Case Study

Autenticazione

Multi-Fattore (MFA)

La Chiave per una Sicurezza Informatica Avanzata

Scenario

L'autenticazione multi-fattore (MFA) è un sistema di sicurezza che richiede agli utenti di verificare la propria identità utilizzando due o più fattori distinti. Questi fattori si suddividono in: qualcosa che sai (come una password), qualcosa che possiedi (come uno smartphone o un token hardware) e qualcosa che sei (come un'impronta digitale o il riconoscimento facciale).

L'assenza di soluzioni MFA espone i sistemi a maggiori rischi di compromissione, rendendo gli account vulnerabili ad attacchi di phishing, brute force e furto di credenziali. L'affidarsi esclusivamente a un singolo fattore di autenticazione, come una password, facilmente aggirabile se debole o riutilizzata, può portare a violazioni dei dati, furto di informazioni sensibili e perdite finanziarie, oltre a danni reputazionali per aziende e utenti. Inoltre, senza MFA l'efficacia di altre misure di sicurezza risulta notevolmente ridotta, lasciando aperte significative vulnerabilità nel perimetro di protezione.

Picture

La compromissione delle credenziali: un problema diffuso

Secondo recenti studi, il 76% delle organizzazioni ha subito più episodi di compromissione delle credenziali negli ultimi 12 mesi. Questo dato conferma che le violazioni informatiche avvengono frequentemente a causa di credenziali perse o rubate. I cybercriminali, infatti, non si introducono nei sistemi con tecniche sofisticate, ma sfruttano credenziali deboli o compromesse per accedere alle risorse aziendali.

Le barriere all'adozione dell'MFA: ostacoli e criticità

Nonostante sia riconosciuta come una delle soluzioni più efficaci per proteggere le identità digitali, l’autenticazione a più fattori (MFA) non è ancora ampiamente adottata. Attualmente, solo il 62% delle organizzazioni rende l’MFA obbligatoria per l’intera forza lavoro. Le cause di questa mancata implementazione sono diverse:

• Limitazioni di budget per le aziende più piccole.

• Scarsa competenza tecnica nel configurare e gestire un sistema di autenticazione sicuro.

• Preoccupazioni sulla produttività e sulla fruizione per gli utenti finali.

Contesto

Ai sensi dell'articolo 21 della direttiva NIS2, l'autenticazione multi-fattore (MFA) diventa un requisito mandatorio per i soggetti importanti ed essenziali per mitigare i rischi connessi agli accessi non autorizzati e garantire un elevato standard di sicurezza informatica. L'MFA non rappresenta solo un'opportunità, ma una necessità imposta dalla normativa, che sottolinea l'importanza di adottare misure di sicurezza avanzate per proteggersi dalle crescenti minacce alla cybersicurezza.

In un mondo digitale in rapida evoluzione e sempre più esposto a minacce sofisticate, l'implementazione dell'MFA si configura come una scelta strategica per tutelare i dati sensibili e rafforzare la fiducia di clienti e stakeholder.

L'adozione proattiva di questa soluzione riduce significativamente il rischio di accessi non autorizzati, garantendo al contempo la continuità operativa e il rispetto degli standard di sicurezza più elevati.

Oltre a rappresentare una misura tecnica, l'MFA costituisce un vantaggio competitivo per le organizzazioni che lo integrano in modo strutturato all'interno delle proprie prassi operative. Tale approccio, infatti, permette di proteggere i sistemi aziendali senza compromettere l'esperienza utente, contribuendo in maniera decisiva al percorso di digitalizzazione sicura e all’adeguamento alle normative vigenti.

Alcuni Use Case

Per un cliente leader nel settore energy, e quindi soggetto essenziale NIS2, con una complessa infrastruttura di rete che include migliaia di dispositivi, è stata individuata e mostrata una soluzione avanzata di autenticazione multi-fattore (MFA). L'obiettivo principale era garantire la sicurezza e la gestione centralizzata degli accessi. Questa soluzione si integra, infatti, con il server AAA del cliente per verificare prima le credenziali e gestire i privilegi, richiedendo poi un secondo fattore di autenticazione per l'accesso tramite CLI (SSH) e GUI (HTTP/HTTPS) ai dispositivi di rete.

