Molte organizzazioni si stanno allontanando dall’utilizzo del perimetro della rete come indicatore di affidabilità quando costruiscono e applicano le politiche di accesso per le app e altre risorse IT. Un numero crescente di aziende ha infatti iniziato a implementare soluzioni di autenticazione che eseguono verifiche di identità degli utenti e controlli di sicurezza del dispositivo per ogni tentativo di accesso indipendentemente dalla posizione dell’utente e i dati mostrano che stanno sempre più privilegiando l’autenticazione biometrica.

Il passaggio dall’infrastruttura IT in loco alle applicazioni e ai servizi ospitati nel cloud, unitamente alle policy BYOD (bring-your-own-device) e a un numero crescente di dipendenti in roaming, ha generato sfide importanti per i team di sicurezza IT aziendali nell’ultimo decennio. I primi tentativi di affrontare tali sfide hanno comportato l’uso di soluzioni VPN, NAC (Network Access Control) e MDM (Mobile Device Management) per garantire che i dispositivi utilizzati dai dipendenti remoti siano protetti prima di essere autorizzati nelle reti aziendali interne. Tuttavia, anche i portatori di minacce hanno evoluto le loro tecniche e il movimento dannoso all’interno delle reti aziendali è ormai una componente comune in molte violazioni della sicurezza.

Ciò significa che non è più sufficiente eseguire controlli di sicurezza del dispositivo sul perimetro della rete e quindi consentire a tali sistemi di connessione l’accesso illimitato a tutte le risorse. I dispositivi possono essere compromessi mentre sono già all’interno delle reti e le credenziali possono essere rubate in vari modi.

Verifica utenti e dispositivi

“Fondamentalmente abbiamo capito che non possiamo fidarci di tutto solo perché è all’interno del nostro firewall e solo perché è sulla nostra rete” afferma Wendy Nather, direttore dell’advisory CISO di Duo Security, un fornitore di soluzioni per l’autenticazione a più fattori (MFA) che ora fa parte di Cisco Systems. “Quindi la domanda diventa: di cosa ci fidiamo oggi e cosa dovremmo verificare più di tutto? La risposta è bisogna verificare gli utenti con più attenzione di quanto abbiamo fatto prima; dobbiamo verificare i loro dispositivi e dobbiamo farlo frequentemente (non solo una volta quando li facciamo entrare nel nostro firewall) in base alla sensibilità di quello a cui stanno ottenendo accesso”.

Duo definisce ciò come principio di sicurezza della rete zero-trust e si tratta di un approccio ispirato da precedenti tentativi di de-perimetrazione come quelli del Jericho Forum risalenti al 2004, dell’approccio di sicurezza della rete aziendale BeyondCorp pubblicato nel 2014 da Google e del modello Continuous Adaptive Risk and Trust Assessment (CARTA) di Gartner.

Naturalmente, i perimetri della rete aziendale non scompariranno presto e non è nemmeno necessario che ciò succeda. Ciò che cambia è che le politiche di sicurezza e i controlli di accesso vengono riorientati sull’identità dell’utente e del dispositivo, indipendentemente da dove si trovano quegli utenti e le risorse a cui accedono: nel cloud o on-premise, remoto o locale. E questo influenza anche il modo in cui viene eseguita l’autenticazione e quali metodi e dispositivi di verifica sono preferiti dalle organizzazioni.

Autenticazione biometrica in aumento

Il Duo Trusted Access Report 2019 pubblicato nei giorni scorsi mostra che il 77% dei dispositivi mobili utilizzati per accedere alle applicazioni aziendali ha dati biometrici configurati e che oltre due terzi degli utenti si autenticano utilizzando le applicazioni mobili basate su push piuttosto che metodi più tradizionali come telefonate e SMS. L’uso di codici di autenticazione inviati via SMS, che è ancora un metodo di autenticazione a due fattori ampiamente utilizzato per molti servizi online, è sceso infatti al solo 2,8% tra i clienti di Duo coinvolti nella ricerca.

Autenticazione biometrica

Il report di Duo si basa su un’analisi di mezzo miliardo di richieste mensili di accesso utente da 24 milioni di dispositivi aziendali a oltre 1 milione di applicazioni e risorse aziendali sia in sede che nel cloud. I dati coprono 15.000 organizzazioni di tutti i segmenti industriali.

La società ha inoltre osservato un aumento del 7% del numero di dispositivi iOS utilizzati dai dipendenti aziendali anno su anno e un aumento del 2% nell’utilizzo dei dispositivi Android. Windows rimane il sistema operativo più comune visto sui dispositivi aziendali con il 47%, ma il suo utilizzo complessivo è in realtà diminuito dell’8% rispetto all’anno scorso. La buona notizia è che l’adozione di Windows 10 continua ad aumentare e ora rappresenta i due terzi di tutti i dispositivi endpoint Windows monitorati da Duo.

Quello che iOS, Android e Windows 10 hanno in comune è che supportano tutti una qualche forma di autenticazione basata su dati biometrici: i dispositivi Apple hanno Touch ID e Face ID, Android ha sensori di impronte digitali e Windows 10 ha Windows Hello.

Risposta zero-day

La verifica dell’identità e della sicurezza del dispositivo per ogni richiesta di autenticazione consente inoltre ai team di sicurezza IT di rispondere alle vulnerabilità note pubblicamente e costringere gli utenti ad applicare gli aggiornamenti di sicurezza più rapidamente. Un esempio di ciò è stata una vulnerabilità zero-day in Google Chrome che è stata annunciata alla fine di marzo.

Il giorno in cui la vulnerabilità è stata pubblicizzata, Duo ha osservato un picco del 79% nell’uso delle impostazioni di policy del browser non aggiornate nel suo prodotto. Ciò significa che i team di sicurezza IT hanno utilizzato questa impostazione di policy per rispondere a una minaccia alla sicurezza più rapidamente di quanto sarebbe stato altrimenti possibile attraverso i controlli di accesso alla rete.

Sulla base dei dati di Duo inoltre il browser che è più spesso obsoleto sui dispositivi degli utenti è Microsoft Edge con una percentuale del 73%, seguito da Mozilla Firefox con il 35%, Safari con il 23% e Chrome con il 15%. Per quanto riguarda i sistemi operativi, i dispositivi con Android sono quelli più obsoleti con un tasso del 58% rispetto ai dispositivi iOS al 38%.

L’uso della biometria come forma di autenticazione a due fattori e verifica dell’identità dell’utente non viene solo adottato nello spazio aziendale, ma viene anche spinto dalle autorità di regolamentazione in determinati settori. I nuovi requisiti di sicurezza e autenticazione per i pagamenti online ad esempio entreranno in vigore in Europa a settembre come parte della direttiva riveduta sui servizi di pagamento (PSD2), che impone agli istituti finanziari di verificare le transazioni di carte online con l’autenticazione a due fattori, ad esempio attraverso un’app su smartphone che supportano la verifica biometrica.