White paper. RSA Authentication Decision Tree: come scegliere la soluzione di autenticazione più appropriata

Transcript

1 White paper RSA Authentication Decision Tree: come scegliere la soluzione di autenticazione più appropriata

2 Qual è la soluzione di autenticazione migliore per la tua azienda? La domanda circola con frequenza fra le organizzazioni di tutto il mondo. Di fronte alla grande quantità di prodotti per la sicurezza, nuovi o emergenti, salutati di volta in volta dagli analisti come la soluzione realmente risolutiva, è fondamentale fare chiarezza sulla varietà di opzioni di autenticazione disponibili sul mercato. Per arrivare a individuare la soluzione che garantirà risultati ottimali, le organizzazioni devono innanzitutto considerare le loro esigenze in fatto di autenticazione degli utenti, le minacce a cui è potenzialmente esposto il loro business, gli obiettivi aziendali e le normative che regolano il loro settore. RSA ha sviluppato Authentication Decision Tree, uno strumento completo che aiuta le aziende a comprendere, valutare e selezionare la soluzione di autenticazione più appropriata alle esigenze degli utenti e del business. RSA Authentication Decision Tree fornisce un framework che permette di restringere il panorama delle soluzioni di autenticazione in base a cinque fattori chiave. Questo white paper offre una panoramica dei cinque fattori chiave che dovrebbero essere considerati per l individuazione della soluzione di autenticazione più appropriata ed equilibrata considerando il rischio, il costo e la praticità d'utilizzo. Perché scegliere l'autenticazione forte La protezione dell'accesso alle informazioni e la verifica delle identità degli utenti che richiedono tale accesso sono elementi chiave di qualsiasi iniziativa di sicurezza. Se, in precedenza, era soprattutto l'esigenza di garantire accesso remoto sicuro alle informazioni a favorire l'adozione di tecnologie di autenticazione degli utenti, una serie di ulteriori motivi alimenta oggi una crescente domanda di autenticazione forte aziendale. Passaggio di nuove applicazioni aziendali al sistema online. Avendo ravvisato nuove opportunità di business e di riduzione dei costi con l accesso online alle informazioni aziendali, molte organizzazioni hanno cominciato a offrire applicazioni di business Web-based. Incremento della richiesta di accesso aziendale da remoto. La natura globale del business e la mobilità della forza lavoro hanno spinto molte organizzazioni a fornire accesso ininterrotto da qualsiasi luogo per stimolare la produttività dei dipendenti. Privilegi di accesso a nuove comunità di utenti. I rapporti con collaboratori esterni, partner e fornitori esigono oggi accesso on-demand a informazioni proprietarie quali previsioni di vendita, dati sulla concorrenza, tabelle dei prezzi, inventario e dati sui clienti. Diffusione dei portali per l acenso clienti. Aumenta la domanda di accesso in tempo reale con possibilità da parte dei clienti di gestire online i propri account. Conformità normativa. Nel corso degli ultimi anni, si sono susseguiti interventi normativi che impongono alle organizzazioni di adottare misure idonee a impedire l'accesso non autorizzato alle informazioni. Minacce sofisticate. A seconda dell'utente e della natura delle informazioni, esistono varie minacce e rischi la cui prevenzione richiede l'adozione di sistemi di autenticazione forte. Per gli utenti aziendali, le organizzazioni devono fornire l'autenticazione forte per proteggersi dal rischio di accesso non autorizzato alle informazioni critiche e contrastare quello di minacce interne. Per i clienti, le organizzazioni devono fornire misure di protezione proattiva contro minacce quali phishing, Trojan horse e altre forme di malware. Lo stato attuale dell'autenticazione utente Nonostante l'autenticazione basata solo su password sia ampiamente riconosciuta come insufficiente a garantire la sicurezza, l'utilizzo di una semplice password come mezzo per verificare le identità degli utenti rimane dominante. Tuttavia questo metodo di autenticazione, un tempo considerato sostanzialmente a costo zero, è diventato progressivamente più dispendioso in termini di costi continuativi di gestione e di supporto. Stando ai dati raccolti da Forrester Research, il costo dell help desk relativo all'intervento per una singola reimpostazione di password è di circa 55 euro. 2

