Véritable protection ou fausse promesse ? Le guide ultime de sélection des solutions ITDR


10 juillet 2024L’actualité des hackersSécurité des terminaux / Sécurité des identités

Nous sommes à l’ère de la sécurité des identités. L’explosion des attaques de ransomwares a fait prendre conscience aux RSSI et aux équipes de sécurité que la protection des identités était en retard de 20 ans sur leurs terminaux et leurs réseaux. Cette prise de conscience est principalement due à la transformation du mouvement latéral, qui n’était autrefois qu’un art, que l’on trouve uniquement dans les APT et les principaux groupes de cybercriminalité, en une compétence courante utilisée dans presque toutes les attaques de ransomware. Le mouvement latéral utilise des identifiants compromis pour un accès malveillant – un angle mort critique que les solutions XDR, réseau et SIEM existantes ne parviennent pas à bloquer.

Détection et réponse aux menaces d’identité (ITDR) est apparue ces dernières années pour combler cette lacune. Cet article présente les cinq principales fonctionnalités ITDR et fournit les questions clés à poser à votre fournisseur ITDR. Seul un « OUI » définitif à ces questions peut garantir que la solution que vous évaluez peut effectivement tenir sa promesse en matière de sécurité des identités.

Couverture pour tous les utilisateurs, ressources et méthodes d’accès

Pourquoi c’est important?

Une protection partielle est aussi bonne qu’aucune protection du tout. Si l’identité est le nom du jeu, alors La protection ITDR doit s’étendre à tous les comptes utilisateursdes ressources sur site et dans le cloud, et, ce qui n’est pas moins important, toutes les méthodes d’accès.

Quelles questions poser :

  1. L’ITDR couvre-t-il également les identités non humaines, telles que les comptes de service Active Directory (AD) ?
  1. L’ITDR peut-il analyser l’intégralité de la piste d’authentification des utilisateurs, sur les ressources sur site, les charges de travail cloud et les applications SaaS ?
  1. L’ITDR détecterait-il un accès malveillant via des outils d’accès en ligne de commande tels que PsExec ou PowerShell ?

En temps réel (ou aussi proche que possible)

Pourquoi c’est important?

La vitesse de détection des menaces est importante. Dans de nombreux cas, elle peut faire la différence entre la détection et l’atténuation d’une menace à un stade précoce ou l’enquête sur une violation active de grande ampleur. Pour y parvenir, l’ITDR doit appliquer son analyse aux authentifications et aux tentatives d’accès aussi près que possible de leur apparition.

Quelles questions poser :

  1. La solution ITDR s’intègre-t-elle directement aux fournisseurs d’identité sur site et dans le cloud pour analyser les authentifications au fur et à mesure qu’elles se produisent ?
  1. L’ITDR interroge-t-il l’IDP pour détecter les changements dans la configuration du compte (par exemple, OU, autorisations, SPN associé, etc.) ?

Détection d’anomalies multidimensionnelles

Pourquoi c’est important?

Aucune méthode de détection n’est à l’abri des faux positifs. La meilleure façon d’augmenter la précision est de rechercher plusieurs types d’anomalies différents. Bien que chacune d’entre elles puisse se produire lors d’une activité utilisateur légitime, l’apparition mutuelle de plusieurs d’entre elles augmenterait la probabilité qu’une attaque réelle soit détectée.

Quelles questions poser :

  1. La solution ITDR peut-elle détecter des anomalies dans le protocole d’authentification (par exemple, l’utilisation du hachage, le placement des tickets, un cryptage plus faible, etc.) ?
  1. La solution ITDR établit-elle le profil du comportement standard des utilisateurs pour détecter l’accès à des ressources qui n’ont jamais été consultées auparavant ?
  1. La solution ITDR analyse-t-elle les modèles d’accès associés avec mouvement latéral (par exemple, accéder à plusieurs destinations dans un court laps de temps, passer de la machine A à la machine B puis de B à C, etc.) ?

Besoin d’une solution ITDR pour sécuriser la surface d’attaque d’identité de vos environnements sur site et cloud ? Découvrez comment fonctionne Silverfort ITDR et demandez une démo pour voir comment nous pouvons répondre à vos besoins spécifiques.

Détection de chaîne avec MFA et blocage d’accès

Pourquoi c’est important?

La détection précise des menaces est le point de départ, et non la fin de la course. Comme nous l’avons mentionné ci-dessus, le temps et la précision sont la clé d’une protection efficace. Tout comme un EDR qui met fin à un processus malveillant ou un SSE qui bloque le trafic malveillant, la capacité à déclencher le blocage automatique des tentatives d’accès malveillantes est impérative. Bien que l’ITDR ne puisse pas le faire lui-même, il doit être capable de communiquer avec d’autres contrôles de sécurité des identités pour atteindre cet objectif.

Quelles questions poser :

  1. L’ITDR peut-il donner suite à la détection d’un accès suspect en déclenchant une vérification renforcée à partir d’une solution MFA ?
  1. L’ITDR peut-il donner suite à la détection d’un accès suspect en demandant au fournisseur d’identité de bloquer complètement l’accès ?

Intégration avec XDR, SIEM et SOAR

Pourquoi c’est important?

La protection contre les menaces est assurée par le fonctionnement conjoint de plusieurs produits. Ces produits peuvent se spécialiser dans une certaine facette de l’activité malveillante, regrouper des signaux dans une vue contextuelle cohérente ou orchestrer un manuel de réponse. En plus des capacités que nous avons énumérées ci-dessus, l’ITDR doit également s’intégrer de manière transparente à la pile de sécurité déjà en place, de préférence de manière automatisée autant que possible.

Quelles questions poser :

  1. La solution ITDR peut-elle envoyer des signaux de risque à l’utilisateur XDR et importer des signaux de risque sur les processus et les machines ?
  1. L’ITDR partage-t-il ses conclusions en matière de sécurité avec le SIEM en place ?
  1. La détection par l’ITDR d’un accès utilisateur malveillant peut-elle déclencher le playbook SOAR sur l’utilisateur et les ressources auxquelles il est connecté ?

Silverfort ITDR

L’ITDR de Silverfort fait partie d’une plateforme de sécurité des identités consolidée qui comprend, entre autres fonctionnalités, l’authentification multifacteur, la sécurité des accès privilégiés, la protection des comptes de service et les pare-feu d’authentification. Construit sur une intégration native avec AD, Entra ID, Okta, ADFS et Ping Federate, Silverfort ITDR analyse chaque tentative d’authentification et d’accès dans l’environnement hybride et applique plusieurs méthodes d’analyse des risques croisées pour détecter les activités malveillantes des utilisateurs et déclencher des contrôles de sécurité des identités en temps réel.

En savoir plus sur Silverfort ITDR ici ou planifier un démo avec l’un de nos experts.

Vous avez trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.





ttn-fr-57