CEN/TS 18099: lo standard che dimostra la resilienza agli attacchi di tipo injection

Nel nostro precedente post abbiamo esaminato come le linee guida aggiornate NIST SP 800-63-4 sull'identità digitale stiano alzando il livello della verifica biometrica. iProov è stato il primo fornitore a dimostrare la resistenza al deepfake secondo le nuove linee guida.

Un requisito spiccava in particolare nelle linee guida NIST: le organizzazioni devono ora dimostrare la resistenza sia agli attacchi di presentazione e deepfake . È proprio quest'ultima categoria a mettere a tacere molti fornitori.

NIST, l' Agenzia dell'Unione europea per la sicurezza informatica (ENISA), l' ANSSI e il BSI tedesco hanno tutti lanciato l'allarme sui rischi degli attacchi di tipo injection. Le nostre informazioni sulle minacce mostrano che sono aumentati del 740% su iOS nel 2025. A differenza degli attacchi di presentazione, che richiedono una presenza fisica, gli attacchi di iniezione possono essere automatizzati e scalati su migliaia di tentativi contemporaneamente.

Il CEN/TS 18099 fornisce finalmente il quadro di validazione indipendente per dimostrare la la resilienza agli attacchi di iniezione deepfake, andando oltre le affermazioni dei fornitori.

Perché era necessario il nuovo standard

Il sistema di rilevamento degli attacchi di presentazione (PAD) dispone di framework di test consolidati. ISO/IEC 30107 definisce come valutare se un sistema biometrico è in grado di rilevare foto, maschere e riproduzioni video mostrate alla telecamera. 

La certificazione PAD è diventata una scommessa obbligata; gli attacchi di iniezione sono più sofisticati. Un fornitore può possedere la certificazione PAD e avere comunque una resilienza pari a zero agli attacchi di iniezione. I due vettori di attacco richiedono metodologie di test fondamentalmente diverse. La norma ISO 30107 non è stata progettata per affrontare questa categoria di minacce.

Quando esaminiamo il modo in cui molti fornitori affrontano gli attacchi di tipo injection, le risposte rientrano solitamente in tre categorie: documentazione relativa ai test interni, diagrammi architetturali con frecce rassicuranti o programmi di "ricompensa per lo spoofing" in ambienti non di produzione. Queste valutazioni si basano spesso su framework proprietari non sviluppati da organismi di normazione riconosciuti, il che significa che i risultati non possono essere confrontati tra le diverse soluzioni.

Questo è importante perché gli attacchi di tipo injection sono progettati per eludere il rilevamento. Non generano gli stessi avvisi degli attacchi di tipo presentation. Le organizzazioni possono subire compromissioni sistematiche senza rendersene conto. L'onboarding funziona ancora, le metriche di conversione sembrano sane e la frode si espande silenziosamente fino a quando qualcuno non chiede delle prove.

Gli attacchi di tipo injection sono sofisticati perché operano su due fronti contemporaneamente: il meccanismo di distribuzione è progettato per essere invisibile all'applicazione, mentre il contenuto iniettato è studiato per ingannare qualsiasi controllo si trovi dall'altra parte. Difendersi da uno senza l'altro espone le organizzazioni a rischi.

Il Comitato europeo di normalizzazione (CEN) ha riconosciuto questa lacuna e ha sviluppato la CEN/TS 18099: la prima specifica tecnica formale dedicata al collaudo dei sistemi biometrici contro gli attacchi di iniezione. 

Come funziona la norma CEN/TS 18099

Lo standard distingue due componenti di un attacco di tipo injection:

• Metodo di attacco tramite iniezione (IAM): Come viene sferrato l'attacco. Ciò include lo sfruttamento delle librerie software, la manipolazione del traffico di rete, l'uso di emulatorio agganciandosi alle funzioni di sistema per intercettare e sostituire i dati biometrici.
• Strumento di attacco tramite iniezione (IAI): Cosa viene consegnato. Il volto sintetico, il video deepfake o la sequenza di immagini manipolate che l'autore dell'attacco vuole che il sistema accetti come autentici.

I valutatori cercano di stabilire diversi metodi di attacco contro il sistema bersaglio. Laddove i metodi di attacco hanno successo, forniscono una serie di strumenti di attacco per valutare le capacità di rilevamento.

Questo approccio in due fasi rivela dove operano effettivamente le difese. Alcuni sistemi possono consentire l'implementazione di metodi di attacco, ma rilevano gli strumenti dannosi. Altri possono bloccare il percorso dell'attacco stesso, impedendo completamente la consegna dello strumento. La distinzione è importante per comprendere la profondità della protezione fornita.