3 A complicare la scelta della migliore strategia di autenticazione forte, continuano ad affacciarsi sul mercato sempre nuovi metodi di autenticazione. Se, nell'ambiente aziendale, gli autenticatori hardware continuano a rappresentare il metodo dominante per la protezione delle risorse societarie, la mobilità dei dipendenti e la diffusione dei cellulari e dei PDA hanno generato un aumento della domanda di autenticatori software. Nei portali orientati ai consumatori, l'autenticazione risk-based e quella knowledgebased sono diventati meccanismi di sicurezza comuni, grazie alla facilità d'uso e alla scalabilità a basi utenti molto estese. Di fronte alla profusione di soluzioni di autenticazione disponibili sul mercato, le organizzazioni hanno difficoltà a definire una strategia di autenticazione adeguata. Per molte di esse è peraltro possibile selezionare più opzioni di autenticazione, in base a fattori quali la base utenti, il valore delle informazioni da proteggere, la portabilità e l'esperienza utente. RSA ha sviluppato Authentication Decision Tree proprio allo scopo di aiutare le organizzazioni a compiere la scelta migliore, valutando obiettivamente le alternative e allineando le esigenze degli utenti con quelle di business. Fattori chiave da considerare per la definizione di una strategia di autenticazione Cinque sono i fattori chiave da considerare per definire una strategia di autenticazione adeguata: Il valore delle informazioni da proteggere La forza dell'autenticazione utente da implementare L utilizzo pianificato Le esigenze degli utenti L ambiente tecnico Il valore delle informazioni da proteggere Il primo fattore da considerare è il valore delle informazioni da proteggere e il costo dell'accesso non autorizzato ad esse. Le informazioni aziendali proprietarie, i dati relativi ai conti bancari e alle carte di credito, le cartelle sanitarie o le Informazioni personali identificabili (PII) sono tutti tipi di informazioni che possono essere considerate di valore elevato. L'accesso non autorizzato a tali informazioni potrebbe essere costoso (si pensi a una banca che debba farsi carico dei costi di trasferimento di fondi dei clienti non autorizzati) e dannoso per il brand e la reputazione dell'azienda. Più alto è il valore delle informazioni, maggiore è il rischio corso dall'organizzazione in caso di accesso ai dati da parte di un utente non autorizzato e più forte è il tipo di autenticazione richiesto per proteggerle. La forza dell'autenticazione utente da implementare L'esame della base utenti e delle informazioni cui questa può accedere può aiutare le organizzazioni a determinare il livello di autenticazione da applicare. Ad esempio, le organizzazioni non possono imporre l'autenticazione ai propri clienti, la scelta della soluzione dovrebbe essere improntata alla praticità e alla disponibilità all'adozione da parte dei clienti stessi. Nel caso dei dipendenti e dei partner, invece, le organizzazioni hanno più controllo sui tipi di autenticazione da implementare e saranno più propense pertanto a considerare caratteristiche quali la portabilità, il Total Cost of Ownership (TCO) e la gestibilità complessiva. Utilizzo pianificato Quando le organizzazioni implementano una soluzione di autenticazione, gli obiettivi da rispettare sono in genere molteplici. In altri termini, a seconda dell'utente e del tipo di attività eseguite, un'organizzazione potrebbe ravvisare la necessità di aggiungere ulteriori livelli di autenticazione alla semplice verifica delle identità. Ad esempio, un istituto finanziario che intenda diminuire le perdite per frodi potrebbe implementare una soluzione di monitoraggio delle transazioni per controllare i trasferimenti di denaro a rischio elevato. Un altro caso da considerare è rappresentato dagli utenti aziendali. Un'organizzazione con gruppi di utenti che utilizzano e scambiano informazioni altamente riservate quali dati sul personale, di retribuzione o finanziari potrebbe richiedere una soluzione di autenticazione che supporti la crittografia dei file e della posta elettronica. Le esigenze degli utenti Quando si distribuisce una soluzione di autenticazione ad una base utenti, vi sono numerosi fattori da considerare a seconda della tipologia stessa di tale bacino di utenza. Dal punto di vista dell'utente, le organizzazioni devono tenere conto di elementi quali la facilità di utilizzo, la disponibilità all'adozione e le informazioni a cui l'utente dovrà accedere. Dal punto di vista dell'organizzazione stessa, si devono tenere conto di altri fattori, quali il Total Cost of Ownership (TCO), le esigenze di formazione, la scalabilità e la mobilità delle soluzioni. Ambiente tecnico Altro elemento importante è, infine, l'ambiente tecnico in cui la soluzione verrà distribuita, essenziale per stabilire, ad esempio, il livello di forza dell'autenticazione da applicare. In un ambiente in cui i desktop sono maggiormente controllati e il software antivirus è costantemente aggiornato, i requisiti di sicurezza possono essere meno rigorosi di quelli di scenari in cui l'ambiente non è soggetto allo stesso livello di controllo e una larga fetta della base utenti accede alla rete da varie parti del mondo. 3

