19 maggio 2023

Man mano che le organizzazioni si trasformano digitalmente per ampliare l'accesso ai servizi online, la sfida si sposta dal consentire l'accesso alla protezione delle persone dai criminali informatici. Gli attori delle minacce sono in continuo sviluppo e utilizzano strumenti e tecniche di livello aziendale in modi sempre più sofisticati per aggirare i sistemi di sicurezza che li proteggono.

Purtroppo, molte organizzazioni commettono un errore cruciale in materia di cybersecurity: destinano le risorse a metodi di sicurezza standardizzati, reagendo costantemente alle violazioni e alle credenziali compromesse, invece di adottare misure preventive a prova di futuro.

Oggi parliamo con Matt Welch, responsabile dell'intelligence delle minacce di iProov. Dopo 16 anni di servizio nelle Forze Armate canadesi, Matt ha alle spalle una lunga esperienza nella guida e nella consulenza di dipartimenti globali di Threat Intelligence. Ora, presso iProov, Matt studia l'evoluzione del panorama delle minacce biometriche e gli attori che vi si celano, sviluppando al contempo strutture per combattere i tipi di minaccia.

Abbiamo incontrato Matt per capire meglio lo stato macro della cybersecurity nel primo trimestre del 2023.

Comprendere l'evoluzione delle minacce nel primo trimestre del 2023

D: Matt, quali tendenze ed evoluzioni hai riscontrato quest'anno nel campo della sicurezza informatica?

R: È stato osservato un cambiamento nelle tattiche di un prolifico attore di minacce, il gruppo che è stato soprannominato Scattered Spider da Crowdstrike. È interessante notare che si stanno concentrando sul phishing, in particolare sulle e-mail di phishing e sui domini di phishing. Il phishing è una forma di minaccia comune e consolidata, che mira a indurre le persone a rivelare le proprie informazioni personali, ma è ancora notevolmente efficace contro le organizzazioni che si affidano alle credenziali per la sicurezza delle informazioni. Per saperne di più su questa tendenza, si può leggere l'ultimo rapporto di crowdstrike qui.

Il punto chiave è che gli attori delle minacce si rendono conto che le credenziali sono ancora il frutto più facile da ottenere. Spesso non è nemmeno necessario il phishing; gli attori delle minacce possono facilmente ottenere credenziali compromesse, poiché molte sono già sparse nella darknet. Possono quindi utilizzare attacchi di credential stuffing per vedere a quali altri account possono accedere con queste informazioni.

La conclusione è che, poiché molte organizzazioni utilizzano protocolli di autenticazione a più fattori, gli altri tipi di autenticazione - "qualcosa che si possiede" e "qualcosa che si conosce" - verranno naturalmente attaccati dopo il furto delle credenziali. Se un'organizzazione impiega l'autenticazione a più fattori (MFA) e gli attori delle minacce stanno raccogliendo le credenziali attraverso il phishing, logicamente gli altri fattori di autenticazione saranno attaccati successivamente.

Questo è, in parte, il motivo per cui la tecnologia biometrica è diventata essenziale: sebbene sia possibile raccogliere e condividere facilmente credenziali compromesse, non è possibile catturare e utilizzare la presenza autentica del volto di qualcuno. La buona notizia è che "qualcosa che sei" può essere incredibilmente difficile da violare, a differenza di "qualcosa che sai" o "che possiedi".

Il problema dei metodi di autenticazione basati sulle credenziali e l'enfasi fuori luogo su "qualcosa di proprietà".

D: Quindi, Matt, le credenziali sono minacciate da una rinnovata attenzione al phishing. Cosa si può dire degli altri fattori di autenticazione?

R: Sì, gli attori delle minacce si concentrano attualmente sulle credenziali. Ma man mano che sempre più organizzazioni implementano l'autenticazione a più fattori, volgeranno lo sguardo verso gli altri fattori utilizzati per proteggere l'MFA.

Ma il punto più importante è che i protocolli MFA garantiti da fattori "propri", come i codici di accesso unico (OTP), non sono una soluzione a lungo termine. I criminali informatici hanno sconfitto queste tecnologie di verifica tradizionali, il che ha portato alla mercificazione di quelle che un tempo erano considerate opzioni sicure (per maggiori informazioni sui rischi degli OTP, ad esempio, potete leggere qui).

Gli OTP sono un passo avanti rispetto alle password e spesso offrono un livello di sicurezza superiore rispetto all'autenticazione basata sulle credenziali. Tuttavia, i fattori basati sul possesso sono sempre più suscettibili e possono essere rubati o intercettati. Non si tratta di una pallottola d'argento.

Più in generale, direi che l'eccessiva dipendenza dall'autenticazione basata su credenziali e possesso ha portato a un circolo vizioso in cui le organizzazioni sono bloccate in uno stato di reazione e rilevamento delle minacce piuttosto che di prevenzione, creando un "settore" di oneri amministrativi nella sicurezza delle informazioni.

