e possono fornire una protezione aggiuntiva.
4. Monitorare e Analizzare i Log di Autenticazione – Monitorare i log di autenticazione può aiutare a rilevare e prevenire tentativi di accesso non autorizzati. Analizzare i log di autenticazione consente di avere insight importanti relativi a potenziali vulnerabilità di sicurezza.
In che Modo gli Attacchi Informatici Bypassano l’Autenticazione MFA
L'autenticazione forte è parte essenziale di una buona sicurezza aziendale, ma da sola non impedirà possibili attacchi da parte di aggressori determinati e persistenti. Man mano che sempre più organizzazioni hanno compreso la necessità di un'autorizzazione a più fattori, i criminali informatici hanno cercato modi per aggirare le tecnologie associate. Comprendere sia i punti di forza che i punti deboli dell'MFA è una parte importante della gestione di questa misura di sicurezza essenziale.
MFA
Alcune forme di MFA richiedono all'utente di approvare l'accesso su un altro dispositivo o in un'app di autenticazione e in genere funzionano inviando notifiche sul dispositivo nominato.
Se un utente malintenzionato ha già compromesso le credenziali dell'utente, ad esempio tramite un attacco di phishing, può attivare ripetutamente la notifica nella speranza che l'utente approvi semplicemente la richiesta o che approvi la richiesta per errore.
Attacchi Pass-the-Cookie
Molte applicazioni popolari che richiedono l'autenticazione, ad esempio Slack o Teams, funzionano inserendo cookie di sessione sul dispositivo dell'utente dopo che l'autenticazione è andata a buon fine. Questi cookie possono avere un limite di tempo di sessione misurato in ore o giorni, e in alcuni casi l'applicazione può utilizzare sessioni di cookie senza scadenza.
Se un attore delle minacce è in grado di compromettere cookie di sessione validi da un dispositivo, potrebbe essere in grado di accedere come utente su un altro dispositivo senza autenticazione. Il furto di cookie di sessione è un obiettivo primario di infostealer e altri malware ed è stato implicato nella violazione di CircleCI all'inizio del 2023.
Attacchi Adversary-in-the-Middle
Negli attacchi Adversary-in-the-Middle (AiTM) (noti anche come Man-in-the-middle (MiTM)), gli attori delle minacce intercettano la comunicazione tra un utente e un sistema. Inserendo un server proxy tra l'utente e il sistema, gli aggressori possono raccogliere le credenziali dell'utente e appropriarsi del cookie di sessione restituito dal sistema di autenticazione.
Gli attacchi AiTM in genere iniziano con un'e-mail di phishing che contiene un collegamento a un server di phishing che si presenta come il servizio legittimo a cui l'utente intende accedere.
L'utente inserisce le proprie credenziali nel server proxy, che quindi inoltra la comunicazione al server legittimo. Anche la risposta del server viene acquisita dal criminale informatico, che ora dispone di tutte le informazioni sia dell'utente che del sistema per completare il processo di autenticazione.
Cambio SIM
Lo scambio di SIM sfrutta il processo mediante il quale i fornitori di telefoni cellulari assegnano i numeri ai nuovi dispositivi. Gli autori delle minacce si atteggiano a vittime per convincere un provider a riassegnare il numero dalla scheda SIM della vittima a una controllata dall'aggressore. Ciò consente all'attaccante di intercettare i codici di autenticazione e altri messaggi 2FA inviati all'utente.
Lo scambio di SIM è stato utilizzato efficacemente in una serie di violazioni nel corso del 2022 attribuite al gruppo Lapsus$.
Come Difendersi dall’Attacco Bypass MFA
È probabile che i criminali informatici continueranno a innovare e ideare nuovi attacchi di bypass MFA, ma le seguenti best practice possono aiutare a mitigare i rischi associati ai bypass noti oggi:
- Limitare o disabilitare le notifiche push MFA;
- Assicurarsi che i cookie di sessione scadano a intervalli più brevi;
- Utilizzare almeno una forma di autenticazione biometrica;
- Prendere in considerazione l'utilizzo di chiavi hardware per la massima sicurezza.
Inoltre, le aziende possono proteggere le credenziali con gli strumenti ITDR (Identity Threat Detection and Response) in grado di rilevare e prevenire in modo proattivo le minacce basate sull'identità.
In Conclusione
I protocolli di autenticazione forte sono fondamentali per la protezione dagli attacchi informatici. L'implementazione di misure di autenticazione forte, come MFA con autenticazione biometrica, può ridurre notevolmente il rischio di accesso non autorizzato e proteggere dati e risorse sensibili.
Seguendo le best practice per l'autenticazione forte, le aziende e gli individui possono rafforzare le proprie difese digitali e difendersi dalla minaccia sempre presente degli attacchi informatici.
Se vuoi scoprire di più sulle soluzioni SentinelOne per la protezione dagli attacchi informatici invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua richiesta.