4 Un altro aspetto tecnico da considerare è la varietà dei dispositivi utilizzati dagli utenti per l'accesso. Tanto per le applicazioni aziendali quanto per quelle destinate ai clienti, la base utenti accederà probabilmente alle informazioni da dispositivi che vanno dai laptop e dai desktop ai PDA, ai cellulari e agli Internet point. I tipi di dispositivi utilizzati per accedere costituiscono un elemento importante per determinare i fattori di autenticazione offerti agli utenti. RSA Authentication Decision Tree Alla luce della grande quantità di nuovi metodi e tecnologie di autenticazione oggi disponibili, del valore crescente delle informazioni, delle nuove comunità di utenti che richiedono accesso alle reti e alle applicazioni, della proliferazione delle minacce avanzate e di un ambiente normativo complesso, le organizzazioni sono sollecitate a rivalutare la strategia di autenticazione esistente. La molteplicità delle soluzioni di autenticazione da valutare e i favori accordati dal mercato ora ad una, ora all'altra tecnologia di autenticazione, complicano la valutazione da parte delle organizzazioni. Le soluzioni biometriche, ad esempio, godono di un'attenzione mediatica eccessiva rispetto alla loro reale diffusione sul mercato. Queste soluzioni richiedono lettori costosi e complessi e risultano pertanto poco pratiche per l'accesso mobile o remoto o per l'adozione di massa. RSA Authentication Decision Tree è stato studiato per aiutare le organizzazioni a confrontare la rispondenza delle tecnologie di autenticazione disponibili sul mercato con le esigenze dei propri utenti e del business favorendo un processo decisionale semplificato. Mancando ancora una soluzione universalmente valida, in grado di rispondere alle esigenze di qualsiasi azienda e alla domanda di sicurezza di qualsiasi utente e scenario, RSA Authentication Decision Tree può essere un utile ausilio per selezionare la soluzione o la combinazione di soluzioni più appropriata ed equilibrata per rischio, costo e praticità d'utilizzo. Come utilizzare RSA Authentication Decision Tree Per determinare la o le soluzioni più adatte a un'organizzazione, questo strumento considera i seguenti criteri: Controllo sull'ambiente utente Metodi di accesso da utilizzare Esigenza di accesso da qualsiasi luogo e in qualsiasi momento Esigenza di crittografia dei dischi, dei file o della posta elettronica Prevenzione dalle frodi Controllo sull'ambiente utente Il controllo sull'ambiente utente è essenziale per determinare il metodo di autenticazione appropriato. Tra i fattori da considerare vi sono la possibilità o meno per l'organizzazione di installare il software nel sistema in uso dall utente e di decidere il sistema operativo che l'utente dovrà utilizzare. Perché è così importante? Perché non tutte le soluzioni di autenticazione garantiscono la compatibilità con qualsiasi sistema operativo. In un azienda, l'organizzazione ha il controllo diretto sui sistemi operativi installati nei dispositivi degli utenti, mentre non ne ha alcuno in quelli degli utenti esterni come i clienti e i partner. Pertanto, i metodi di autenticazioni da offrire a queste due comunità di utenti potrebbero essere differenti. Metodi di accesso da utilizzare I metodi di accesso sono un elemento estremamente importante per la determinazione della strategia di autenticazione. Alcuni metodi di autenticazione sono applicabili solo all'accesso alle applicazioni Web, mentre altri possono essere impiegati per autenticare l'accesso a varie applicazioni non basate su Web. Pertanto, la scelta dipenderà da una valutazione del tipo utente, dei diritti di accesso di cui dispone e dell'utilizzo previsto. Il controllo dell'ambiente utente è essenziale per determinare il metodo di autenticazione appropriato. 4

5 Esigenza di accesso da qualsiasi luogo e in qualsiasi momento La natura globale del business e la crescente mobilità dei dipendenti hanno generato la domanda di accesso ininterrotto da qualsiasi luogo. Consentire agli utenti di accedere in modo sicuro alle informazioni è cruciale per garantire la continuità del business. Offrire questa opzione ai dipendenti e ai partner è fondamentale per supportarne la produttività; garantirla ai clienti è importante se si vuole alimentarne la fiducia. Questi i fattori da prendere in considerazione: È necessario consentire agli utenti di accedere da postazioni remote variabili? È necessario consentire agli utenti di accedere da sistemi sconosciuti quali Internet point, reti di hotel o postazioni condivise? È necessario consentire agli utenti di accedere da dispositivi eterogenei quali PDA e cellulari? Crittografia dei dischi, dei file o della posta elettronica Nel valutare la strategia di autenticazione, le organizzazioni dovrebbero prendere in considerazione le altre finalità