La dicotomia del tipo di controllo: Prevenzione vs. Rilevamento

D: Matt, cosa si può fare per combattere le minacce ai sistemi di autenticazione?

R: In generale, le organizzazioni sono troppo concentrate su ciò che le danneggia in questo momento: stanno costantemente spegnendo gli incendi dovuti a password deboli e all'autenticazione basata sul possesso, quindi i professionisti della sicurezza informatica sono troppo occupati (o non hanno tutte le informazioni necessarie) per rendersi conto che c'è un modo migliore.

La tecnologia biometrica offre un approccio migliore alla sicurezza. L'adozione di un prodotto maturo e affidabile, che assicura l'identità autentica di un utente remoto, offre un'efficienza unica.

La sicurezza informatica può essere suddivisa in controlli preventivi e controlli investigativi. La cybersecurity si è tradizionalmente concentrata sui controlli investigativi, che sono incredibilmente costosi.

Pensate a questo: è la differenza tra pagare qualcuno che giri per il vostro edificio per vedere se qualcuno è entrato e chiudere semplicemente la porta. In questa analogia, la biometria è la serratura, che blocca la maggior parte dei problemi nella fase iniziale. In questo senso, la tecnologia iProov è la misura preventiva per eccellenza.

Inoltre, il costo di un sistema maturo di capacità di cybersecurity in una data organizzazione è astronomico; elementi come un centro operativo di sicurezza (SOC), il personale, la risposta agli incidenti, l'outsourcing, le API, le integrazioni e le piattaforme di intelligence sulle minacce si sommano. Ma il costo di una soluzione biometrica resiliente è molto più basso.

iProov offre l'iProov Security Operations Centre (iSOC) come parte della sua soluzione biometrica. Attraverso l'iSOC, iProov monitora il traffico in tempo reale per rilevare gli schemi di attacco su più aree geografiche, dispositivi e piattaforme. iSOC fornisce la profondità della visibilità e l'ampiezza del controllo come se steste sviluppando la vostra tecnologia interna, con il vantaggio di non avere costi aggiuntivi. Tutte le soluzioni sono supportate, migliorate e aggiornate senza tempi, costi o risorse aggiuntive.

Inoltre, questi attori delle minacce sanno che i dipendenti lasciano il lavoro per il fine settimana a una determinata ora del venerdì, quindi coordinano i loro attacchi in base a tale orario. Ecco perché i processi automatizzati sono fondamentali.

In definitiva, un processo MFA che incorpori la giusta tecnologia biometrica per garantire una presenza autentica elimina una quantità colossale di dolore e stress, concentrandosi sulla prevenzione.

Riflessioni conclusive sulle tendenze dell'intelligence delle minacce

D: Grazie Matt! Qualche idea conclusiva?

R: Le persone devono capire che è incredibilmente difficile identificare gli attacchi di IA generativa come i deepfake o, più recentemente, i face swap, soprattutto a occhio nudo. L'output fraudolento può sembrare del tutto realistico e molto diverso dall'input reale. Non possiamo affidarci solo alle persone per individuare gli attacchi di IA.

Nota: in un sondaggio di iProov, il 57% degli intervistati a livello globale ha dichiarato di essere in grado di distinguere un video reale da un deepfake, in aumento rispetto al 37% del 2019. Tuttavia, IDIAP ha rivelato che in realtà solo il 24% dei partecipanti al suo studio è in grado di rilevare un deepfake. Un deepfake di alto livello può essere davvero indistinguibile dalla realtà per l'occhio umano.

Se consideriamo le diverse soluzioni biometriche, queste possono fornire livelli molto diversi di garanzia che una determinata autenticazione sia un essere umano in carne e ossa e non una contraffazione. Per questo è necessario informarsi sui diversi tipi di liveness e sulle tecnologie disponibili - le differenze tra single frame, multi-frame, passivo, attivo e così via - e sul motivo per cui c'è bisogno di una soluzione mission-critical.

La domanda "come possiamo essere sicuri dell'identità di una persona online?" è un argomento estremamente importante e serio, e non è destinata a scomparire. Un'autenticazione e una verifica deboli significano frontiere più deboli nei punti di viaggio, conti online compromessi, sicurezza delle informazioni più debole e molto altro ancora. Mi preoccupa il fatto che per alcuni la biometria sia ancora considerata fantascienza, perché è reale, è necessaria e serve ora più che mai.

Ricordiamo che il nostro ultimo rapporto, "iProov Biometric Threat Intelligence", è il primo del suo genere. All'interno, vengono illustrati i principali modelli di attacco previsti per il 2023. Evidenzia modelli di attacchi biometrici in produzione precedentemente sconosciuti, in modo che le organizzazioni possano prendere decisioni informate su quale tecnologia e quale livello di sicurezza implementare. Leggete il rapporto completo qui.

Osservazioni sull'intelligence delle minacce e sulla verifica dell'identità con l'intervista di Matt Welch