L’apertura delle applicazioni aziendali agli utenti che accedono remotamente alla rete dell’impresa comporta una maggiore cautela, in particolare, sul fronte dell’identity security. Il furto delle password è diventato incredibilmente facile (e redditizio) per gli hacker. Gli strumenti e le tecnologie per l’individuazione delle password sono diventati più sofisticati e automatizzati, tanto che spesso non richiedono neanche il ‘password-guessing’ manuale.
È pertanto chiaro che le protezioni comuni basate su password risultano inadeguate e facilmente violabili.
L’identity security non può essere garantita con le sole password ed è questo il motivo per cui, non senza qualche fastidio, i servizi online di varia natura, anche consumer, ci chiedono oggi di usare anche token, mail/sms di conferma e app autorizzate per accedere. Si tratta dei sistemi di autenticazione multifattoriale (MFA) che, andando oltre alla semplice combinazione nome utente/password, possono offrire uno o più livelli di protezione, sebbene non tutti offrano lo stesso livello di affidabilità. Ad esempio, un sistema MFA basato su SMS è preferibile al solo metodo password e nome utente, ma presenta comunque un grado maggiore di vulnerabilità rispetto all’uso del token.
Per capire nel dettaglio quali siano le risorse impiegabili per la MFA, come implementarla al meglio e nel modo meno invasivo possibile per gli utenti, abbiamo parlato con Luca Volpato, fondatore e CEO di ITS, società specializzata nel campo delle reti e della cyber security.
Indice degli argomenti
Perché usare la MFA per rafforzare l’identity security
Garantire l’identità reale degli utenti serve a evitare che qualcuno possa agire sui sistemi spacciandosi per un’altra persona, quindi operare transazioni, accedere a e-mail, dati e relazioni con colleghi e terze parti con una falsa identità. Le credenziali perse o trafugate rappresentano la chiave di guadagno per gli hacker poiché permettono il furto di dati o l’accesso ai sistemi dell’azienda dove è possibile sferrare attacchi di ransomware o altri attacchi malware redditizi in grado di causare danni economici e d’immagine per le aziende.
“Come società che fa cyber security siamo stati più volte chiamati per risolvere emergenze correlate con l’identity and access management”, spiega Volpato. Un caso ha riguardato una violazione della documentazione di un brevetto: “Gli utenti accedevano dall’esterno all’archivio dei dati tramite VPN con una protezione via password debole, mancante del controllo sul numero di tentativi errati. In un altro caso il cliente aveva rilevato un accesso remoto illecito sulle informazioni riguardanti la partecipazione dell’azienda a un’importante gara d’appalto”.
La MFA ha il potenziale per risolvere queste situazioni, ma spesso si scontra con le difficoltà delle aziende, specie delle PMI, di percepire il rischio e investire su servizi non direttamente funzionali al business. “In molti casi l’interesse si manifesta solo in seguito agli incidenti, levando il velo su protezioni molto scadenti, inferiori a quelle offerte dalle app di un comune cellulare. Spesso i dati sono sparpagliati su un perimetro molto ampio che comprende sistemi locali, servizi remoti e di cloud, e non protetti efficacemente neppure dai sistemi di backup”.
AuthPoint MFA: aumentare la sicurezza minimizzando gli oneri per gli utenti
Per rispondere alle esigenze presentate sinora, entra in gioco la soluzione AuthPoint MFA di WatchGuard, con la quale è possibile identificare in modo sicuro chi accede ai sistemi aziendali attraverso il concorso di tre elementi diversi: un dispositivo fisico nelle mani dell’utente (token, cellulare), un elemento noto all’utente (password o PIN) e un componente personale dell’utente (impronta digitale, volto).
La biometria semplifica molto l’identity security. “Grazie all’evoluzione tecnologica è oggi facile aggiungere fattori come la lettura dell’impronta digitale oppure il riconoscimento del volto – precisa Volpato – più facili e sicuri rispetto all’impiego dei codici inviati via SMS che possono essere facilmente intercettati”. Il servizio di autenticazione a più fattori (MFA) di WatchGuard è la chiave vincente perché aiuta le aziende a mantenere al sicuro le proprie risorse, informazioni e identità degli utenti.
Incluso nel pacchetto AuthPoint Total Identity Security vi è anche un servizio di monitoraggio del dark web e uno strumento di gestione delle password aziendali, che non solo promuove l’uso di password complesse univoche, ma fornisce anche agli utenti uno strumento con cui possono accedere e richiamare le password con facilità e in sicurezza quando ne hanno bisogno.
L’esperienza per gli utenti è soddisfacente poiché l’adozione è semplice e veloce: con l’app mobile AuthPoint gli utenti concedono o negano l’accesso con un tocco. Una volta effettuato l’accesso, gli utenti possono fruire del Single Sign-On (SSO) per accedere velocemente alle applicazioni e agli ambienti di lavoro. Lo strumento di gestione delle password aziendali è disponibile dalla stessa app AuthPoint e può essere utilizzato sia per le password di lavoro che per quelle personali.
Come implementare MFA in modo efficace
L’implementazione della MFA di WatchGuard è resa più semplice grazie alla gestione da WatchGuard Cloud: una sola interfaccia per un’amministrazione semplificata. I prodotti AuthPoint Total Identity Security sono gestiti interamente nel cloud. In altre parole, non è necessario implementare hardware costosi né aggiornare alcun software. È comunque importante evitare alcuni errori capaci di creare rigetto a livello degli utenti e quindi forti attriti all’interno dell’azienda.
Primo tra tutti non dedicare sufficiente impegno per rendere utenti e dirigenti consapevoli dei rischi e quindi pronti ad accettare le nuove pratiche di autenticazione.
Sul fronte tecnico l’implementazione della MFA richiede molta esperienza nell’interfacciamento dei sistemi d’identity security già in uso. “La scelta delle opzioni migliori si affianca con l’esigenza di aggiornare o integrare attraverso gateway i sistemi d’identity management aziendali, come Active Directory, LDAP o altri usati a livello locale con i servizi di MFA erogati in cloud”. Il supporto in cloud rende l’avvio delle nuove protezioni molto semplice, “con una e-mail inviata agli utenti o un QRcode da inquadrare. L’introduzione della MFA diventa spesso occasione per rivedere l’identity security e riorganizzare in modo più efficace la tutela di risorse e dati aziendali”, conclude Volpato.
Contributo editoriale sviluppato in collaborazione con ITS e WatchGuard