Il report "Duo Trusted Access Report 2024: Navigating Complexity", sviluppato da Cisco, mette in luce come la sicurezza e l'identità digitale siano diventate i pilastri fondamentali per affrontare le sfide del futuro. In un'era caratterizzata da una costante evoluzione delle minacce cyber, sempre più estese nel loro raggio di azione e sempre più severe nei loro effetti, per le organizzazioni di qualunque settore e dimensione è imperativo affrontare la sfida di proteggere le loro infrastrutture digitali e gestire efficacemente i rischi.
In questo scenario, la sicurezza e l'identità digitale sono i due pilastri fondamentali sui quali lavorare, così come è indispensabile, anche alla luce delle nuove direttive europee in materia di sicurezza –in particolare la NIS2 (Network and Information Security)– implementare una robusta strategia di risk management, che gioca un ruolo cruciale nella difesa contro attacchi esterni e nella mitigazione delle vulnerabilità interne.
Sicurezza e identità digitali, cosa è cambiato
Le organizzazioni oggi devono navigare in un contesto digitale sempre più insidioso: i criminali cyber cambiano di volta in volta non solo le loro metodologie di attacco, ma anche le motivazioni alla base delle loro azioni, che spaziano dal più ovvio guadagno economico, all’esfiltrazione di dati sensibili al vero e proprio spionaggio. È questo il quadro di riferimento nel quale è stato sviluppato il report Duo Trusted Access Report 2024: Navigating Complexity presentato da Cisco in collaborazione con il Cyentia Institute e realizzato analizzando i dati relativi a oltre 16 miliardi di autenticazioni fatte attraverso 52 milioni di browser, 58 milioni di endpoint e 21 milioni di telefoni in Nord America, America Latina, Europa, Medio Oriente e Asia Pacifico.
Se tradizionalmente, la sicurezza era incentrata sulla protezione dei confini fisici della rete aziendale, oggi, con l'avvento del cloud computing, la mobilità della forza lavoro e l'adozione di modelli di lavoro ibridi, il perimetro di sicurezza si è spostato dall'infrastruttura fisica alle identità degli utenti. Questo cambio di paradigma significa che le credenziali degli utenti (come nomi utente e password) sono diventate i nuovi confini da proteggere, poiché gli attaccanti cercano di sfruttare credenziali compromesse per accedere a sistemi critici e dati sensibili. La mancanza di visibilità, il mancato rilevamento delle minacce e la risposta inadeguata all'interno dell'infrastruttura di identità offrono ampie opportunità agli aggressori.
Dal report emerge come nel 23% degli incidenti osservati, gli attaccanti hanno potuto sfruttare credenziali compromesse per accedere a account legittimi. Questo evidenzia quanto sia comune l'abuso di credenziali rubate o indovinate per infiltrarsi nelle reti aziendali. Ed è qui che entra in gioco la Mfa, multi-factor authentication, pratica di sicurezza che richiede agli utenti di fornire due o più prove di identità per accedere a un account, rendendo molto più difficile per gli aggressori ottenere accesso non autorizzato.
Mfa, a che punto siamo
I dati complessivi non sembrano molto incoraggianti: in media, il 40,26% degli account aziendali non utilizza l'autenticazione multi-fattore (Mfa) o si affida a una forma debole di Mfa, lasciando dunque un'ampia percentuale di account vulnerabili agli attacchi.
Nel contempo, per fortuna, si sottolinea come l'autenticazione multi-fattore (Mfa) abbia registrato lo scorso anno un forte incremento nei tassi di adozione. Cisco sottolinea come per Secure Access di Duo, la sua piattaforma di sicurezza Zero Trust con autenticazione a due fattori per proteggere l'accesso ai dati, l’incremento si sia attestato sul 41% anno su anno. Contemporaneamente, la tendenza all'utilizzo di Sms e chiamate telefoniche come fattori di autenticazione è in calo, raggiungendo il minimo storico del 4,9% del totale delle autenticazioni.
Ancora molto bassa, va detto, è invece l’adozione di restrizioni su base geografica, che dovrebbe essere invece una misura di sicurezza comune, soprattutto in scenari che coinvolgono dati sensibili regolati da politiche legali o aziendali che dettano la residenza e la sovranità dei dati. In questo caso, se un utente tentasse di accedere al sistema da una località che non è in whitelist, il protocollo di sicurezza interverrebbe prontamente, causando un'autenticazione fallita. Questo controllo geografico è un deterrente efficace contro una gamma di minacce, inclusi gli accessi non autorizzati da parte di criminali informatici internazionali. Una pratica, emerge dal report, adottata in meno del 4% dei casi.
Qualche raccomandazione
Dal report emergono alcune raccomandazioni chiave. Se avere una visibilità completa sull'ecosistema di identità è un passo fondamentale per proteggere gli asset e la reputazione di qualsiasi organizzazione moderna, allora per le organizzazioni diventa necessario:
- Adottare su larga scala Mf forte e muoversi verso l'uso esclusivo di Mfa resistente al phishing, come le chiavi di sicurezza Fido2, per gli account privilegiati.
- Garantire che solo dispositivi fidati, gestiti o non gestiti, abbiano accesso alle risorse aziendali.
- Sfruttare soluzioni di single sign-on moderne come strumento di applicazione delle politiche per applicare i principi di zero trust e l'accesso al minimo privilegio per ogni applicazione.
