L'autenticazione multi-fattore (MFA) è un sistema di sicurezza che richiede agli utenti di verificare la propria identità utilizzando due o più fattori distinti. Questi fattori si suddividono in: qualcosa che sai (come una password), qualcosa che possiedi (come uno smartphone o un token hardware) e qualcosa che sei (come un'impronta digitale o il riconoscimento facciale).
L'assenza di soluzioni MFA espone i sistemi a maggiori rischi di compromissione, rendendo gli account vulnerabili ad attacchi di phishing, brute force e furto di credenziali. L'affidarsi esclusivamente a un singolo fattore di autenticazione, come una password, facilmente aggirabile se debole o riutilizzata, può portare a violazioni dei dati, furto di informazioni sensibili e perdite finanziarie, oltre a danni reputazionali per aziende e utenti. Inoltre, senza MFA l'efficacia di altre misure di sicurezza risulta notevolmente ridotta, lasciando aperte significative vulnerabilità nel perimetro di protezione.
La compromissione delle credenziali: un problema diffuso
Secondo recenti studi, il 76% delle organizzazioni ha subito più episodi di compromissione delle credenziali negli ultimi 12 mesi. Questo dato conferma che le violazioni informatiche avvengono frequentemente a causa di credenziali perse o rubate. I cybercriminali, infatti, non si introducono nei sistemi con tecniche sofisticate, ma sfruttano credenziali deboli o compromesse per accedere alle risorse aziendali.
Nonostante sia riconosciuta come una delle soluzioni più efficaci per proteggere le identità digitali, l’autenticazione a più fattori (MFA) non è ancora ampiamente adottata. Attualmente, solo il 62% delle organizzazioni rende l’MFA obbligatoria per l’intera forza lavoro. Le cause di questa mancata implementazione sono diverse:
• Limitazioni di budget per le aziende più piccole.
• Scarsa competenza tecnica nel configurare e gestire un sistema di autenticazione sicuro.
• Preoccupazioni sulla produttività e sulla fruizione per gli utenti finali.
Ai sensi dell'articolo 21 della direttiva NIS2, l'autenticazione multi-fattore (MFA) diventa un requisito mandatorio per i soggetti importanti ed essenziali per mitigare i rischi connessi agli accessi non autorizzati e garantire un elevato standard di sicurezza informatica. L'MFA non rappresenta solo un'opportunità, ma una necessità imposta dalla normativa, che sottolinea l'importanza di adottare misure di sicurezza avanzate per proteggersi dalle crescenti minacce alla cybersicurezza.
In un mondo digitale in rapida evoluzione e sempre più esposto a minacce sofisticate, l'implementazione dell'MFA si configura come una scelta strategica per tutelare i dati sensibili e rafforzare la fiducia di clienti e stakeholder.
L'adozione proattiva di questa soluzione riduce significativamente il rischio di accessi non autorizzati, garantendo al contempo la continuità operativa e il rispetto degli standard di sicurezza più elevati.
Oltre a rappresentare una misura tecnica, l'MFA costituisce un vantaggio competitivo per le organizzazioni che lo integrano in modo strutturato all'interno delle proprie prassi operative. Tale approccio, infatti, permette di proteggere i sistemi aziendali senza compromettere l'esperienza utente, contribuendo in maniera decisiva al percorso di digitalizzazione sicura e all’adeguamento alle normative vigenti.
Per un cliente leader nel settore energy, e quindi soggetto essenziale NIS2, con una complessa infrastruttura di rete che include migliaia di dispositivi, è stata individuata e mostrata una soluzione avanzata di autenticazione multi-fattore (MFA). L'obiettivo principale era garantire la sicurezza e la gestione centralizzata degli accessi. Questa soluzione si integra, infatti, con il server AAA del cliente per verificare prima le credenziali e gestire i privilegi, richiedendo poi un secondo fattore di autenticazione per l'accesso tramite CLI (SSH) e GUI (HTTP/HTTPS) ai dispositivi di rete.
Un aspetto cruciale della soluzione è la gestione intelligente delle sessioni, che evita la necessità di ripetere il secondo fattore per un tempo configurato, anche in caso di accessi a dispositivi diversi. Questo approccio non solo assicura la sicurezza continua, ma ottimizza anche l'efficienza operativa e la produttività, specialmente per i gruppi operativi che necessitano di accessi simultanei. In particolare, nei contesti di troubleshooting, dove la tempestività nella risoluzione dei guasti è fondamentale, la possibilità di effettuare accessi multipli in parallelo senza dover ripetere il secondo fattore consente di intervenire con maggiore rapidità, riducendo al minimo i tempi di fermo e garantendo la continuità operativa dell'infrastruttura critica.
Inoltre, la soluzione è progettata anche per funzionare senza connettività IP o telefonica, garantendo l'autenticazione continua anche in ambienti isolati o con connessioni instabili.
La principale sfida è stata individuare un vendor leader sul mercato in grado di soddisfare pienamente i requisiti di sicurezza e operatività del cliente, con un focus specifico sulla gestione della persistenza delle sessioni di autenticazione RADIUS/TACACS+ per accessi SSH.
Questo aspetto è particolarmente critico, poiché per definizione ogni autenticazione effettuata tramite questi protocolli viene trattata come indipendente, rendendo complessa l’implementazione di meccanismi di caching o di token di sessione senza compromettere la sicurezza.
