Questo articolo di blog potrebbe apparire contradditorio, ma non è così. Sono almeno un paio di anni che predichiamo la buona novella del Multi Factor Authentication, l’autenticazione multifattoriale, come la via, giusta e urgente, per alzare l’asticella della sicurezza informatica e dei dati.
E non vogliamo rinnegare nulla. I nostri successi di comunicazione in tal senso parlano da soli.
Il Comune di Bologna, al nostro evento del 12 ottobre 2023 sulla Sicurezza informatica, ha raccontato che grazie al servizio PAM, da noi installato e configurato, ha abilitato in un colpo solo l’MFA su 700 server. Un bel passo in avanti.
Un nostro cliente di dimensioni mondiali ha lanciato una campagna di fishing sui propri utenti: oltre un terzo dei dipendenti ha fornito le proprie credenziali di accesso alla rete al “falso capo” che gliele domandava. Dopo questi test ha deciso di implementare l’MFA su tutti gli utenti. Anche questo è un bel passo in avanti.
Però c’è un annuncio che dobbiamo fare: l’MFA è bucabile.
Sì, l’abbiamo detto. L’autenticazione multifattoriale non è una garanzia, soprattutto se non si prestano le dovute attenzioni.
Autenticazione a più fattori: VPN, ZTNA e casi reali
Facciamo un esempio reale di autenticazione multifattoriale bucabile partendo dal concetto di man in the middle.
Pensate ai vostri utenti che accedono con un multifactor authentication ad un servizio applicativo SAAS, come 365 o SAP. Un pirata si inserisce tra l’utente e la destinazione con un sito falso, ma uguale a 365, ad esempio. Recepisce il codice OTP e lo utilizza immediatamente per entrare nel vero sito ed esfiltrare i dati. È possibile. È accaduto.
Quindi, la soluzione è migliorare la sicurezza ai collegamenti client VPN applicando l’MFA sugli stessi? Non corretto.
La soluzione è nei sistemi a ZTNA. Le ZTNA – Zero Trust Network Access – sono soluzioni di sicurezza informatica che consentono l’accesso solo a servizi o applicazioni specifiche definite in via pregressa. A differenza delle VPN, non permettono l’accesso all’intera rete e questo limita l’accessibilità di un pirata a tutte le risorse di rete. Magari avremo modo di approfondire l’argomento in futuro.
A questo punto potreste pensare che l’MFA non serve a niente. Non è questo il messaggio, anche perché noi in primis lo utilizziamo tutti i giorni. Il messaggio è: l’autenticazione multifattoriale è utile, indispensabile, ma non è la soluzione a tutti mali, bisogna sempre conoscere e alzare l’asticella della sicurezza.
Il punto che tutti i produttori offrono è l’agent sul device. Sarà l’MFA? Questo non è ancora dato saperlo, ma è sempre meglio averlo implementato.
Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology
