Cisco, in collaborazione con Cyentia Institute, presenta l’edizione del 2024 di Duo Trusted Access Report, studio annuale condotto da Cisco riguardante la sicurezza delle identità digitali. Il report è frutto dell’accurata analisi dei dati relativi a circa 16 miliardi di autenticazioni compiute da 52 milioni di browser, 58 milioni di endpoint e 21 milioni di telefoni del Nord America, dell’America Latina, dell’Europa, del Medio Oriente e di Asia Pacifica.
Il futuro della sicurezza delle identità digitali
Le organizzazioni si ritrovano a fronteggiare uno scenario digitale sempre più complesso e insidioso, irto di minacce di vario tipo e in continua evoluzione. Al contempo, la transizione verso il lavoro ibrido e i servizi in cloud ha incrementato il numero di accessi da remoto e identità digitali, aumentando la superficie di attacco. Di conseguenza, i reparti IT delle aziende ora sono impegnati a gestire non solo la struttura IT all’interno dell’organizzazione, ma anche la sicurezza del perimetro esterno, costituita dalle identità digitali.
Verso un’autenticazione passwordless
Le password sono un modo semplice per garantire accesso a un account o dispositivo, ma è risaputo che l’utilizzo della sola password per effettuare un login è rischioso dal punto di vista della sicurezza. Infatti, le password possono essere rubate, craccate o addirittura indovinate, senza contare che il riuso delle password è ancora una pratica molto diffusa.
L’autenticazione a più fattori (multi-factor authentication, MFA) mitiga i rischi associati alle password, introducendo ulteriori ostacoli per i potenziali attaccanti. Infatti, anche se la password viene compromessa, la probabilità che un hacker riesca ad accedere fisicamente a un dispositivo è molto bassa.
Autenticazione a più fattori: è abbastanza?
Lo studio dello scorso anno aveva riportato che sempre più aziende stavano implementando misure di MFA per ridurre il rischio di attacchi digitali. Però, queste misure di autenticazione, da sole, non sono abbastanza. Infatti, metodi di MFA come l’invio di un SMS o di una chiamata sono facilmente attaccabili dagli hacker. Anche metodi come chiavi di sicurezza FIDO2 o autenticazioni biometriche, pur essendo più sicuri, non sono inattaccabili.
Le identità sono il nuovo perimetro di sicurezza
È possibile rendere più sicure le identità digitali tramite sistemi di gestione degli accessi (identity and access management system, IAMs). Tuttavia, alcune compagnie tendono a mantenere sistemi di gestione degli accessi deprecati, rendendo le identità vulnerabili ad attacchi. Questo trend è causato da molti fattori, come la transizione al cloud, acquisizione di vecchi sistemi o mancanza di risorse.
Cisco riporta che il 23% degli attacchi scaturisce dalla manomissione di account validi. Uno dei punti deboli è proprio l’autenticazione a più fattori, spesso debole e vulnerabile ad attacchi spam (MFA fatigue) o addirittura assente.
Inoltre, le aziende stanno cercando di combattere contro lo “identity sprawl“, ossia l’aumento di account provenienti da servizi diversi che tentano di accedere ai servizi dell’organizzazione. Infatti, in media, una compagnia di grandi dimensioni deve gestire accessi provenienti da 340 account personali differenti. Putroppo, la maggior parte delle identità legate a questi account non viene controllata o non è gestita direttamente dall’azienda, presentando un rischio notevole per la sicurezza.
Navigare tra un’oceano di dispositivi
Per proteggere le identità sono necessarie misure di sicurezza più sofisticate, basate sul contesto. Ciò significa analizzare il comportamento dell’utente che effettua la richiesta d’accesso, come ad esempio assicurarsi che i dispositivi utilizzati appartengano a utenti legittimi.
Mantenere la sicurezza dei dispositivi è un processo continuo. Un modo per garantire accessi sicuri è verificare che il software e il sistema operativo presenti sui dispositivi che richiedono l’accesso siano aggiornati. Per monitorare lo stato dei dispositivi, è possibile impiegare strumenti di endpoint management, che permettono di visualizzare in tempo reale i dati provenienti dai dispositivi connessi.
Tre modi per migliorare la sicurezza aziendale
Il report di Cisco presenta infine tre politiche da adottare per aumentare la sicurezza degli accessi.
Le restrizioni geografiche sono una misura di sicurezza comunemente utilizzata, specialmente in scenari che coinvolgono dati sensibili regolati da politiche legali. Quando un utente tenta di accedere a un sistema aziendale da un Paese non presente nella whitelist, l’autenticazione fallisce. Questo tipo di restrizione è efficace nel limitare un’ampia gamma di attacchi, incluso l’accesso da parte di cybercriminali.
Come abbiamo già citato, l’accesso da parte di dispositivi non riconosciuti o non aggiornati pone un rischio significante per la sicurezza. È cruciale quindi disporre di misure di sicurezza in grado di bloccare o quantomeno limitare l’accesso da parte di tali dispositivi.
Infine, una politica importante da adottare è quella dell’accesso con privilegio minimo (least privilege access). Dato che le organizzazioni tendono a far affidamento a servizi di terze parti, bisognerebbe monitorare e, se necessario, restringere l’accesso da parte di account non riconosciuti o non utilizzati, rinforzando l’autenticazione a più fattori.
È possibile scaricare il report completo dal sito di Cisco Duo.