L’émergence de la détection et de la réponse aux menaces d’identité
La détection et la réponse aux menaces d’identité (ITDR) sont devenues un élément essentiel pour détecter et répondre efficacement aux attaques basées sur l’identité. Les acteurs de la menace ont montré leur capacité à compromettre l’infrastructure d’identité et à se déplacer latéralement dans les environnements IaaS, Saas, PaaS et CI/CD. Les solutions de détection et de réponse aux menaces d’identité aident les organisations à mieux détecter les activités suspectes ou malveillantes dans leur environnement. Les solutions ITDR donnent aux équipes de sécurité la possibilité d’aider les équipes à répondre à la question « Que se passe-t-il en ce moment dans mon environnement – que font mes identités dans mes environnements ? »
Identités humaines et non humaines
Comme indiqué dans le Guide des solutions ITDR, les solutions ITDR complètes couvrent à la fois les identités humaines et non humaines. Les identités humaines impliquent la main-d’œuvre (employés), les invités (sous-traitants) et les fournisseurs. Les identités non humaines incluent les jetons, les clés, les comptes de service et les robots. Les solutions ITDR multi-environnements peuvent détecter et répondre à tous les risques liés aux entités d’identité, par exemple depuis l’IdP jusqu’aux couches IaaS et SaaS, au lieu de sécuriser les identités dans un niveau fragmenté spécifique à une couche.
Principales capacités ITDR
Les fonctionnalités essentielles d’une solution ITDR incluent :
- Développer un profil d’identité universel pour toutes les entités, y compris l’identité humaine et non humaine, l’activité sur les couches de services cloud et les applications et services sur site.
- Couplage de l’analyse statique, de la gestion des postures et de la configuration de ces identités avec l’activité d’exécution de ces identités dans l’environnement.
- Surveillance et suivi des chemins d’accès directs et indirects et surveillance de l’activité de toutes les identités dans l’environnement.
- Orchestration du suivi et des détections d’identité multi-environnements qui couvrent les fournisseurs d’identité, les applications IaaS, PaaS, SaaS et CI/CD pour suivre l’identité partout où elles vont dans l’environnement.
- Détection et réponse multi-environnement haute fidélité qui permettent aux organisations de prendre des mesures contre les menaces d’identité lorsqu’elles se manifestent sur l’ensemble de la surface d’attaque, plutôt que de réagir à des alertes atomiques à volume élevé basées sur des événements uniques.
Pour une liste complète des fonctionnalités ITDR, vous pouvez accéder à la Guide de solution de détection et de réponse aux menaces d’identité.
Cas d’utilisation de menaces d’identité
Pour se protéger efficacement contre les attaques d’identité, les organisations doivent choisir une solution ITDR dotée de fonctionnalités avancées pour détecter et atténuer les attaques. Ces fonctionnalités doivent répondre à une gamme de cas d’utilisation pour les identités humaines et non humaines, notamment, mais sans s’y limiter :
- Détection de prise de contrôle de compte : Détectez l’une des nombreuses variantes indiquant qu’une identité a été compromise.
- Détection de compromission d’informations d’identification: Identifier et alerter sur l’utilisation d’identifiants volés ou compromis au sein de l’environnement.
- Détection d’escalade de privilèges: Détectez les tentatives non autorisées d’élévation des privilèges au sein des systèmes et des applications.
- Détection de comportement anormal: Surveillez les écarts par rapport au comportement normal de l’utilisateur qui peuvent indiquer une activité malveillante.
- Détection des menaces internes: Identifier et répondre aux actions malveillantes ou négligentes des utilisateurs internes.
Pour une liste complète des cas d’utilisation de menaces d’identité, vous pouvez accéder à la liste complète Guide de solution de détection et de réponse aux menaces d’identité.
Questions auxquelles une solution ITDR efficace devrait répondre
1. INVENTAIRE DES IDENTITÉS ET GESTION DES ACCÈS
Quelles identités d’entités sont présentes dans notre environnement ?
- Inventaire complet des identités humaines et non humaines dans tous les environnements.
Quels rôles et autorisations possèdent ces identités ?
- Détails sur les rôles, les groupes et les autorisations spécifiques dont dispose chaque identité dans différents environnements cloud et sur site.
Quel rôle/groupe a donné accès à une ressource à un utilisateur particulier ? Quelle est la portée des autorisations pour cet accès ?
- Spécificités sur les rôles/groupes et les autorisations qui accordent l’accès aux ressources.
2. ÉVALUATION DES RISQUES ET DÉTECTION DES ANOMALIES
Quelles sont les 10 identités les plus risquées dans ma couche de services cloud ? Quel serait le rayon d’action si l’une de ces identités était compromise ?
- Identification des identités les plus à risque et évaluation de l’impact potentiel de leur compromission.
Existe-t-il des anomalies dans le comportement identitaire ?
- Détection des écarts par rapport aux modèles de comportement normaux pour chaque identité, mettant en évidence une activité malveillante potentielle.
Des informations d’identification ont-elles été compromises ?
- Alertes sur l’utilisation d’identifiants volés ou compromis au sein de l’environnement.
3. MODÈLES D’AUTHENTIFICATION ET D’ACCÈS
Comment les identités sont-elles authentifiées et consultées ?
- Suivi des méthodes d’authentification et des chemins d’accès pour toutes les identités, y compris les points d’accès fédérés et non fédérés.
Quelles sont les sources et les emplacements des tentatives de connexion ?
- Journaux détaillés des tentatives de connexion, y compris les adresses IP, les emplacements géographiques et les informations sur l’appareil.
Comment mon environnement actuel est-il accessible à différents types d’entités (humaines et non humaines) ?
- Surveillance des modèles d’accès pour différents types d’entités dans l’environnement.
Dans quelle mesure l’authentification multifacteur est-elle appliquée à travers les couches d’applications et de services cloud de mon environnement ?
- Évaluation de la mise en œuvre et de l’application de l’authentification multifacteur (MFA) dans l’environnement.
4. SUIVI DES ACTIVITÉS ET SUIVI DES CHANGEMENTS
Quels changements viennent d’être apportés à mon environnement, qui est responsable de ces changements et des changements similaires ont-ils été apportés à d’autres couches de services cloud ?
- Suivi et reporting des modifications récentes, utilisateurs responsables et cohérence inter-couches.
Quelles identités ont accédé à des données sensibles ou à des systèmes critiques ?
- Surveillance et reporting sur l’accès des identités aux référentiels de données sensibles, aux systèmes critiques et aux applications à haut risque.
5. CORRÉLATION DES INCIDENTS ET RÉPONSE
Comment les incidents liés à l’identité sont-ils corrélés dans différents environnements ?
- Corrélation des activités et incidents d’identité dans les environnements IdP, IaaS, PaaS, SaaS, CI/CD et sur site pour fournir une vue unifiée.
Quelles mesures devraient être prises pour atténuer les menaces identifiées ?
- Recommandations exploitables et options de réponse automatisées pour atténuer les menaces d’identité détectées et prévenir de futurs incidents.
Pour une liste complète des questions et des cas d’utilisation commerciale, vous pouvez accéder à la Guide de solution de détection et de réponse aux menaces d’identité.