aziendali che il metodo dovrebbe aiutare a conseguire. Ad esempio, un'organizzazione sanitaria potrebbe essere tenuta, in virtù delle normative che regolano il settore, a tutelare le informazioni sanitarie protette (PHI) o altre informazioni personali identificabili (PII) di un paziente trasmesse da un reparto o da una struttura all'altra. In questo caso, potrebbe essere opportuno imporre agli utenti il possesso dei diritti di accesso appropriati per accedere alle informazioni PHI e PII da dispositivi affidabili. Prevenzione dalle frodi Per prevenire le frodi è necessario implementare alcuni metodi di autenticazione che permettano di monitorare le transazioni e le attività eseguite da un utente in fase di accesso. Anche se si tratta di uno scenario prevalentemente legato alle applicazioni dei servizi finanziari, altri settori stanno cominciando a subire attacchi mirati, come il phishing e il malware, da parte di soggetti il cui unico fine è la raccolta di informazioni personali volto al furto di identità. La gamma delle possibilità di autenticazione Password Le password offrono autenticazione a un solo fattore fornendo prova dell'identità degli utenti. Per quanto implementabili gratuitamente, comportano costi di gestione e di supporto continuativi (ad esempio, in occasione dei ripristini di password) che nel lungo periodo possono diventare proibitivi. Il livello di sicurezza fornito è molto basso e le password sono esposte agli attacchi degli hacker e ai rischi della promiscuità tra più utenti. Autenticazione knowledge-based L'autenticazione knowledge-based è un metodo utilizzato per autenticare un individuo in base alla conoscenza di informazioni personali, verificata tramite una procedura interattiva di domande e risposte. Le domande formulate all'utente sono raccolte da database di record pubblici, sono casuali e non sono note in precedenza o non sono mai state chieste all'utente. Autenticazione risk-based L'autenticazione risk-based è un sistema che consente di misurare in background una serie di indicatori di rischio, in modo da verificare le identità degli utenti e/o autenticare le attività online. Tra gli indicatori sono inclusi alcuni attributi dei dispositivi, i profili comportamentali degli utenti e la localizzazione geografica dell'ip. Più alto è il livello di rischio presentato, più alta è la probabilità che l'identità o l'attività sia fraudolenta. Se il Risk Engine stabilisce che la richiesta di autenticazione eccede i criteri di rischio accettabile, l'autenticazione risk-based offre l'opzione di fornire una prova più rigorosa dell'identità. In uno scenario di questo genere, all'utente potrà essere richiesto di rispondere a domande segrete o di inviare un codice di autorizzazione tramite un testo SMS o un messaggio di posta elettronica. 5

6 Autenticazione mediante password monouso L'autenticazione mediante password monouso (OTP, One-Time Password) è una soluzione di autenticazione a due fattori molto diffusa: si basa su informazioni note all'utente (un PIN o una password) e su un dispositivo posseduto dall'utente (un autenticatore). L'autenticatore genera un nuovo codice OTP ogni 60 secondi, rendendo estremamente difficile per chiunque non sia l'utente legittimo fornire il codice corretto al momento opportuno. Per accedere alle informazioni o alle risorse protette dalla tecnologia delle password monouso, gli utenti devono semplicemente combinare il PIN segreto con il codice visualizzato volta per volta sul display dell'autenticatore (token). Il risultato è una password univoca monouso, utilizzata per verificare l'identità di un utente. La tecnologia delle password monouso è disponibile in varie forme: Autenticatori hardware. Gli autenticatori hardware tradizionali (anche noti come "key fob") sono piccoli dispositivi portatili che è possibile tenere in un portachiavi, adatti agli utenti che preferiscono avere una soluzione tangibile o accedere a Internet da più postazioni. Autenticatori software. Per i PC, le unità USB o i dispositivi mobili: gli autenticatori software vengono in genere offerti sotto forma di applicazione o di barra degli strumenti installata affidabilmente nel desktop, nel laptop o nel dispositivo mobile dell'utente. On-demand. L'autenticazione on-demand comporta l'invio di una password monouso univoca, su richiesta, tramite SMS (messaggio di testo) a un dispositivo mobile o all'indirizzo di posta elettronica registrato di un utente. Una volta ricevuta la password monouso, l'utente la immette se richiesto, insieme al PIN per ottenere l'accesso alla rete aziendale o a un'applicazione online. Certificati digitali Un certificato digitale è un documento elettronico univoco contenente informazioni che identificano la persona o il dispositivo cui è associato. Può essere archiviato su un