Linee guida NIST 800-63-4: un invito all'azione in materia di identità

L'Istituto Nazionale degli Standard e della Tecnologia (NIST) degli Stati Uniti ha pubblicato la sua Pubblicazione Speciale (SP) 800-63-4, l'ultima revisione delle sue Linee guida sull'identità digitale.

La nuova versione 2025 rappresenta un ripensamento fondamentale del significato di "identità digitale sicura" in un'era caratterizzata da video generati dall'intelligenza artificiale e mercati del crimine come servizio, identità sintetichee attacchi digitali sofisticati. Se sei responsabile della verifica dell'identità, dell'autenticazione o della fiducia digitale, queste linee guida non sono solo una risorsa fondamentale, ma anche un invito all'azione.

Questo articolo analizza cosa è cambiato, perché è importante e cosa significa per la tua strategia di identità e i criteri di soluzione.

Perché il NIST ha riscritto le regole (il panorama delle minacce è cambiato completamente)

Si tratta del primo aggiornamento delle Linee guida sull'identità digitale del NIST dal 2017, che precede una trasformazione radicale nel panorama delle minacce con l'esplosione dell'IA generativa e la democratizzazione di sofisticati strumenti di attacco mirati ai sistemi di identità digitale.

Infatti, il panorama delle minacce nel 2025 sarà irriconoscibile rispetto al 2017:

• Gli strumenti per la generazione di deepfake sono ampiamente disponibili e in costante miglioramento.
• Le identità sintetiche generate dall'intelligenza artificiale possono essere indistinguibili da quelle delle persone reali.
• I deepfake vengono trasmessi in streaming su piattaforme di videoconferenza come Zoom e Teams in tempo reale, consentendo agli aggressori di impersonare colleghi e dirigenti durante le chiamate in diretta o di aggirare la verifica delle videochiamate.
• Le telecamere virtuali, la manipolazione dei dispositivi e gli attacchi di iniezione possono aggirare completamente il rilevamento di vitalità scadente.

Il NIST afferma esplicitamente che queste linee guida affrontano il tema del "mutamento del panorama digitale" e dell'aumento delle minacce sofisticate basate sull'intelligenza artificiale. Tutto ciò avviene in un momento in cui un numero crescente di servizi tradizionali di persona si è spostato online.

Il Centro operativo di sicurezza iProov (iSOC) ha documentato un aumento del 704% degli attacchi di face swap dalla prima alla seconda metà del 2023, con un ulteriore aumento del 300% nel 2024.

La lezione è chiara: le organizzazioni non possono più fare affidamento su modelli di sicurezza progettati prima dell'esplosione dell'IA generativa. 

Un cambiamento fondamentale: innalzare gli standard del PAD, introducendo l'IAD

NIST SP 800-63-4 rende Presentation Attack Detection (PAD) obbligatorio per i casi d'uso ad alta sicurezza ai sensi delle IAL2 e AAL2.

Gli standard e le linee guida relativi all'identità digitale si sono storicamente concentrati sul PAD, che non rileva se una persona è fisicamente presente, ma rileva artefatti di presentazione (foto, riproduzioni video o maschere) per determinare: si tratta di un volto reale o falso?

Ecco cosa è cambiato: la definizione di PAD adeguato del NIST ora comprende molto più dei semplici controlli di vitalità di base. Il NIST ora richiede sia il PAD che le protezioni contro gli attacchi di iniezione - attacchi informatici che aggirano la fotocamera di un dispositivo o vengono iniettati in un flusso di dati - come requisiti separati e complementari. Le linee guida richiedono ai verificatori di "determinare le prestazioni, l'integrità e l'autenticità dei sensori e degli endpoint". Il livello di sicurezza richiesto è cambiato radicalmente perché le organizzazioni devono ora occuparsi sia del PAD che dell'IAD.

Il bar è cambiato radicalmente perché ora le organizzazioni devono occuparsi sia della PAD che della IAD.

La maggior parte delle soluzioni biometriche è in grado di gestire gli attacchi di presentazione di base: si tratta di un requisito minimo. Pochissime sono in grado di rilevare quando l'intero flusso di dati è stato compromesso a livello digitale o sostituito all'interno di flussi video nativi, che è esattamente ciò che il NIST ora richiede e ciò che gli aggressori sofisticati stanno facendo.

La conversazione si è evoluta da "avete un sistema di rilevamento della presenza?" a "potete dimostrare che la persona giusta è realmente presente al momento della cattura E che siete in grado di contrastare sofisticati attacchi di iniezione?".

Cosa raccomanda il NIST nelle sue linee guida aggiornate?

Il NIST SP 800-63-4 introduce controlli specifici che cambiano le regole del gioco:

• Per il livello di garanzia dell'identità 2 (IAL2): Le organizzazioni che utilizzano la verifica dell'identità remota asincrona devono implementare il rilevamento degli attacchi di presentazione e analizzare i media alla ricerca di firme di contenuti generati dall'intelligenza artificiale e deepfake.
• Per il livello di garanzia di autenticazione 2 (AAL2): I sistemi di autenticazione che utilizzano la verifica facciale devono implementare il PAD. È fondamentale che i verificatori determinino le prestazioni e l'integrità del sensore e del relativo endpoint per rilevare gli attacchi di iniezione.
• Per il livello di garanzia federale 2 (FAL2): I sistemi devono proteggere da affermazioni false e attacchi di iniezione, in particolare "un aggressore che fornisce contenuti multimediali non attendibili, come un video falso di un utente".