Cosa ha rivelato la valutazione della soluzione di iProov?

iProov ha sottoposto Dynamic Liveness alla valutazione indipendente di Ingenium Biometric Laboratories, una struttura accreditata ISO/IEC 17025 che funge da laboratorio biometrico indipendente del Regno Unito per la National Protective Security Authority. I test sono stati condotti in base ai requisiti di rilevamento degli attacchi di iniezione di livello 4 di Ingenium, che superano il livello più alto (CEN High) della norma CEN/TS 18099 in termini di portata e rigore.

Ingenium Livello 4 si basa sui requisiti delineati nella norma CEN/TS 18099, fornendo una maggiore garanzia attraverso test estesi e tipi di attacchi complessi. La valutazione di 40 giorni ha preso in esame almeno tre metodi distinti di attacco di iniezione e quindici strumenti di attacco. 

Durante i test, non è stato possibile stabilire con successo alcun metodo di attacco tramite iniezione. Poiché le vie di attacco sono state bloccate, il laboratorio non è mai riuscito a fornire gli strumenti di attacco. I volti sintetici e i video deepfake non avevano alcuna possibilità di essere utilizzati.

Ciò rappresenta un approccio alla sicurezza fondamentalmente diverso. Anziché cercare di rilevare i contenuti dannosi dopo che sono entrati nel sistema, Dynamic Liveness impedisce fin dall'inizio la creazione del percorso di iniezione.

È fondamentale sottolineare che questo livello di protezione è stato raggiunto senza compromettere l'esperienza dell'utente. Il tasso di errore nella classificazione delle presentazioni autentiche (BPCER), ovvero la percentuale di utenti legittimi erroneamente respinti, è stato solo dell'1,3%, ben al di sotto della soglia del 15% richiesta dallo standard.

Dynamic Liveness è la prima e unica soluzione ad aver ottenuto la valutazione Ingenium Level 4.

Oltre il CEN: il quadro più ampio della convalida

La norma CEN/TS 18099 affronta specificatamente gli attacchi di tipo injection, ma una garanzia completa dell'identità richiede una convalida su più categorie di minacce. Per le organizzazioni che definiscono criteri di approvvigionamento basati sulla norma NIST 800-63-4, il quadro completo include:

• Convalida PAD: Conformità alla norma ISO/IEC 30107-3 attraverso test accreditati (come iBeta Livelli 1 e 2) e Certificazione FIDO Face Verification per attacchi di presentazione, inclusi i deepfake presentati.
• Convalida IAD: Valutazione CEN/TS 18099 per la resilienza agli attacchi di tipo injection.
• Sicurezza operativa: Certificazioni ISO 27001, SOC 2 e CSA STAR per la protezione dei dati e i processi di sicurezza.
• Inclusività: Conformità WCAG 2.2 AA e Section 508, lo standard di best practice per l'accessibilità nelle esperienze digitali.

Insieme, questi elementi forniscono la base probatoria richiesta dal NIST: non le affermazioni dei fornitori, ma la convalida da parte di terzi in relazione al panorama delle minacce che le organizzazioni devono affrontare.

Considerazioni finali sulla norma CEN/TS 18099 e sul "divario di convalida" 

La norma CEN/TS 18099 rappresenta il punto di riferimento per i test sugli attacchi di tipo injection, ma l'orientamento normativo è globale. La norma ISO 25456, attualmente in fase di sviluppo, estenderà i requisiti di rilevamento degli attacchi di tipo injection a livello internazionale. Le organizzazioni che si adeguano ora si posizionano in anticipo rispetto alla pressione normativa, invece di affrettarsi quando i requisiti diventano più severi.

Per gli architetti della sicurezza, i team di approvvigionamento e i responsabili della conformità, la domanda è cambiata: non è più sufficiente chiedere se un fornitore dispone di un sistema di rilevamento dei deepfake. La domanda è se sono in grado di dimostrare, attraverso test indipendenti e conformi agli standard, che la loro soluzione è in grado di contrastare gli attacchi di deepfake ora evidenziati nelle Linee guida sull'identità digitale del NIST.

La domanda che mette in discussione le affermazioni dei fornitori è semplice: quale laboratorio indipendente ha testato tale funzionalità, in base a quale standard e a quale livello? Se non viene pubblicata alcuna risposta, la funzionalità non è verificata. È solo una supposizione.

Con iProov, le prove sono pubblicate, la metodologia è trasparente e i risultati sono disponibili per la revisione. 

Il tuo attuale fornitore può dire lo stesso?

• Per ulteriori informazioni sulla valutazione CEN/TS 18099 di iProov o per richiedere il rapporto indipendente di Ingenium, contattaci.
• Scopri di più sulle certificazioni biometriche e di identità e perché sono importanti.