desktop, una smart card o un'unità USB. Per ottenere un metodo di autenticazione a due fattori più forte è possibile bloccare il certificato digitale su una smart card o un'unità USB, richiedendo all'utente di immettere un PIN per sbloccarlo e utilizzare le credenziali. Il certificato digitale può quindi essere utilizzato per autenticare un'utente per l'accesso a una rete o a un'applicazione. I certificati digitali possono anche essere impiegati per rafforzare l'immagine e la reputazione dell'azienda tramite l'uso di firme digitali o della posta elettronica crittografata. Inoltre, i certificati possono essere combinati con le password monouso tramite un autenticatore ibrido. In questi casi, l'autenticatore ibrido consente di memorizzare più credenziali semplificando l'esperienza utente. Uno scenario di utilizzo frequente della combinazione dei certificati e delle password monouso è rappresentato dall'impiego di un certificato digitale per sbloccare la crittografia del disco rigido, seguito dall'immissione di una password monouso per autenticare l'accesso a una VPN. Analisi degli attributi dell'autenticazione Quando un'organizzazione valuta le esigenze di business e quelle dei propri utenti, la scelta della strategia di autenticazione appropriata in base alle opzioni disponibili comporta in genere un compromesso tra una serie di variabili: La "forza" della sicurezza Il caso di utilizzo specifico I requisiti lato client La portabilità La molteplicità di utilizzo Le problematiche degli utenti L'autenticazione mediante password monouso è basata su informazioni note all'utente (un PIN o una password) e su un dispositivo posseduto dall'utente (un autenticatore). I requisiti di distribuzione I requisiti di sistema Il costo 6

7 RSA Authentication Decision Tree può aiutare le organizzazioni a raffrontare i metodi di autenticazione individuati come consoni a soddisfare le proprie esigenze. Con l'ausilio di un semplice framework le organizzazioni possono ottenere una valutazione obiettiva delle soluzioni di autenticazione più diffuse sul mercato. A questo scopo, oltre a un fattore innegabilmente importante come il costo, dovranno essere presi in considerazione altri elementi. Troppo spesso si tende a privilegiare l'elemento costo di acquisizione; eppure, basterebbe l'esempio dell'autenticazione basata solo su password per comprendere come tale fattore non sia di per sé sufficiente. Per quanto sostanzialmente "gratuite" in termini di costo di acquisizione, le password sono sorprendentemente dispendiose in termini di costi continuativi di gestione e di supporto. Il grafico alle pagine 8 e 9 offre un raffronto e una valutazione di ciascuna opzione di autenticazione in base ai nove attributi identificati. Scenari di utilizzo di RSA Authentication Decision Tree Profilo della società Grande organizzazione del settore sanitario, con vari ospedali locali e presidi specialistici, per un bacino di oltre 1,5 milioni di pazienti. Gruppi di utenti Medici, compagnie assicuratrici ed enti previdenziali, pazienti, amministratori sanitari Esigenze di business e degli utenti I medici si spostano di continuo tra una struttura e l'altra e si connettono ai file e alle cartelle sanitarie tramite Blackberry o altro dispositivo mobile. In questo modo possono accedere rapidamente alle informazioni mediche rilevanti e garantire livelli di assistenza ottimali ai pazienti. Compagnie assicuratrici ed enti previdenziali devono poter accedere alle cartelle cliniche, ai dati storici e ai servizi erogati per definire premi o indennizzi. Gli amministratori sanitari hanno costante esigenza di accedere alle informazioni mediche protette (PHI) e alle informazioni personali identificabili (PII) dei pazienti. Tale accesso è essenziale per la produttività di intere categorie di professionisti, dagli assistenti sociali al personale addetto alla contabilità. Ai pazienti è consentito accedere alle informazioni personali e alle proprie cartelle cliniche tramite un portale Web. Oltre a poter aggiornare le proprie informazioni si possono utilizzare una serie di altri servizi online quali la prenotazione degli appuntamenti, la richiesta di rinnovo delle ricette e il pagamento del ticket. Scelte di autenticazione In considerazione della base utenti diversificata, il cui comune denominatore è l'esigenza di accedere a vari sistemi per scopi differenti, questa organizzazione sanitaria dovrebbe prendere in esame una moltitudine di soluzioni di autenticazione: Medici: password monouso basata su software per dispositivi mobili Compagnie assicuratrici ed enti previdenziali: token hardware Amministratori sanitari: token hardware Pazienti: autenticazione risk-based Troppo spesso si tende a privilegiare l'elemento costo di acquisizione ; eppure, basterebbe l'esempio dell'autenticazione basata solo su password per comprendere come tale fattore non sia di per sé sufficiente. 7

