Close Menu
    Trending
    Opinioni

    L’MFA non basta più. È tempo di rafforzare le difese!

    By 5 Mins Read

    Ferdinando Mancini di Proofpoint spiega come contrastare le minacce di elusione dell’MFA e spiega un nuovo approccio alla cybersecurity

    MFA

    Grazie a tecniche sempre più sofisticate, i cybercriminali oggi riescono ad eludere anche i sistemi di sicurezza che fino a ieri potevano essere abbastanza, come l’MFA. L’autenticazione a più fattori era un’ottima strategia di protezione della propria identità ma, purtroppo, da sola non basta più a scoraggiare i cybercriminali nel loro intento. Cosa fare dunque? Scopriamolo in questo articolo di Ferdinando Mancini, Director, Sales Engineering – Southern Europe in Proofpoint.

    Buona lettura!

    Cybersecurity, la MFA serve, ma non basta. È necessaria una difesa più profonda per combatterne l’elusione

    Negli ultimi anni l’autenticazione multi-fattore (multifactor authentication, o MFA) è diventata un elemento fondamentale della moderna sicurezza informatica. Tuttavia, insieme al miglioramento nell’autenticazione, anche il livello di sofisticazione delle tattiche dei cybercriminali è aumentato.

    Una recente ricerca di Proofpoint mostra che quasi la metà degli account rilevati da malintenzionati aveva l’MFA configurato. Eppure l’89% dei professionisti della sicurezza considera l’MFA una protezione completa contro l’acquisizione fraudolenta degli account. È chiaro che esiste una disconnessione e, oggi più che mai, è necessario un solido approccio di difesa in profondità, con una sicurezza a più livelli che può aiutare a mitigare l’elusione (bypass) dell’MFA e a ridurre la probabilità di una violazione significativa derivante dal takeover.

    Le tecniche di elusione dell’MFA

    L’efficacia dell’MFA consiste nella richiesta agli utenti di autenticarsi con più fattori, combinando qualcosa che conoscono (in genere la password) con qualcosa che possiedono (un’app o un token di autenticazione) o un fattore personale (come la scansione del volto). Anche se all’apparenza si tratta di un metodo sicuro, gli attori delle minacce hanno trovato diversi modi per aggirarla, con tattiche anche molto sofisticate:

    • Attacchi di phishing, in cui gli utenti vengono indotti dai criminali informatici a inserire i codici MFA o le loro credenziali di accesso in siti da loro controllati.
    • Attacchi che sfruttano la MFA fatigue, in cui, dopo aver rubato la password di un utente, gli attaccanti avviano una raffica di notifiche push MFA. Questo può confondere gli utenti, inducendoli ad approvare la richiesta di accesso, nella speranza di far cessare le notifiche.
    • Dirottamento di sessione. Con questa tecnica, i cybercriminali rubano i cookie di sessione dopo l’autenticazione, rendendo vana la precedente autenticazione basata su MFA.
    • SIM swapping. Questa tecnica compromette l’MFA basata su SMS trasferendo il numero di telefono dell’obiettivo all’attaccante, il quale, per ottenere questo risultato, deve utilizzare l’ingegneria sociale verso l’operatore di telefonia mobile o avere un insider in azienda.
    • Ingegneria sociale pura. La maggior parte delle organizzazioni permette ai lavoratori remoti di reimpostare le proprie password e configurazioni MFA senza doversi presentare di persona. Tuttavia, senza un’adeguata verifica dell’identità online, anche l’helpdesk IT può essere oggetto di social engineering e spinto a consegnare a un criminale le credenziali di dipendenti colpiti da spoofing.
    • Attacchi adversary-in-the-middle. Esistono strumenti di attacco, come il kit di phishing specializzato Evilginx, che intercettano i token di sessione, ritrasmessi poi a servizi legittimi, che a loro volta concedono l’accesso agli attaccanti.

    Perché la sola MFA non è sufficiente 

    Non ci sono dubbi che l’MFA aggiunga un prezioso livello di sicurezza per l’autenticazione degli utenti, rendendo più difficile l’accesso per gli attori delle minacce. Ma le tecniche di bypass descritte mostrano perché sia così rischioso affidarsi a un singolo meccanismo di difesa della sicurezza. La crescente diffusione di attacchi di bypass dell’MFA dimostra come i cybercriminali possano adattarsi a superare le protezioni più diffuse.

    Anche se può sembrare ovvio, è importante considerare l’MFA come parte di un programma di sicurezza più ampio, non come protezione assoluta. Il concetto di difesa in profondità significa che implementando ulteriori livelli di sicurezza si riducono le probabilità di successo di un attacco, anche se un livello venisse violato.

    Implementare una strategia di difesa in profondità

    Un approccio di difesa in profondità prevede misure di sicurezza multiple e sovrapposte, che creano ridondanze e riducono la capacità di un attaccante di sfruttare eventuali vulnerabilità. Ecco alcune modalità con cui le imprese possono rafforzare le loro difese dall’elusione dell’MFA:

    • Rafforzare la protezione degli endpoint. Implementare strumenti di rilevamento e risposta degli endpoint (EDR) per identificare e ridurre gli accessi non autorizzati a livello di host.
    • Investire in difese dal phishing delle credenziali. La maggior parte degli attori delle minacce preferisce utilizzare attacchi di phishing altamente mirati e socialmente ingegnerizzati per colpire le credenziali degli utenti.
    • Adottare una MFA resistente al phishing. Passare a metodi MFA più sicuri, come chiavi di sicurezza hardware (FIDO2) o biometria, meno suscettibili a phishing e attacchi di bypass.
    • Scegliere sistemi specializzati nell’account takeover. Implementare strumenti dedicati per rilevare, indagare e rispondere automaticamente a questi attacchi nel cloud non appena si verificano, bloccandoli prima che possano causare danni significativi.
    • Educare gli utenti. Formare gli utenti a riconoscere i tentativi di phishing e altre tattiche di social engineering che mirano alle loro credenziali MFA. Un programma di cybersecurity awareness può essere decisamente efficace.
    • Pianificare risposta agli incidenti e ripristino. È necessario prepararsi agli scenari peggiori, assicurandosi di avere un piano di risposta agli incidenti ben definito che includa un modo per revocare rapidamente i token di accesso e indagare sui login sospetti.

    Passato, presente e futuro della cybersecurity: una difesa proattiva e a più livelli

    La battaglia contro le tattiche di bypass dell’MFA è un buon esempio della natura dinamica delle minacce odierne. Quando si adotta una strategia di difesa in profondità, ci si garantisce che, anche se un livello della sicurezza viene superato, altri ne potranno assorbire l’impatto.

    Investendo in misure di protezione complete e proattive, è possibile anticipare i malintenzonati e salvaguardare le risorse più preziose. Oggi, la cybersecurity non consiste più nel costruire un unico muro infrangibile, ma nel rendere ogni azione più difficile per gli attaccanti.

    di Ferdinando Mancini, Director, Sales Engineering – Southern Europe, Proofpoint

    Share.

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati