Diamo una definizione alla Continuous Authentication e vediamone l’impiego nella nuova soluzione BlackBerry Persona Desktop.

Pic2

I problemi irrisolti dell’autenticazione tradizionale

Con le misure tradizionali di autenticazione, singola o a più fattori come precauzione aggiuntiva, non c’è alcuna garanzia sulla validità dell’utente; ed anche in presenza di un utente legittimo, questi è in gran parte libero di compiere azioni non autorizzate, siano esse volontarie od involontarie. 

Pensiamo ad esempio ad un malware di tipo ‘keylogger’, in grado cioè di intercettare e catturare segretamente le credenziali digitate sulla tastiera senza che l’utente se ne accorga; oppure più semplicemente al malintenzionato che in un luogo pubblico riesca a sbirciare alle nostre spalle mentre effettuiamo il login ad una rete; o ancora alle tecniche sempre più popolari di social engineering per raccogliere le nostre password e relativi privilegi di accesso. 

Anche in presenza di autenticazione a più fattori, rimane il problema della staticità nella verifica dell’identità dell’utente: una volta verificata l’identità una prima volta al login, questa non viene più riverificata per tutta la durata della sessione.

La Continuous Authentication ha lo scopo di riautenticare costantemente l’utente e può includere forme di autenticazione avanzata come quella a più fattori, come vedremo in seguito.

Il punto di unione tra Zero Trust e Zero Touch

La Continuous Authentication quindi è un metodo in continua esecuzione per la conferma dinamica dell’identità dell’utente, attivo durante tutta la sessione e non solo al primo login: ad ogni utente è associato un proprio fattore di rischio, trasparente all’utente stesso, che cambia automaticamente ed in tempo reale sulla base di una serie di condizioni.

La Continuous Authentication esprime una sintesi tra le esigenze Zero Trust della protezione moderna, dove ogni cosa deve essere autenticata in modo robusto a prescindere dall’utente, dal dispositivo o dalla rete, e le richieste di Zero Touch da parte degli utenti finali, che chiedono di poter semplicemente concentrarsi sul proprio lavoro con il minimo delle interruzioni, senza l’assillo di autenticazioni multiple, frequenti e complesse.

BlackBerry Persona Desktop come soluzione UEBA

BlackBerry Persona Desktop è una soluzione di Continuous Authentication appena rilasciata sul mercato, che utilizza le tecnologie avanzate di intelligenza artificiale e machine learning di BlackBerry Cylance per la conferma dell’identità dell’utente in tempo reale e la protezione dalle minacce informatiche. BlackBerry Persona Desktop integra modelli di machine learning basati sui dati biometrici e comportamentali per creare un punteggio di rischio in tempo reale associato al singolo utente di dispositivi laptop e desktop.

Secondo la terminologia di Gartner, BlackBerry Persona Desktop rientra nella categoria UEBA (User and Entity Behavior Analytics), dove l’analisi del comportamento degli utenti e delle entità permette di rilevare ogni comportamento anomalo o i casi in cui ci sono deviazioni dagli schemi ‘normali’ rilevati dai modelli matematici in automatico.

Mentre BlackBerry Protect si comporta come soluzione EPP (Endpoint Protection Platform) per la protezione dell’endpoint da file o script malevoli e BlackBerry Optics si comporta come soluzione EDR (Endpoint Detection and Response) per la protezione dai comportamenti non autorizzati di processi comunque legittimi, con BlackBerry Persona Desktop ci si concentra sull’identità dell’utente e relative possibili minacce, come utenze compromesse o dipendenti disonesti. Se è relativamente facile rubare il nome utente e la password di un dipendente, è molto più difficile imitare il comportamento ‘normale’ della persona una volta dentro la rete.

Casi d’uso

BlackBerry Persona Desktop va a risolvere le seguenti minacce cyber:

  • Furto delle credenziali

Persona protegge l’azienda nel caso in cui le credenziali di un dipendente siano state compromesse. Persona è in grado di analizzare l’interazione dell’utente con il proprio dispositivo e definirne di conseguenza il fattore di rischio. Se l’utente supera la soglia di rischio, si scatena in automatico un processo di allarmi e di azioni di riduzione del rischio, come ad esempio la richiesta immediata a schermo dell’autenticazione a due fattori