8 Password Autenticazione knowledge-based Autenticazione risk-based Password monouso: token hardware Ibrido: password monouso + certificato digitale Forza della sicurezza Un solo fattore esposto ad attacco hacker e promiscuità Un solo fattore, più forte; informazioni non comuni Due o più fattori a seconda del rischio valutato Due fattori, forte: PIN + token Due fattori, forte: PIN + token o certificato Caso di utilizzo specifico Applicazioni non strategiche e non soggette a regolamentazione Interazione di nuovi utenti, accesso di emergenza, reimpostazione PIN Distribuzione o accesso a VPN SSL per basi utenti estese Accesso per i dipendenti mobili Utenti interni e dipendenti in movimento Requisiti lato client Nessuno Nessuno Nessuno Nessuno Middleware per le funzionalità connesse Portabilità Ovunque Ovunque Applicazioni basate su browser Ovunque Ovunque (password monouso) Molteplicità di utilizzo No No Piattaforma per monitoraggio delle transazioni e rilevamento delle frodi No Crittografia file/posta elettronica Firma digitale Accesso remoto Problematiche degli utenti Facile da dimenticare e spesso annotata su documenti accessibili Minime Da minime a serie Minime Minime Requisiti di distribuzione Nessuno Nessuno Nessuno Assegnazione e recapito dei token Software client Certificato Token Requisiti di sistema Directory utenti Servizio di sottoscrizione Server di autenticazione Agenti personalizzati Applicazioni Web Opzioni di sottoscrizione Server di autenticazione Agenti dell'applicazione Autorità di certificazione Server di autenticazione Costo Basso costo di acquisizione ma costo di supporto elevato Modesto Basso costo con alcuni requisiti di integrazione tra le applicazioni Costo di acquisizione elevato ma basso costo di gestione Costi di infrastruttura e di gestione più elevati 8

9 Password monouso: token software su PC Password monouso: token software su unità USB Password monouso: token software su dispositivi mobili Codice monouso inviato ondemand Certificati digitali Due fattori, forte: PIN + token Due fattori, forte (con opzione di protezione biometrica) Due fattori, forte: PIN + token software Due fattori, forte: PIN + codice inviato al cellulare Opzione a due fattori con blocco PIN Accesso per i dipendenti mobili Accesso per i dipendenti mobili Accesso per i dipendenti mobili Due fattori su IDA, accesso di emergenza occasionale o temporaneo dei dipendenti Autenticazione utenti nell'azienda o autenticazione dispositivi PC compatibile Dispositivo USB compatibile Piattaforma compatibile Qualsiasi dispositivo con funzionalità di posta elettronica o SMS Contenitore o dispositivo (USB, smart card o desktop) Solo sul sistema associato Ovunque ma richiede una porta USB Ovunque Ovunque vi sia copertura del servizio Dipende dal contenitore; richiede lettore o porta USB in caso di smart card No Storage dei file No No Sì: autenticazione, firma digitale e crittografia Minima Minima Minima Procedura a due passaggi Minima Assegnazione e distribuzione software e seed Assegnazione e distribuzione software e seed Assegnazione e distribuzione software e seed Nessuno Nessuno Server di autenticazione Agenti dell'applicazione Server di autenticazione Agenti dell'applicazione Server di autenticazione Agenti dell'applicazione Server di autenticazione Agenti dell'applicazione Invio SMS Interazione utenti o invio automatico dei certificati ai client Minore dei token hardware Elevato: dispositivo + token Minore dei token hardware Minore dei token hardware o software Considerare il ciclo di vita 9

10 Soluzioni RSA Da oltre vent'anni RSA è tra i principali produttori di soluzioni di autenticazione forte a due fattori per le aziende di qualsiasi dimensione. RSA offre un'ampia gamma di soluzioni che consentono alle organizzazioni di ottenere l'autenticazione forte, soddisfacendo in modo ottimale il rischio, il costo e la praticità d'utilizzo. RSA Identity Verification RSA Identity Verification consente di verificare le identità degli utenti in tempo reale mediante l'autenticazione knowledge-based. RSA Identity Verification formula all'utente una serie di domande sensibili, sulla base di informazioni personali ottenute analizzando decine di database pubblici. Nel giro di pochi secondi RSA Identity Verification conferma l'identità, senza che sia richiesta una relazione precedente con l'utente. RSA Identity Verification fornisce inoltre l'autenticazione accurata degli utenti tramite Identity Event Module. Identity Event Module rafforza la sicurezza misurando il livello di rischio associato a un'identità e consentendo di configurare il sistema in modo da adattare la difficoltà delle domande alla specifica natura del rischio durante il