Un aspetto cruciale della soluzione è la gestione intelligente delle sessioni, che evita la necessità di ripetere il secondo fattore per un tempo configurato, anche in caso di accessi a dispositivi diversi. Questo approccio non solo assicura la sicurezza continua, ma ottimizza anche l'efficienza operativa e la produttività, specialmente per i gruppi operativi che necessitano di accessi simultanei. In particolare, nei contesti di troubleshooting, dove la tempestività nella risoluzione dei guasti è fondamentale, la possibilità di effettuare accessi multipli in parallelo senza dover ripetere il secondo fattore consente di intervenire con maggiore rapidità, riducendo al minimo i tempi di fermo e garantendo la continuità operativa dell'infrastruttura critica.

Inoltre, la soluzione è progettata anche per funzionare senza connettività IP o telefonica, garantendo l'autenticazione continua anche in ambienti isolati o con connessioni instabili. 

Soluzione


L'architettura della soluzione proposta, mostrata in Figura 1, è stata progettata in modalità ibrida, combinando componenti on-premise e cloud per offrire flessibilità e scalabilità in base alle esigenze del cliente. Il componente principale on-premise, denominato radius-gateway, viene installato in un ambiente virtualizzato all'interno dell'infrastruttura del cliente e funge da intermediario tra il server AAA e la soluzione MFA.  Il radius gateway può inizialmente delegare la verifica del primo fattore di autenticazione al server AAA, il quale può autenticare direttamente l’utente utilizzando le credenziali archiviate nel proprio database locale. In alternativa, il server AAA può inoltrare la richiesta a directory esterne, come server LDAP o altre soluzioni di identity management del cliente. Una volta completata questa fase, il RADIUS Gateway gestisce l’inoltro della richiesta per il secondo fattore (2FA), garantendo un processo di autenticazione sicuro e integrato. Il cuore della soluzione MFA comprende una piattaforma avanzata di orchestrazione che permette di creare e gestire flussi di autenticazione e autorizzazione in modo semplice e personalizzato

Inoltre, è in grado di costruire, gestire e personalizzare in modo visivo e senza codice complesso i vari processi che regolano come gli utenti accedono alle applicazioni, verificandone la loro identità e interagendo con i sistemi aziendali. La costruzione dei flussi avviene tramite una dashboard visiva che permette di collegare graficamente i vari "blocchi". Se richiesto, l’orchestratore invia una notifica push al dispositivo mobile dell'utente, attivando un meccanismo di memorizzazione delle sessioni (ad es. 4 ore) reso possibile tramite una policy adattiva sull’orchestratore in un flusso dedicato all’autenticazione a due fattori, consentendo agli utenti di evitare il reinserimento del secondo fattore per un determinato lasso di tempo, anche in caso di accessi a dispositivi di rete differenti. Se l’orchestratore riceve una richiesta di autenticazione per un utente su cui è ancora attivo il meccanismo di caching del secondo fattore, risponde immediatamente al radius gateway con un messaggio RADIUS-Accept. Questo consente all’operatore di accedere all’apparato utilizzando esclusivamente la password, senza dover ripetere il processo di autenticazione multi-fattore.

La principale sfida

La principale sfida è stata individuare un vendor leader sul mercato in grado di soddisfare pienamente i requisiti di sicurezza e operatività del cliente, con un focus specifico sulla gestione della persistenza delle sessioni di autenticazione RADIUS/TACACS+ per accessi SSH.

Questo aspetto è particolarmente critico, poiché per definizione ogni autenticazione effettuata tramite questi protocolli viene trattata come indipendente, rendendo complessa l’implementazione di meccanismi di caching o di token di sessione senza compromettere la sicurezza.

Molte soluzioni attualmente disponibili non gestiscono correttamente la memorizzazione delle sessioni in questi casi, costringendo gli utenti a reinserire il secondo fattore di autenticazione troppo frequentemente e compromettendo l’esperienza d’uso. Infatti, la maggior parte dei prodotti sul mercato implementa meccanismi di memorizzazione dello stato di autenticazione per accessi HTTPS sfruttando cookie, token di sessione e metodologie di Single Sign-On (SSO) basate su protocolli come SAML o OAuth2. Nei contesti aziendali, il Single Sign-On (SSO) basato su protocolli come SAML o OAuth2 viene utilizzato per semplificare l’accesso alle risorse aziendali senza dover inserire ripetutamente le credenziali.

Ad esempio, un dipendente che accede alla VPN aziendale con il proprio account aziendale può automaticamente ottenere l’accesso anche alla messaggistica istantanea, alla webmail e allo share point, senza dover autenticarsi nuovamente.

