Multi-Factor Authentication e User Behavioral Analysis: dall’identità alla detection comportamentale

Gli attacchi informatici che le aziende si trovano oggi ad affrontare hanno poco a che vedere con le intrusioni “classiche”, molto diffuse fino a qualche anno fa.
Non ci troviamo più di fronte soltanto a casi di exploit tecnici che colpiscono vulnerabilità note, ma a sofisticate azioni di attacco che uniscono in modo chirurgico più tattiche: exploiting mirato, social engineering, phishing avanzato e deepfake sempre più convincenti, in grado di impersonare figure aziendali di rilievo. In questo scenario complesso, la password, anche se complessa e protetta da policy severe, non è più sufficiente a garantire la sicurezza.

Per mantenere la business continuity e assicurare sempre la conformità a normative come NIS2, DORA o ISO 27001, è necessario adottare un modello di protezione dinamico e multilivello, capace non solo di prevenire l’accesso non autorizzato, ma anche di individuare segnali deboli e comportamenti anomali che possono emergere dopo l’autenticazione. In questo contesto, due controlli emergono come particolarmente efficaci: la Multi-Factor Authentication (MFA) e la User Behavioral Analysis (UBA). La prima riduce sensibilmente il rischio legato al furto di credenziali, la seconda intercetta comportamenti sospetti anche quando il login è avvenuto con successo. Insieme, danno vita a una strategia di difesa adattiva, in grado di rispondere tanto a compromissioni banali quanto ad attacchi persistenti e mirati.

Multi-Factor Authentication: un requisito necessario, ma non più sufficiente

La Multi-Factor Authentication è diventata negli ultimi anni un requisito fondamentale in qualsiasi architettura di sicurezza. Il suo principio è chiaro: per accedere a un sistema critico non basta dimostrare di conoscere una credenziale, ma è necessario validare anche un secondo, o terzo, fattore, legato al possesso di un dispositivo, di un’utenza telefonica o all’identità biometrica dell’utente (impronta digitale, face ID, etc.)

Le tecnologie disponibili coprono diversi livelli, partendo dalle OTP generate da applicazioni dedicate, alle notifiche push che semplificano l’esperienza dell’utente, fino ai più moderni standard FIDO2/WebAuthn, che aprono scenari passwordless e fanno leva su chiavi hardware e biometria. Esistono ancora implementazioni basate su SMS o email OTP, che restano diffuse ma espongono a rischi ben noti come SIM swap o phishing mirati.

Questa forma di autenticazione rappresenta una barriera importante contro scenari come il Business Email Compromise (BEC): un attaccante in possesso delle credenziali non riesce comunque a completare l’accesso senza il secondo fattore. Lo stesso vale per le frodi basate su deepfake vocali: un’impostazione biometrica o una chiave crittografica non possono essere replicate da un audio manipolato. Tuttavia, nonostante l’efficacia, la MFA non è invulnerabile. Phishing avanzato con reverse proxy, attacchi di MFA fatigue o session hijacking mostrano i suoi limiti e dimostrano che la sola MFA non basta più.

User Behavioral Analysis: intercettare i segnali deboli

A colmare questa lacuna interviene la User Behavioral Analysis (UBA), un approccio che applica algoritmi di machine learning e analisi statistica ai dati di telemetria degli utenti per costruire una baseline comportamentale e individuare deviazioni significative.

Immaginiamo alcuni scenari concreti: un login da un Paese mai utilizzato prima, un download massivo di file in pochi minuti, il cambio password seguito da un bonifico urgente o l’utilizzo di un nuovo dispositivo in orari inconsueti. Singolarmente, questi eventi potrebbero sembrare legittimi. Ma osservati nel loro insieme, rappresentano campanelli d’allarme che segnalano una potenziale compromissione.

La forza della UBA è proprio questa: trasformare attività apparentemente neutre in alert contestuali, capaci di evidenziare anomalie che sfuggirebbero a controlli statici. Naturalmente, questo approccio richiede una calibrazione costante per ridurre i falsi positivi e trova la sua massima efficacia quando è integrato con piattaforme SIEM e SOAR, che permettono di correlare eventi e, in molti casi, di avviare automaticamente azioni di risposta.

Dalla UBA alla UEBA: estendere la visibilità

La naturale evoluzione della UBA è la UEBA (User and Entity Behavioral Analytics), che amplia il perimetro dell’analisi andando oltre gli utenti umani e includendo macchine, API, account di servizio e flussi di comunicazione. Questa estensione è cruciale per intercettare movimenti laterali, attività stealth e minacce interne, scenari ben noti nel framework MITRE ATT&CK.

Integrata con feed di threat intelligence e piattaforme SIEM, la UEBA consente di correlare anomalie locali con indicatori globali di compromissione, migliorando sensibilmente la capacità di detection contro attori avanzati e attacchi persistenti.

MFA + UBA: difesa adattiva e Zero Trust

Nelle architetture enterprise, MFA e UBA si collocano nel perimetro dell’Identity & Access Management (IAM), interconnesso con directory centralizzate (Active Directory, Azure AD) e sistemi SIEM. La MFA opera nella fase di prevention, bloccando gli accessi non autorizzati. La UBA agisce nella fase di detection & response, monitorando l’attività post-login e validando ogni azione secondo i principi del Zero Trust: “non fidarsi mai, verificare sempre”.

Il vero valore emerge dall’integrazione. La MFA riduce la superficie d’attacco, mentre la UBA assicura che anche un utente apparentemente legittimo non possa agire indisturbato se devia dai suoi comportamenti usuali. Pensiamo a un dipendente che approva inconsapevolmente una richiesta MFA fraudolenta: l’attaccante entra con credenziali valide. Senza UBA, l’intrusione resterebbe invisibile. Con la UBA, invece, un accesso notturno da un IP estero combinato a un bonifico anomalo scatena un alert immediato, che consente di bloccare l’operazione e avviare tempestivamente il processo di incident response.

Conclusioni

La sicurezza delle identità digitali non può più basarsi soltanto su controlli statici. Deve essere adattiva, contestuale e data-driven. La MFA innalza la soglia di ingresso, ma è la UBA a garantire che gli attaccanti vengano scoperti anche quando si muovono sotto le sembianze di utenti legittimi.

Per settori critici come finance, energy, assicurazioni o industria, adottare questa combinazione non è soltanto una best practice, ma un prerequisito per costruire resilienza operativa e rispettare i nuovi obblighi normativi. MFA e UBA integrate non rappresentano più un’opzione, ma la base per una strategia Zero Trust capace di contrastare le minacce di oggi e di domani. MFA and UBA integration is no longer optional but the foundation of a Zero Trust strategy capable of countering today’s and tomorrow’s threats.