Les attaques basées sur l’identité sont en augmentation. Les attaquants ciblent des identités avec des références compromises, des méthodes d’authentification détournées et des privilèges mal utilisés. Bien que de nombreuses solutions de détection de menaces se concentrent sur les menaces de cloud, de point final et de réseau, elles négligent les risques uniques posés par les écosystèmes d’identité SaaS. Cet angle mort fait des ravages sur des organisations fortement libérées de SAAS, grandes et petites.
La question est de savoir que les équipes de sécurité peuvent faire à ce sujet?
N’ayez pas peur, car Détection et réponse des menaces d’identité (ITDR) est là pour sauver la journée. Il est essentiel d’avoir les mécanismes de visibilité et de réponse pour arrêter les attaques avant de devenir des violations.
Voici la super programmation dont chaque équipe a besoin pour arrêter les menaces d’identité SaaS.
# 1 Couverture complète: couvrir tous les angles
Comme le bouclier de Cap, cette défense devrait couvrir tous les angles. Les outils de détection de menaces traditionnels tels que XDRS et EDRS ne parviennent pas à couvrir les applications SaaS et à laisser les organisations vulnérables. La couverture de détection et de réponse de la menace d’identité SaaS (ITDR) devrait inclure:
- L’ITDR devrait s’étendre au-delà de la sécurité traditionnelle du cloud, du réseau, de l’IoT et du point de terminaison pour inclure des applications SaaS comme Microsoft 365, Salesforce, Jira et GitHub.
- Des intégrations transparentes avec des IDP comme Okta, Azure AD et Google Workspace pour s’assurer qu’aucune connexion ne passe à travers les mailles du filet.
- Une étude médico-légale profonde des événements et des journaux d’audit pour un rapport détaillé de l’exploitation forestière et de l’analyse historique de tous les incidents liés à l’identité.
# 2 centré sur l’identité: laissez personne ne glisser à travers les fils
Le web de Spidey s’attache aux ennemis avant de frapper, et personne ne glisse à travers les fils. Lorsque les événements de sécurité ne sont répertoriés que dans l’ordre chronologique, une activité anormale par une seule identité peut ne pas être détectée. Il est crucial de vous assurer que votre ITDR détecte et corrèle les menaces dans une chronologie centrée sur l’identité.
Ce qui est centré sur l’identité dans ITDR:
- Vous pouvez voir l’histoire d’attaque complète par une identité dans l’ensemble de votre environnement SaaS, cartographier les mouvements latéraux de l’infiltration à l’exfiltration.
- Les événements d’authentification, les modifications de privilèges et les anomalies d’accès sont structurés en chaînes d’attaque.
- L’analyse des comportements des utilisateurs et des entités (UEBA) est exploitée pour identifier les écarts par rapport à l’activité d’identité normale afin que vous n’ayez pas à rechercher des événements pour trouver les suspects.
- Les identités humaines et non humaines comme les comptes de services, les clés API et les jetons OAuth sont surveillés en permanence et signalés pour une activité anormale.
- Des escalades de privilèges inhabituels ou des tentatives de mouvement latéral dans vos environnements SaaS sont détectés afin que vous puissiez étudier et répondre rapidement.
# 3 Intelligence des menaces: détecter la indétectable
Le professeur X peut tout voir avec Cerebro, et ITDR complet devrait être en mesure de détecter la indétectable. ITDR Menace Intelligence devrait:
- Classez toute activité DarkNet pour une enquête facile par les équipes de sécurité.
- Incluez la géolocalisation IP et la confidentialité IP (VPNS) pour le contexte.
- Enrichir la détection des menaces avec des indicateurs de compromis (CIO) comme des références compromises, des IP malveillants et d’autres marqueurs suspects.
- Les étapes d’attaque de cartes à l’aide de cadres comme Mitre ATT & CK pour aider à identifier le compromis d’identité et le mouvement latéral.
# 4 PRORITÉSATION: Concentrez-vous sur les menaces réelles
La fatigue alerte est réelle. Les sens accrus de Daredevil lui permettent de filtrer à travers un bruit écrasant, de détecter les dangers cachés et de se concentrer sur les menaces réelles – tout comme la priorité ITDR coupe la fatigue alerte et met en évidence les risques critiques. La priorisation de la menace SaaS ITDR devrait inclure:
- La notation des risques dynamiques en temps réel pour réduire les faux positifs et mettre en évidence les menaces les plus critiques.
- Un calendrier complet des incidents qui relie les événements d’identité dans une histoire d’attaque cohérente, transformant les signaux dispersés en alertes à haute fidélité et exploitables.
- Contexte d’alerte claire avec des identités affectées, des applications impactées, une étape d’attaque dans le cadre Mitre ATT & CK et des détails clés de l’événement tels que les connexions ratées, l’escalade des privilèges et les anomalies comportementales.
# 5 intégrations: être imparable
Tout comme les Avengers combinent leurs pouvoirs pour être imparables, un SAAS ITDR efficace devrait avoir des intégrations pour les flux de travail automatisés, ce qui rend l’équipe plus efficace et réduisant le travail lourd. Les intégrations ITDR devraient inclure:
- Siem & Soar pour les workflows automatisés.
- Les manuels d’atténuation étape par étape et les guides d’application des politiques pour chaque application et à chaque étape du cadre de mitre ATT & CK
# 6 Gestion de la posture: Tirez parti du duo dynamique (astuce bonus!)
Black Widow et Hawkeye sont un duo dynamique, et un ITDR complet s’appuie sur la gestion de la posture de sécurité SaaS (SSPM) pour minimiser la surface d’attaque comme première couche de protection. Un SSPM gratuit devrait inclure:
- Visibilité approfondie dans toutes les applications SaaS, y compris les IT de l’ombre, les intégrations d’application à application, les autorisations des utilisateurs, les rôles et les niveaux d’accès.
- Merfection des erreurs et détection de dérive des politiques, alignées sur le cadre de plongée par CISA, pour identifier les politiques d’authentification erronées comme le manque de MFA, les politiques de mot de passe faibles et les autorisations excessives basées sur les rôles pour s’assurer que les politiques sont appliquées de manière cohérente
- Détection de compte dormante et orpheline pour signaler les comptes inactifs, inutilisés ou orphelins qui présentent un risque.
- Suivi des événements de cycle de vie des utilisateurs pour éviter un accès non autorisé.
Avec un grand pouvoir vient une grande responsabilité
Cette gamme de must-haves équipe entièrement les organisations pour faire face à toute menace basée sur l’identité SaaS qui se présente. Tous les héros ne portent pas de capes… certains ont juste un ITDR imparable.
En savoir plus sur la détection et la réponse des menaces d’identité SaaS de Wing Security ici.