Questo avviene perché il sistema centrale di autenticazione rilascia un token valido per più applicazioni federate, migliorando la sicurezza e l’efficienza operativa, oltre a ridurre il numero di richieste di autenticazione per l’utente. Tuttavia, questi approcci non sono direttamente applicabili agli accessi SSH autenticati tramite RADIUS o TACACS+, dove ogni richiesta viene trattata come indipendente e priva di stato. Per questo motivo, la nostra ricerca si è concentrata su tecnologie avanzate che, oltre a garantire la sicurezza e la conformità nella protezione dei dati, ottimizzino la memorizzazione delle sessioni anche per metodi diversi dall’HTTPS.

Dopo un attento scouting, abbiamo individuato il vendor ideale, la cui soluzione si distingue per robustezza, sicurezza, scalabilità e piena integrazione con l’infrastruttura del cliente, consente di ridurre la necessità di autenticazioni ripetute entro una finestra temporale definita, senza compromettere la sicurezza del processo di accesso.

Vantaggi per il cliente

L'adozione dell'autenticazione multi-fattore (MFA) offre numerosi vantaggi per i clienti, migliorando la sicurezza e l'affidabilità dei sistemi. Ecco alcuni dei principali benefici:

L'MFA aggiunge livelli multipli di verifica, rendendo più difficile per un attaccante bypassare i sistemi di sicurezza. Anche se un malintenzionato ottiene una password, senza il secondo fattore (come un codice inviato al telefono dell'utente) non potrà accedere.

Anche se un utente viene ingannato a rivelare la propria password tramite phishing, l'MFA impedisce l'accesso non autorizzato richiedendo un secondo fattore di autenticazione, come un codice inviato al telefono o una verifica biometrica.

L'MFA aiuta le organizzazioni a soddisfare i vari requisiti normativi e standard di settore, dimostrando il proprio impegno nella salvaguardia dei dati.

Quando i clienti sanno che un'organizzazione utilizza solide misure di sicurezza come l'MFA, la loro fiducia nella sicurezza dei propri dati personali e finanziari aumenta.

L'MFA aiuta le organizzazioni ad evitare le spese sostanziali associate alla risposta agli incidenti, alle spese legali, alle sanzioni normative e ai danni alla reputazione.

Il nostro punto di forza

Net Reply, grazie al proprio laboratorio, è stato in grado di simulare l’infrastruttura critica del cliente, garantendo l’efficacia e la robustezza della soluzione individuata. Questo approccio ha permesso di validare la soluzione senza richiedere investimenti per la realizzazione di una POC dimostrativa direttamente nella rete del cliente, ottimizzando così tempi e risorse. Durante questa fase, sono stati testati la compatibilità tra i diversi componenti, i flussi di autenticazione e il comportamento della soluzione in scenari complessi, inclusi casi limite come l’assenza di connettività. La strategia adottata ha consentito di identificare e risolvere eventuali criticità, assicurando che il sistema soddisfacesse pienamente i requisiti di sicurezza, usabilità ed efficienza richiesti. I test hanno confermato la capacità del sistema di integrarsi perfettamente con le infrastrutture esistenti, garantendo un processo di autenticazione affidabile e fluido per gli utenti finali. Infine, i risultati ottenuti sono stati presentati al cliente, evidenziando il potenziale della soluzione.

Il ruolo di Net Reply

Net Reply ha svolto un ruolo chiave come System Integrator agnostico, offrendo consulenza specializzata e supporto tecnico in ogni fase del progetto. In qualità di advisor esperto in Network Security, ha condotto un’analisi approfondita della postura di sicurezza del cliente, individuando punti di forza e aree di miglioramento per garantire la conformità alla direttiva NIS2. 

Su questa base, ha progettato e implementato una soluzione MFA su misura, combinando tecnologie di diversi vendor per creare un’architettura ibrida, flessibile e allineata ai più elevati standard di sicurezza. L’intera configurazione è stata testata e validata nei laboratori Net Reply, riducendo i rischi operativi e ottimizzando l’integrazione con i sistemi esistenti. 

Questo use case di successo dimostra l’approccio vincente di Net Reply nella realizzazione di soluzioni di sicurezza avanzate. In qualità di società di consulenza agnostica, non si limita a proporre soluzioni standard, ma analizza nel dettaglio l’infrastruttura esistente di ogni cliente per sviluppare un’architettura su misura. L’obiettivo è garantire un’integrazione ottimale con le tecnologie già in uso, rispondendo in modo preciso alle esigenze operative e di sicurezza.

Picture