Les menaces basées sur l’identité sur les applications SaaS constituent une préoccupation croissante parmi les professionnels de la sécurité, même si peu d’entre eux ont les capacités de les détecter et d’y répondre.
Selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), 90 % de toutes les cyberattaques Commençons par le phishing, une menace basée sur l’identité. Ajoutez à cela les attaques qui utilisent des identifiants volés, des comptes surapprovisionnés et des menaces internes, et il devient évident que l’identité est un vecteur d’attaque principal.
Pour couronner le tout, les comptes humains ne sont pas les seuls à être ciblés. Les acteurs malveillants détournent également des identités non humaines, notamment des comptes de service et des autorisations OAuth, et les introduisent au cœur des applications SaaS.
Lorsque les acteurs malveillants parviennent à franchir les défenses initiales, la mise en place d’un système robuste de détection et de réponse aux menaces d’identité (ITDR) en tant que partie intégrante de la sécurité des identités peut empêcher des violations massives. Flocon de neige La violation de sécurité en est un parfait exemple. Les acteurs malveillants ont profité de l’authentification à facteur unique pour accéder au compte. Une fois à l’intérieur, l’entreprise n’avait aucune capacité significative de détection des menaces, ce qui a permis aux acteurs malveillants d’exfiltrer plus de 560 millions de dossiers clients.
Comment fonctionne l’ITDR
Règlement sur le règlement intérieur des TI combine plusieurs éléments pour détecter les menaces SaaS. Il surveille les événements de l’ensemble de la pile SaaS et utilise les informations de connexion, les données de l’appareil et le comportement de l’utilisateur pour identifier les anomalies comportementales qui indiquent une menace. Chaque anomalie est considérée comme un indicateur de compromission (IOC), et lorsque ces IOC atteignent un seuil prédéfini, l’ITDR déclenche une alerte.
Par exemple, si un administrateur télécharge une quantité inhabituelle de données, ITDR considérera cela comme un IOC. En revanche, si le téléchargement a lieu au milieu de la nuit ou sur un ordinateur inhabituel, la combinaison de ces IOC peut être considérée comme une menace.
De même, si un utilisateur se connecte à partir d’un ASN suspect suite à des tentatives de connexion par force brute, l’ITDR classe la connexion comme une menace, ce qui déclenche une réponse à l’incident. En utilisant un ensemble de données riche provenant de plusieurs applications, l’ITDR peut détecter les menaces en fonction des données provenant de différentes applications. Si un utilisateur est connecté à une application depuis New York et à une deuxième application depuis Paris en même temps, cela peut sembler être un comportement normal si l’ITDR se limitait à examiner les journaux d’événements d’une seule application. La puissance de l’ITDR SaaS vient de la surveillance des données de l’ensemble de la pile SaaS.
Lors d’une récente faille détectée par Adaptive Shield, des acteurs malveillants ont infiltré un système de paie des RH et modifié les numéros de compte des comptes bancaires de plusieurs employés. Heureusement, les moteurs ITDR ont détecté les actions anormales et les données des comptes ont été corrigées avant que des fonds ne soient transférés aux acteurs malveillants.
Réduire les risques liés à l’identité
Les organisations doivent prendre un certain nombre de mesures pour réduire leur risque de menaces basées sur l’identité et renforcer leur tissu identitaire.
L’authentification multifacteur (MFA) et l’authentification unique (SSO) sont essentielles dans ces efforts. La réduction des autorisations, le respect du principe du moindre privilège (PoLP) et le contrôle d’accès basé sur les rôles (RBAC) limitent également l’accès des utilisateurs et réduisent la surface d’attaque.
Malheureusement, de nombreux outils de gestion des identités sont sous-utilisés. Les organisations désactivent l’authentification multifacteur et la plupart des applications SaaS exigent que les administrateurs disposent de capacités de connexion locales en cas de panne de l’authentification unique.
