Dans cet article, nous donnerons un bref aperçu de la plateforme de Silverfort, la première (et actuellement la seule) plateforme de protection d’identité unifiée du marché. La technologie brevetée de Silverfort vise à protéger les organisations contre les attaques basées sur l’identité en s’intégrant aux solutions existantes de gestion des identités et des accès, telles que AD (Active Directory) et les services basés sur le cloud, et en étendant les contrôles d’accès sécurisés tels que l’authentification basée sur les risques et la MFA (Multi- Factor Authentication) à toutes leurs ressources. Cela inclut les ressources sur site et cloud, les systèmes existants, les outils de ligne de commande et les comptes de service.
Un rapport récent de Silverfort et Osterman Research a révélé que 83 % des organisations dans le monde ont été victimes de violations de données en raison d’informations d’identification compromises.. De nombreuses organisations admettent qu’elles ne sont pas suffisamment protégées contre les attaques basées sur l’identité, telles que les mouvements latéraux et les ransomwares. Les ressources telles que les outils d’accès en ligne de commande et les systèmes existants, qui sont largement utilisés, sont particulièrement difficiles à protéger.
Premiers pas : utilisation du tableau de bord
Vous trouverez ci-dessous une capture d’écran du tableau de bord de Silverfort (figure 1). Dans l’ensemble, il possède une interface utilisateur très intuitive. Sur la gauche se trouve une liste de types d’utilisateurs : utilisateurs privilégiés, utilisateurs standard et comptes de service, ainsi que la manière dont ils accèdent aux ressources : via des répertoires sur site et basés sur le cloud (AD, Azure AD, Okta), des serveurs de fédération (Ping, ADFS). ) et connexions VPN (RADIUS). Le côté droit de l’écran affiche une liste des différents types de ressources auxquels les utilisateurs tentent d’accéder. Les tentatives d’accès sont représentées par des points lumineux.
Cet affichage met en valeur le différenciateur unique de la plateforme : c’est aujourd’hui la seule solution capable de s’intégrer à l’ensemble de l’infrastructure d’identité dans l’environnement hybride. Avec cette intégration en place, les différents annuaires sur site et cloud transmettent chaque tentative d’authentification et d’accès à Silverfort pour analyse et verdict s’il faut autoriser ou refuser l’accès. De cette manière, une protection en temps réel pour tout utilisateur et toute ressource est obtenue, comme nous le verrons bientôt plus en détail.
Le tableau de bord affiche également des agrégations de données précieuses liées à l’identité : nombre de tentatives d’authentification par protocoles et répertoires, proportion d’authentifications vérifiées, nombre d’utilisateurs et de comptes de service protégés avec succès, et répartition des utilisateurs par niveau de risque (moyen, élevé, critique). .
La plateforme comprend différents modules, chacun abordant un problème différent de protection de l’identité. Nous allons maintenant en explorer deux : Advanced MFA et Service Account Protection.
Protéger les ressources avec Advanced MFA
La MFA s’est avérée être l’un des moyens les plus efficaces de se protéger contre les attaques basées sur l’identité. Cependant, disposer d’une protection MFA sur tous les actifs du réseau est assez difficile.
L’authentification multifacteur repose traditionnellement sur des agents et des proxys, ce qui signifie que certains ordinateurs ne seront jamais couverts par cette approche. Soit parce que votre réseau est trop vaste pour avoir des proxys sur chaque ordinateur, soit parce que tous les ordinateurs ne sont pas capables d’installer des agents.
Vous voulez voir Silverfort en action ? Planifiez une démo gratuite avec notre équipe d’experts dès aujourd’hui !