Il NIST ha tracciato una linea netta tra i controlli di vitalità di base e la garanzia di presenza autentica, che include la protezione contro gli attacchi di iniezione e i supporti contraffatti.

Quindi, come si fa a verificare se la propria soluzione è conforme agli aggiornamenti delle linee guida NIST sull'identità digitale?

Convalida indipendente: standard CEN per IAD

Sebbene il NIST stabilisca i requisiti, sono necessari test standard di settore per convalidare le dichiarazioni dei fornitori al di là dell'autocertificazione. Tale standard ora esiste: CEN TS 18099 per il rilevamento degli attacchi di iniezione, l'unico standard di test specificamente progettato per testare la capacità dei sistemi biometrici di rilevare e sconfiggere le minacce basate sull'iniezione.

All'inizio di quest'anno, iProov ha ottenuto la valutazione CEN TS 18099 Livello 2 (Alto), assegnata da Ingenium Biometric Laboratories, un laboratorio indipendente accreditato ISO/IEC 17025. Siamo stati i primi a superare la valutazione di Ingenium perché la nostra architettura è stata appositamente progettata per contrastare gli attacchi di tipo "forged media" e "injection".

L'allineamento tra le linee guida NIST e CEN non è casuale. Quando due autorità indipendenti convergono sullo stesso modello di minaccia, una che stabilisce nuovi requisiti e l'altra che fornisce standard di test, ciò conferma che le minacce basate sull'iniezione sono reali, sofisticate e richiedono difese testate in modo indipendente. CEN TS 18099 fornisce un supporto oggettivo e indipendente alle richieste NIST: protezione contro gli attacchi di iniezione e i supporti contraffatti.

Fai questa domanda...

Ecco come identificare i fornitori di identità resilienti alle minacce dell'IA:

"È possibile dimostrare che un soggetto vivente è realmente presente nel punto di cattura E proteggersi da una serie di sofisticati metodi/strumenti di attacco tramite iniezione?"

Il rilevamento di base della vitalità e la prevenzione dello spoofing fisico da soli non sono sufficienti per soddisfare le linee guida NIST. La prova deve provenire dalla certificazione, convalidata da laboratori di prova accreditati. Assicurarsi che il fornitore sia in grado di dimostrare:

• Come proteggono l'integrità dell'intero flusso di dati e verificano l'integrità dei sensori/endpoint per rilevare gli attacchi di iniezione, come raccomandato dal NIST.
• Quali test standardizzati hanno superato per il rilevamento degli attacchi di tipo injection, non solo quelli dichiarati? 
• Il loro tasso di accettazione degli attacchi di tipo "impostor" (IAPAR) e il suo confronto con le soglie NIST.

Come si allinea l'architettura di iProov

L'approccio di iProov combina tre livelli che corrispondono direttamente agli standard espliciti del NIST:

• Dinamicità® con Flashmark™  fornisce le tecnologie avanzate PAD e IAD richieste dal NIST, confermando in tempo reale la presenza effettiva di una persona reale nel punto di acquisizione. Flashmark crea dati biometrici unici per ogni verifica che non possono essere replicati, rubati o riutilizzati. Abbiamo ottenuto la conformità iBeta PAD con ISO/IEC 30107-3 Livelli 1 e 2 (tasso di successo degli attacchi pari allo 0%) e la la certificazione FIDO Face Verification, raggiungendo un tasso di accettazione della presentazione di attacchi da parte di impostori (IAPAR) pari allo 0%. 
• La piattaforma biometrica basata sulla scienza di iProov analizza l'intero flusso di dati alla ricerca di segni di iniezione, riproduzione e contenuti multimediali generati dall'intelligenza artificiale, rispondendo direttamente al requisito del NIST di proteggere dai "video contraffatti" e dagli attacchi di iniezione. Conforme alla norma CEN TS 18099, l'unico standard al mondo per il rilevamento degli attacchi di iniezione. 
• iSOC fornisce informazioni e monitoraggio sulle minacce 24 ore su 24, 7 giorni su 7: la vigilanza continua raccomandata dal NIST per rilevare le minacce basate sull'intelligenza artificiale in continua evoluzione.

La tabella seguente mette in relazione le prove di allineamento con le linee guida specifiche: 

Questa architettura dimostra come iProov sia il primo e unico fornitore a soddisfare i requisiti di verifica biometrica inclusi nelle nuove linee guida NIST.

Cosa succederà dopo?

Il rilascio della norma NIST SP 800-63-4 sta già influenzando direttamente i processi di approvvigionamento.

Gli architetti della sicurezza devono verificare i flussi di lavoro attuali rispetto a queste linee guida. I team di approvvigionamento e i responsabili delle decisioni devono comprendere i requisiti tecnologici sia per il PAD che per l'IAD. Il progetto è cambiato e le organizzazioni sono ora autorizzate a porre domande informate ai propri fornitori di sistemi biometrici. 

Nel prossimo articolo di questa serie, vi forniremo un quadro pratico per verificare la conformità della vostra soluzione biometrica attuale o futura allo standard NIST SP 800-63-4.

Come si colloca la tua attuale procedura di verifica dell'identità? 

• Utilizza il nostro strumento interattivo di valutazione dei fornitori di servizi di sicurezza
• Scarica il nostro eBook gratuito eBook "Come valutare un fornitore di soluzioni biometriche" 
• Prenota una demo consultiva con uno dei nostri esperti per una consulenza specializzata.