Voici quelques mesures proactives de gestion des identités pour atténuer le risque de violations d’identité :
Classez vos comptes
Les comptes à haut risque appartiennent généralement à plusieurs catégories. Pour créer une gouvernance et une gestion des identités solides, les équipes de sécurité doivent commencer par classer les différents types d’utilisateurs. Il peut s’agir de comptes d’anciens employés, de comptes à privilèges élevés, de comptes inactifs, de comptes non humains ou de comptes externes.
1. Désactiver les anciens employés et les comptes d’utilisateurs inactifs
Les comptes actifs d’anciens employés peuvent entraîner des risques importants pour les organisations. De nombreux administrateurs SaaS supposent qu’une fois qu’un employé est retiré du fournisseur d’identité (IdP), son accès est automatiquement supprimé des applications SaaS de l’entreprise.
Même si cela peut être vrai pour les applications SaaS connectées à l’IdP, de nombreuses applications SaaS ne sont pas connectées. Dans ces circonstances, les administrateurs et les équipes de sécurité doivent travailler ensemble pour supprimer les anciens utilisateurs disposant d’identifiants locaux.
Les comptes inactifs doivent être identifiés et désactivés autant que possible. Souvent, les administrateurs ont utilisé ces comptes pour effectuer des tests ou configurer l’application. Ils disposent de privilèges élevés et sont partagés par plusieurs utilisateurs avec un mot de passe facile à retenir. Ces comptes d’utilisateurs représentent un risque important pour l’application et ses données.
2. Surveiller les utilisateurs externes
Les comptes externes doivent également être surveillés. Souvent confiés à des agences, des partenaires ou des freelances, l’organisation n’a aucun contrôle réel sur les personnes qui accèdent à leurs données. Lorsque les projets se terminent, ces comptes restent souvent actifs et peuvent être utilisés par toute personne disposant d’informations d’identification pour compromettre l’application. Dans de nombreux cas, ces comptes sont également privilégiés.
3. Réduisez les autorisations des utilisateurs
Comme mentionné précédemment, les autorisations excessives élargissent la surface d’attaque. En appliquant le principe du moindre privilège (POLP), chaque utilisateur a accès uniquement aux zones et aux données de l’application dont il a besoin pour faire son travail. La réduction du nombre de comptes à privilèges élevés réduit considérablement l’exposition d’une entreprise à une violation majeure.
4. Créer des contrôles pour les comptes privilégiés
Les comptes administrateurs présentent un risque élevé. S’ils sont compromis, ils exposent les organisations à des violations de données importantes.
Créez des contrôles de sécurité qui envoient des alertes lorsque les utilisateurs agissent de manière suspecte. Parmi les exemples de comportement suspect, citons les connexions inhabituelles tard le soir, la connexion à un poste de travail depuis l’étranger ou le téléchargement de gros volumes de données. Les administrateurs qui créent des comptes d’utilisateur à privilèges élevés mais ne les attribuent pas à une adresse e-mail gérée peuvent être suspects.
La définition de contrôles de sécurité qui surveillent ces types de comportements peut donner à votre équipe de sécurité une longueur d’avance pour identifier une attaque à un stade précoce.
Faire de la détection des menaces d’identité une priorité
Alors que de plus en plus d’informations sensibles sont placées derrière un périmètre basé sur l’identité, il est de plus en plus important pour les organisations de prioriser leur structure d’identité. Chaque couche de sécurité placée autour de l’identité rend l’accès aux données d’autant plus difficile pour les acteurs malveillants.
Pour ceux qui parviennent à franchir les défenses initiales, il est essentiel de disposer d’un système ITDR robuste en tant que partie intégrante de la structure d’identité pour maintenir la sécurité et protéger les données sensibles contre toute exposition. Il identifie les menaces actives et alerte les équipes de sécurité ou prend des mesures automatisées pour empêcher les acteurs de la menace de causer des dommages.
En savoir plus sur la détection des menaces dans votre pile SaaS