De plus, les outils d’accès en ligne de commande, tels que PsExec, PowerShell et WMI, bien qu’ils soient largement utilisés par les administrateurs réseau, ne prennent pas en charge nativement MFA. Ces authentifications, ainsi que d’autres sur site, sont gérées par AD, mais les protocoles d’authentification AD (Kerberos, NTLM) n’ont tout simplement pas été conçus pour la MFA, et les attaquants le savent. AD vérifie uniquement si les noms d’utilisateur et les mots de passe correspondent, de sorte que les attaquants utilisant des informations d’identification légitimes (qui peuvent ou non être compromises) peuvent accéder au réseau et lancer des mouvements latéraux et des attaques de ransomware sans que AD le sache. Le principal avantage de Silverfort est qu’il peut réellement appliquer l’AMF sur tous ces éléments, ce que d’autres solutions ne peuvent pas faire.
Sur l’écran des politiques (figure 2), vous pouvez afficher les politiques existantes ou en créer de nouvelles.
 |
| Figure 2 : écran Politique |
La création d’une nouvelle politique semble assez intuitive, comme le montre la figure 3. Nous devons déterminer le type d’authentification, les protocoles pertinents, les utilisateurs, les sources et les destinations couvertes par la politique, ainsi que l’action requise. Ce qui se passe ici est en réalité assez simple, mais étonnamment intelligent. AD envoie toutes les demandes d’authentification et d’accès à Silverfort. Pour chaque demande, Silverfort analyse ses risques et les politiques associées pour déterminer si l’AMF est requise ou non. En fonction du verdict, l’utilisateur se voit accorder l’accès, est bloqué ou est invité à fournir MFA. En d’autres termes, la politique contourne fondamentalement les limitations inhérentes aux anciens protocoles et leur applique l’AMF.
 |
| Figure 3 : Création d’une politique |
Découverte et sécurisation des comptes de service
Les comptes de service constituent un défi de sécurité critique en raison de leurs privilèges d’accès élevés et de leur visibilité faible, voire nulle. De plus, les comptes de service ne sont pas des humains, donc MFA n’est pas une option, tout comme la rotation des mots de passe avec PAM, qui peut faire planter des processus critiques en cas d’échec de leurs connexions. En fait, toutes les organisations disposent de plusieurs comptes de service, représentant parfois jusqu’à 50 % de l’ensemble de leurs utilisateurs, et nombre d’entre eux ne sont pas surveillés. C’est pourquoi les attaquants adorent les comptes de service compromis : ils peuvent les utiliser pour effectuer des mouvements latéraux sous le radar et accéder à un grand nombre de machines sans se faire remarquer.
La figure 4 montre l’écran Comptes de service. Comme Silverfort reçoit toutes les demandes d’authentification et d’accès, il est capable d’identifier les comptes de service en analysant les comportements répétitifs des machines.
 |
| Figure 4 : Écran Comptes de service |
Il semble que nous ayons 162 comptes en machine à machine. Nous pouvons les filtrer en fonction de divers paramètres. La prévisibilité, par exemple, mesure l’accès répété à la même source ou destination. Les écarts par rapport à ce modèle peuvent indiquer une activité malveillante.
Dans la figure 5, nous pouvons voir des informations supplémentaires sur nos comptes de service, telles que les sources, les destinations, les indicateurs de risque, les niveaux de privilèges et l’utilisation.
 |
| Figure 5 : Écran d’enquête sur le compte de service |
Pour chaque compte de service, des stratégies sont automatiquement créées en fonction de son comportement. Il suffit de choisir entre « alerte », « bloquer » et « alerte au SIEM », et d’activer la politique (figure 6).
 |
| Figure 6 : Politiques du compte de service |
Dernières pensées
La plateforme de Silverfort atteint véritablement son objectif de protection unifiée de l’identité. Sa capacité à appliquer l’authentification multifacteur sur pratiquement toutes les ressources (telles que les outils de ligne de commande, les applications héritées, les partages de fichiers et bien d’autres) et à créer des politiques en quelques secondes est sans précédent. Avoir une visibilité complète sur tous les comptes de service et enfin pouvoir les protéger est extrêmement précieux. En conclusion, la plateforme de Silverfort offre des capacités innovantes de protection de l’identité qui deviennent chaque jour de plus en plus nécessaires.