Molte soluzioni attualmente disponibili non gestiscono correttamente la memorizzazione delle sessioni in questi casi, costringendo gli utenti a reinserire il secondo fattore di autenticazione troppo frequentemente e compromettendo l’esperienza d’uso. Infatti, la maggior parte dei prodotti sul mercato implementa meccanismi di memorizzazione dello stato di autenticazione per accessi HTTPS sfruttando cookie, token di sessione e metodologie di Single Sign-On (SSO) basate su protocolli come SAML o OAuth2. Nei contesti aziendali, il Single Sign-On (SSO) basato su protocolli come SAML o OAuth2 viene utilizzato per semplificare l’accesso alle risorse aziendali senza dover inserire ripetutamente le credenziali.
Ad esempio, un dipendente che accede alla VPN aziendale con il proprio account aziendale può automaticamente ottenere l’accesso anche alla messaggistica istantanea, alla webmail e allo share point, senza dover autenticarsi nuovamente.
Questo avviene perché il sistema centrale di autenticazione rilascia un token valido per più applicazioni federate, migliorando la sicurezza e l’efficienza operativa, oltre a ridurre il numero di richieste di autenticazione per l’utente. Tuttavia, questi approcci non sono direttamente applicabili agli accessi SSH autenticati tramite RADIUS o TACACS+, dove ogni richiesta viene trattata come indipendente e priva di stato. Per questo motivo, la nostra ricerca si è concentrata su tecnologie avanzate che, oltre a garantire la sicurezza e la conformità nella protezione dei dati, ottimizzino la memorizzazione delle sessioni anche per metodi diversi dall’HTTPS.
Dopo un attento scouting, abbiamo individuato il vendor ideale, la cui soluzione si distingue per robustezza, sicurezza, scalabilità e piena integrazione con l’infrastruttura del cliente, consente di ridurre la necessità di autenticazioni ripetute entro una finestra temporale definita, senza compromettere la sicurezza del processo di accesso.
L'adozione dell'autenticazione multi-fattore (MFA) offre numerosi vantaggi per i clienti, migliorando la sicurezza e l'affidabilità dei sistemi. Ecco alcuni dei principali benefici:
L'MFA aggiunge livelli multipli di verifica, rendendo più difficile per un attaccante bypassare i sistemi di sicurezza. Anche se un malintenzionato ottiene una password, senza il secondo fattore (come un codice inviato al telefono dell'utente) non potrà accedere.
Anche se un utente viene ingannato a rivelare la propria password tramite phishing, l'MFA impedisce l'accesso non autorizzato richiedendo un secondo fattore di autenticazione, come un codice inviato al telefono o una verifica biometrica.
L'MFA aiuta le organizzazioni a soddisfare i vari requisiti normativi e standard di settore, dimostrando il proprio impegno nella salvaguardia dei dati.
Quando i clienti sanno che un'organizzazione utilizza solide misure di sicurezza come l'MFA, la loro fiducia nella sicurezza dei propri dati personali e finanziari aumenta.
L'MFA aiuta le organizzazioni ad evitare le spese sostanziali associate alla risposta agli incidenti, alle spese legali, alle sanzioni normative e ai danni alla reputazione.
Net Reply, grazie al proprio laboratorio, è stato in grado di simulare l’infrastruttura critica del cliente, garantendo l’efficacia e la robustezza della soluzione individuata. Questo approccio ha permesso di validare la soluzione senza richiedere investimenti per la realizzazione di una POC dimostrativa direttamente nella rete del cliente, ottimizzando così tempi e risorse. Durante questa fase, sono stati testati la compatibilità tra i diversi componenti, i flussi di autenticazione e il comportamento della soluzione in scenari complessi, inclusi casi limite come l’assenza di connettività. La strategia adottata ha consentito di identificare e risolvere eventuali criticità, assicurando che il sistema soddisfacesse pienamente i requisiti di sicurezza, usabilità ed efficienza richiesti. I test hanno confermato la capacità del sistema di integrarsi perfettamente con le infrastrutture esistenti, garantendo un processo di autenticazione affidabile e fluido per gli utenti finali. Infine, i risultati ottenuti sono stati presentati al cliente, evidenziando il potenziale della soluzione.
Net Reply ha svolto un ruolo chiave come System Integrator agnostico, offrendo consulenza specializzata e supporto tecnico in ogni fase del progetto. In qualità di advisor esperto in Network Security, ha condotto un’analisi approfondita della postura di sicurezza del cliente, individuando punti di forza e aree di miglioramento per garantire la conformità alla direttiva NIS2.
Su questa base, ha progettato e implementato una soluzione MFA su misura, combinando tecnologie di diversi vendor per creare un’architettura ibrida, flessibile e allineata ai più elevati standard di sicurezza. L’intera configurazione è stata testata e validata nei laboratori Net Reply, riducendo i rischi operativi e ottimizzando l’integrazione con i sistemi esistenti.
Questo use case di successo dimostra l’approccio vincente di Net Reply nella realizzazione di soluzioni di sicurezza avanzate. In qualità di società di consulenza agnostica, non si limita a proporre soluzioni standard, ma analizza nel dettaglio l’infrastruttura esistente di ogni cliente per sviluppare un’architettura su misura. L’obiettivo è garantire un’integrazione ottimale con le tecnologie già in uso, rispondendo in modo preciso alle esigenze operative e di sicurezza.