processo di autenticazione. Tra gli eventi misurati, relativi all'identità, vi sono i seguenti: Ricerche nei database pubblici. Segnalazione dell'accesso sospetto ai record pubblici dell'utente. Velocità dell'identità. Un volume elevato di attività associate all'individuo in servizi o aziende diverse. Velocità dell'ip. Più richieste di autenticazione generate dal medesimo IP. RSA Authentication Manager Express RSA Authentication Manager Express è una piattaforma di autenticazione forte a più fattori che fornisce, a condizioni accessibili, protezione alle imprese di piccole e medie dimensioni. Authentication Manager Express supporta le VPN SSL e le applicazioni Web di maggiore diffusione, garantendo l'autenticazione forte e l'accesso sicuro alle applicazioni e ai dati protetti. È basato sulla tecnologia di autenticazione risk-based di RSA, un sofisticato sistema che misura in background una serie di indicatori di rischio in modo da verificare le identità degli utenti. Vari sono i fattori esaminati da RSA Authentication Manager Express per determinare il rischio associato a una richiesta di accesso: Informazioni note all'utente, quali il nome utente e la password esistenti Dispositivi dell'utente, quale un laptop o un PC desktop Azioni dell'utente, quale una recente attività associata all'account RSA Authentication Manager Express può inoltre attivare metodi di autenticazione ulteriori nel caso in cui la richiesta di accesso non offra i livelli di garanzia previsti. Uno scenario tipico è il tentativo di accesso da parte di un utente remoto con un dispositivo non riconosciuto e non ancora utilizzato per accedere alla rete. RSA Authentication Manager Express fornisce due metodi di autenticazione aggiuntivi: SMS fuori banda e domande segrete. RSA Authentication Manager Express viene fornito come soluzione plug-and-play e supporta fino a utenti. RSA Adaptive Authentication RSA Adaptive Authentication è una piattaforma di autenticazione multicanale e rilevamento delle frodi che offre, a condizioni vantaggiose, protezione efficace per intere basi utenti. Adaptive Authentication introduce una serie di identificatori aggiuntivi con la semplice installazione di un cookie e/o di un oggetto flash condiviso (anche denominato "cookie flash") che funge da identificatore univoco del dispositivo di un utente. La soluzione offre un sistema di protezione forte e pratico, monitorando e autenticando le attività degli utenti sulla base dei livelli di rischio, dei criteri dell'organizzazione e della segmentazione degli utenti. Basato sulla tecnologia di autenticazione risk-based di RSA, Adaptive Authentication tiene traccia di più di un centinaio di indicatori per identificare le potenziali frodi, dalla identificazione del dispositivo alla localizzazione geografica dell'ip e ai profili comportamentali. A ogni attività viene assegnato un valore di rischio univoco: più alto è tale valore, più elevata è la probabilità che l'attività sia fraudolenta. Adaptive Authentication esegue il monitoraggio in background, in modo invisibile all'utente. Solo quando un'attività viene valutata come ad alto rischio, viene richiesto all'utente di fornire ulteriori prove per l'autenticazione, in genere tramite domande segrete o SMS fuori banda. Grazie al basso grado di complessità e al tasso elevato di successo, Adaptive Authentication garantisce una protezione forte e un'esperienza utente superiore, ideali per la distribuzione a basi utenti estese. RSA Adaptive Authentication è disponibile sia come servizio SaaS (software as a service) che come soluzione on premise. È altamente scalabile e può supportare milioni di utenti. 10

11 Autenticazione RSA SecurID La tecnologia a password monouso, RSA SecurID, fornisce una soluzione di autenticazione a due fattori avanzata: è basata su informazioni note all'utente (un PIN o una password) e su un dispositivo posseduto dall'utente (un autenticatore). Prevede la generazione di una password monouso ogni 60 secondi tramite la combinazione di una chiave simmetrica univoca (anche denominata "seed record") con un algoritmo collaudato. La tecnologia brevettata RSA sincronizza ciascun autenticatore con il server di protezione, assicurando un livello di sicurezza elevato. Per accedere alle risorse protette dal sistema RSA SecurID gli utenti devono semplicemente combinare il PIN segreto con il token visualizzato volta per volta sul display dell'autenticatore. Il risultato è una password univoca monouso, utilizzata per verificare l'identità di un utente. RSA SecurID viene distribuito in diverse forme, per soddisfare le esigenze specifiche delle organizzazioni e dei loro utenti: Autenticatori hardware Dal punto di vista della facilità di utilizzo, gli autenticatori hardware tradizionali (anche noti come "key fob") possono essere