  • Minacce interne

Persona protegge l’azienda dai dipendenti disonesti, analizzando in continuazione il loro comportamento e stabilendo se le loro azioni appaiono malevole. Se i modelli di utilizzo dei dipendenti deviano dal loro comportamento normale, Persona li identifica e li identifica come un rischio. Sulla base delle policy definite dall’amministratore, possono essere prese azioni proattive

  • Compromissioni fisiche    

Persona protegge i dipendenti e le aziende da quegli attacchi cyber dove il dispositivo è stato compromesso fisicamente e/o rubato. Se gli utenti non autorizzati hanno accesso all’endpoint, le capacità biometriche di Persona (controllo sulla tastiera, sul mouse, ...) possono riconoscere un utente differente e mandare alert o bloccare il dispositivo. A differenza di altre soluzioni, queste azioni vengono eseguite automaticamente sull’endpoint e non richiedono una connessione di rete od alcuna forma di interazione con il cloud

Come funziona BlackBerry Persona Desktop

BlackBerry Persona Desktop è un servizio locale sul laptop o sul desktop che di continuo autentica il comportamento dell’utente mentre sta utilizzando il dispositivo. Persona crea un modello comportamentale delle attività dell’utente e lo impiega per riconoscere eventuali deviazioni dal comportamento previsto per l’utente. Se la deviazione diventa sufficientemente marcata, Persona chiederà all’utente di ri-autenticarsi prima di poter continuare ad utilizzare il dispositivo.

I modelli matematici di Persona includono i dati provenienti da:

  • Tastiera – il modo in cui l’utente digita sulla tastiera (es. il tempo che intercorre tra la pressione di due tasti in sequenza)
  • Mouse - il modo in cui l’utente muove e clicca sul mouse o sul trackpad (es. velocità di un click o di un doppio click; oppure la curva e l’accelerazione del cursore durante un drag&drop)
  • Inizio dei processi – le applicazioni che l’utente esegue e quando (es. frequenza di utilizzo di applicazioni e processi)
  • Accesso – quando l’utente effettua il login o quando l’utente fallisce il login (es. in che fascia oraria l’utente generalmente effettua il login, da dove ed in che modo; oppure come l’utente ha fallito il login)
  • Rete – gli indirizzi IP e le porte cui accede l’utente

end

Il comportamento di ogni utente contribuisce a generare un punteggio di rischio complessivo basato sul suo specifico modello comportamentale. Gli amministratori possono configurare delle soglie di quanto può essere basso il punteggio di rischio prima che l’utente sia costretto a ri-autenticarsi. La prova dell’autenticazione può essere semplice (username e password) oppure a due fattori: ad oggi, Persona supporta Google Authenticator e FIDO.

Pic4

Pic5

Gli amministratori possono anche ripristinare il punteggio di rischio di un utente, oppure mettere BlackBerry Persona Desktop temporaneamente in pausa nel caso in cui ci sia la necessità di risolvere dei problemi sull’endpoint.

Quando Persona viene installato per la prima volta sul dispositivo, c’è un primo periodo di tempo durante il quale i modelli sono in fase di addestramento. Durante questa fase, le policy di Persona devono essere in stato ‘passivo’, vale a dire che tutte le azioni di riduzione del rischio sono disabilitate di default. In questo modo, i modelli proseguiranno con l’apprendimento senza forzare alcun evento di ri-autenticazione.

Mediamente, il periodo di addestramento di Persona è nell’ordine di 1-2 settimane per la maggior parte degli utenti, in base alla quantità di azioni che l’utente compie.

Nel rispetto della tutela della privacy, Persona non registra né conserva alcun dato sensibile che possa identificare l’utente; ad esempio, il modello relativo alla tastiera analizza l’utilizzo comportamentale della tastiera, ma non conserva l’informazione di quali tasti sono stati digitati.

Prerequisiti di BlackBerry Persona Desktop

  • Agent di BlackBerry Protect, versione 1574 o superiore
  • Microsoft Windows 10
  • Un utente per dispositivo. Non sono supportati alla data utenti multipli per lo stesso dispositivo oppure i Terminal Services per la condivisione del dispositivo. Un utente invece può avere più di un dispositivo
  • Microsoft .NET 4.6.2 o superiore e Microsoft Visual C++ 2017 Redistributable o superiore
  • Utente di dominio. Gli utenti locali non sono supportati
  • Macchine fisiche o virtuali sono supportate. Ambienti VDI alla data non sono supportati

Tutta la documentazione aggiornata di BlackBerry Persona Desktop è disponibile al seguente link.