Imprivata: perché l’autenticazione a più fattori non basta

La gestione degli accessi della catena di fornitura non può essere trattata come un progetto una tantum e di mera protezione.

autenticazione a più fattori

Gilberto Bonutti, Regional Sales Manager & Head of Italy di Imprivata, spiega perché, seppur importante, la sola autenticazione a più fattori non è più sufficiente.

Man mano che le organizzazioni esternalizzano operazioni sempre più critiche come il supporto IT, lo sviluppo software e la gestione di alcuni processi aziendali, l’accesso ai sistemi dei fornitori è diventato uno dei vettori d’attacco più comuni e pericolosi. Quasi la metà delle organizzazioni, precisamente il 47%, ha subìto una violazione o un attacco che coinvolgeva un vendor esterno.

Gli incidenti di alto profilo, come quello recente di Conduent e Volvo Group North America, non sono diventati solo delle notizie, ma soprattutto illustrano perfettamente la posta in gioco e confermano la sequenza di falle che si ripete con inquietante regolarità. Tutto ciò nonostante, l’origine di molte di queste compromissioni sia ormai ben nota ed è spesso riconducibile a dinamiche relativamente semplici: un account di un fornitore con accesso legittimo, ma privo di adeguate misure di protezione, a partire dall’autenticazione a più fattori (MFA), viene compromesso dagli attaccanti tramite phishing, riutilizzo di password, credential stuffing o malware.

L’impatto reale di una violazione che passa per la supply chain va ben oltre l’intrusione iniziale, dal momento che ci sono costi diretti legati alla risposta all’incidente, remediation, esposizione legale e normativa, downtime, notifiche ai clienti, ma anche la perdita di fiducia, l’abbandono dei clienti, ritardi nei progetti e mesi di lavoro speso a rivalutare le relazioni con i vendor. Tutte conseguenze indirette, eppure di lungo periodo e con ricadute anche sul conto economico fino a centinaia di migliaia di euro.

Cosa ostacola la protezione?

Indubbiamente gestire gli accessi di terze parti è complesso dal momento che ogni organizzazione dipende anche da fornitori, e molti di questi hanno bisogno di accedere ai sistemi. Questa dipendenza crea una tensione costante tra l’abilitazione a un accesso rapido e il controllo del rischio. In particolare alcune sfide mettono costantemente in difficoltà le imprese e gli enti:

Troppi vendor, troppo poca visibilità

La maggior parte delle aziende ha decine e, in settori come il manifatturiero o le utilities, anche centinaia di vendor o provider. Senza un inventario affidabile di chi ha accesso a cosa, i team di sicurezza sono costretti a operare per assunzioni. E se non si riesce a rispondere con certezza alla domanda “chi ha accesso?”, diventa quasi impossibile rispondere a “chi non dovrebbe averlo?”;

Responsabilità poco chiare e processi incoerenti

La gestione degli accessi di terze parti ricade spesso in una zona grigia tra IT, sicurezza, procurement e le business unit che “trattengono” la relazione con il vendor. Quando nessun team ha chiaramente in mano la governance degli accessi end-to-end, i controlli diventano frammentati e il risultato è un insieme di inefficienze costose e lacune rischiose;

Accessi sovradimensionati e soluzioni legacy

Molte organizzazioni estendono ai vendor i modelli di accesso pensati per i dipendenti interni come VPN e permessi statici che rimangono attivi per mesi o anni, rendendo disponibili perimetri molto più ampi del necessario perché è più rapido concederli che definirne con precisione i confini;

Gestione debole delle credenziali

L’MFA è essenziale, ma la sicurezza dell’identità va oltre. Le domande difficili sono: questa è ancora la stessa persona approvata mesi fa? Sappiamo con certezza che lavora ancora per quel vendor? Si collega da posizioni e dispositivi attesi? Il suo comportamento è coerente con il suo profilo? Gli attaccanti amano gli account vendor perché si confondono con le operazioni ordinarie e, sempre più spesso, non hanno nemmeno bisogno della password. Il furto di token e il session hijacking consentono all’avversario di “diventare” un utente legittimo senza bypassare le difese tradizionali;

Pressione operativa

In aziende ad alta criticità come l’industry, i servizi finanziari o le energy utilities, il downtime è intollerabile. Quando una linea si ferma o un servizio di erogazione del gas viene interrotto, le richieste di accesso diventano urgenti e questo inevitabilmente apre a scorciatoie e ad approvazioni frettolose. Accessi vulnerabili che quasi mai vengono revocati dopo la crisi.

Best practice di una strategia efficace di accesso ai vendor

Una migliore gestione del rischio vendor si fonda su una strategia proattiva, non su reazioni ad hoc. L’obiettivo è consentire ai fornitori di svolgere il lavoro necessario in modo rapido ed efficace, riducendo al contempo il rischio e limitando i danni in caso di compromissione di un account.

E per costruire una strategia di accesso ai vendor davvero efficace servono regole chiare, controlli continui e governance proattiva. In particolare:

  • mantenere un inventario aggiornato dei vendor e dei relativi accessi;
  • assegnare ownership precise tra sicurezza e business owner;
  • adottare identità nominali univoche ed eliminare gli account condivisi;
  • imporre MFA resistente al phishing e controlli di accesso basati sul rischio;
  • applicare il principio del minimo privilegio con accessi just-in-time;
  • separare i percorsi di accesso dei fornitori da quelli dei dipendenti;
  • monitorare attività e sessioni con audit accessibili ai team di incident response;
  • prevedere scadenza automatica degli accessi e riapprovazioni periodiche.

Queste pratiche rappresentano ormai il fondamento di una gestione sicura degli accessi da parte di terzi, soprattutto in un contesto in cui l’AI rende phishing e pretexting sempre più convincenti, contestuali e rapidi. Allo stesso tempo, minacce come il furto di token, il session hijacking e le tecniche di aggiramento dei flussi di autenticazione impongono una verifica continua di identità, privilegi e comportamenti anomali. Un diktat ormai anche alla luce della velocità con cui le vulnerabilità vengono sfruttate dopo la disclosure, grazie a scanning automatizzati e a catene di exploitation sempre più accessibili.

È per questo che la gestione degli accessi della catena di fornitura non può essere trattata come un progetto una tantum e di mera protezione. I vendor sono e rimarranno indispensabili, è indubbio, quindi l’obiettivo deve diventare rendere il loro accesso sicuro, osservabile e resiliente, così che la prossima (inevitabile) intrusione non si traduca in conseguenze rilevanti e prolungate.