tenuti in un portachiavi e come tali sono adatti agli utenti che preferiscono avere una soluzione tangibile o accedere a Internet da più postazioni. Autenticatori ibridi con certificati digitali L'autenticatore RSA SecurID 800 è un dispositivo ibrido che combina la semplicità e la portabilità dell'autenticazione SecurID con l'efficacia e la flessibilità di una smart card nel pratico fattore di forma USB. RSA SecurID 800 offre il supporto dei certificati digitali standard per varie applicazioni, come la crittografia dei dischi e dei file, l'autenticazione e la firma, e rafforza l'autenticazione basata solo su password archiviando le credenziali del dominio di un utente in un dispositivo di alta sicurezza. Combinando più credenziali e applicazioni in un unico dispositivo, SecurID 800 rappresenta una chiave master che garantisce, in modo semplice e discreto, l'autenticazione forte in un ambiente IT eterogeneo. Autenticatori software Gli autenticatori software RSA SecurID utilizzano lo stesso algoritmo degli autenticatori hardware RSA SecurID eliminando la necessità di portare con sé dispositivi hardware dedicati. Anziché essere archiviata nell'hardware SecurID, la chiave simmetrica viene protetta in modo sicuro nel PC, nello smart phone o nell'unità USB dell'utente. Dispositivi mobili Gli autenticatori software RSA SecurID sono disponibili per un'ampia gamma di piattaforme smart phone, tra cui dispositivi BlackBerry, Microsoft Windows Mobile, Java ME, Palm OS, Symbian OS e UIQ. Desktop Microsoft Windows RSA SecurID Token for Windows Desktops è un fattore di autenticazione pratico, installato su PC e integrabile automaticamente con i client di accesso remoto più diffusi. Token monouso come barra degli strumenti RSA SecurID Toolbar Token coniuga la praticità delle funzionalità di compilazione automatica per le applicazioni Web con la sicurezza dei meccanismi anti-phishing. On-demand (via SMS o posta elettronica) RSA On-demand Authentication comporta l'invio di una password monouso univoca, su richiesta, tramite SMS (messaggio di testo) a un dispositivo mobile o all'indirizzo di posta elettronica registrato di un utente. Una volta ricevuta la password monouso l'utente la immette se richiesto insieme al PIN per ottenere l'accesso alla rete aziendale o a un'applicazione online. Per ulteriori informazioni su come utilizzare lo strumento interattivo RSA Authentication Decision Tree per valutare le opzioni disponibili, contattate l'account manager o il partner di RSA oppure visitate il sito 11

12 RSA Certificate Manager The RSA Certificate Manager è una soluzione Internet di certificazione che fornisce funzionalità di base per il rilascio, la gestione e la convalida dei certificati digitali. Include un Web server sicuro e un efficace modulo di gestione per la firma digitale dei certificati utente, nonché un repository di dati integrato per l'archiviazione dei certificati, dei dati di sistema e delle informazioni sullo stato dei certificati. RSA Certificate Manager è la prima soluzione di questo tipo ad avere ottenuto la certificazione Common Criteria ed è inoltre certificato Identrust. Basato su standard di settore, Certificate Manager è immediatamente utilizzabile con centinaia di applicazioni standard. Può pertanto essere impiegato con browser, client di posta elettronica e VPN per garantire il massimo ritorno sull'investimento. Inoltre, permette di archiviare le credenziali nei browser o su smart card e token USB. Ad esempio, i certificati digitali RSA possono essere combinati con l'autenticatore ibrido SecurID 800 per consolidare più credenziali su un unico dispositivo e semplificare così l'esperienza utente. Ulteriori componenti della soluzione dei certificati digitali RSA sono RSA Registration Manager, RSA Validation Manager, RSA Key Recovery Module e RSA Root Signing Services. Profilo RSA RSA, la divisione EMC per la sicurezza, è fornitore leader di soluzioni di sicurezza per accelerare il business e consentire alle più grandi aziende a livello mondiale di risolvere problemi di sicurezza complessi e delicati. Grazie alle soluzioni RSA, i clienti possono superare sfide quali la gestione dei rischi organizzativi, la protezione dell'accesso e della collaborazione remota, la garanzia della conformità e la salvaguardia degli ambienti virtuali e cloud. La tecnologia, le soluzioni aziendali e per specifici settori offerte da RSA, unitamente ai servizi professionali e alle soluzioni di gestione del rischio e della conformità aziendale, offrono alle organizzazioni visibilità e protezione per milioni di identità utenti, per le transazioni eseguite e per i dati generati. EMC2, EMC, RSA, SecurID e il logo RSA sono marchi e/o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati sono marchi delle rispettive società. DECTR WP 1210