Comment Silverfort Vous permet de détecter et de résoudre les risques d’identité sans effort

Lorsqu’il s’agit de protéger les organisations contre les compromissions, que signifie la visibilité ? C'est un mot souvent utilisé dans le secteur de la sécurité, mais il est rarement entièrement défini.

Dans le contexte de Protection de l'identité, la visibilité est la capacité de visualiser et de gérer toutes les données et les risques de sécurité associés à un compte d'utilisateur – et obtenez des informations exploitables à partir de ces informations. C’est important car, sans une visibilité complète sur des éléments tels que l’activité des utilisateurs et de l’authentification, les autorisations d’accès, les identités à risque, les applications autorisées, etc., vous pourriez laisser des failles critiques en matière de sécurité des identités sans même le savoir.

Dans cet article, nous mettrons en évidence les différents défis auxquels les organisations sont confrontées lorsqu'elles n'ont pas une visibilité complète sur l'activité et les demandes d'authentification de leurs utilisateurs. Ensuite, nous montrerons comment Silverfort permet aux clients d'obtenir une visibilité complète sur leurs environnements, permettant une détection en temps réel et des informations exploitables pour résoudre les risques d'identité avec un effort presque nul.

La gestion des utilisateurs s'accompagne d'un manque de contexte et de visibilité

Dans la plupart des cas, un utilisateur type est associé à plusieurs identités différentes dans les services cloud ou sur site de l'environnement hybride de son organisation.

De plus, la plupart des annuaires d’utilisateurs ne disposent pas des outils nécessaires pour rendre compte des données et des risques associés à une identité particulière. La grande quantité de données utilisateur résidant dans des systèmes comme Active Directory ou le SIEM d'une organisation peut rendre difficile le suivi, la gestion et la surveillance des identités des utilisateurs, des autorisations d'accès et de la visualisation efficace des activités.

Malheureusement, très peu de solutions peuvent regrouper toutes les données d’inventaire et d’identité. Il en résulte des informations fragmentées et incomplètes sur qui a accès à quelles ressources et comment ils les utilisent. Par conséquent, même si les administrateurs de sécurité connaissent tout ou partie des identités et des activités associées à un utilisateur, ils peuvent ne pas comprendre clairement quelles autorisations ont été attribuées, héritées ou partagées. Il s’agit d’un sérieux défi en matière de protection de l’identité.

En raison de ce manque de visibilité, des risques potentiels liés à l'identité peuvent survenir, tels qu'un accès non autorisé ou une utilisation abusive des privilèges. Sans une visibilité complète sur vos utilisateurs et leurs capacités d'accès, il devient de plus en plus difficile de protéger les données sensibles et les actifs critiques. C’est pourquoi il est impératif de reconnaître que la sécurité commence véritablement par la visibilité.

Silverfort Fournit une visibilité complète à tous les utilisateurs

Silverfort découvre et protège automatiquement tous des comptes d'utilisateurs ou administrateurs dans un environnement hybride contre les menaces basées sur l'identité et offre une visibilité centralisée sur chaque demande d'authentification et d'accès. En conséquence de SilverfortLes intégrations natives de avec tous les fournisseurs d'identité, y compris Active Directory, il peut enregistrer chaque demande d'authentification. Cela fournit une vue unifiée de toutes les activités réseau de chaque utilisateur et de toute ressource de l’environnement hybride.

Avec une visibilité complète sur toutes les activités des utilisateurs, SilverfortLe moteur de risque de peut déterminer la légitimité de chaque authentification, afin que les organisations puissent détecter et répondre aux menaces de sécurité potentielles en temps réel, notamment en bloquant l'accès à tout compte affichant un comportement anormal.

Ceci n'est qu'un aperçu de la façon dont SilverfortLes capacités de visibilité de peuvent vous aider à renforcer votre gestion de la posture de sécurité des identités. Voyons maintenant comment vous pouvez gagner en visibilité sur tous les utilisateurs du Silverfort console.

Visibilité de l'activité et de l'authentification des utilisateurs

Contexte utilisateur complet

Le Silverfort L'écran des journaux offre une visibilité complète sur tous les journaux utilisateur, l'activité d'authentification et les indicateurs de risque. Le moment Silverfort est intégré à votre IDP, tous les comptes utilisateurs sont détectés, vous permettant de suivre leur activité et les risques associés. Au fur et à mesure que chaque utilisateur est détecté, ses détails sont affichés, y compris le nom d'utilisateur, le niveau de risque attribué par Silverfort, type d'identification, Silverfortet le résultat de l'IdP.

Filtrage par indicateurs de risque

Dans l'écran Journaux, les utilisateurs peuvent filtrer leurs journaux en fonction du type de compte ou de l'indicateur de risque. Cela permet à l'utilisateur de visualiser ses utilisateurs en fonction des différents indicateurs de risque qui ont été détectés et attribués par Silverfortmoteur de risque. Silverfort prend en charge de nombreux indicateurs de risque d'utilisateurs différents tels que NTLMv1, kerberoasting, force brute, MFA bombardement, activité MFA anormale, échecs d’authentification et bien d’autres encore. En filtrant par indicateur de risque, vous bénéficiez d'une visibilité et d'un aperçu complets de vos utilisateurs à risque, et vous pouvez désormais remédier aux différents risques présentés par chaque utilisateur.

Voici deux indicateurs de risque importants que nombre de nos clients ont tendance à filtrer au sein de leur Silverfort Écran Journaux de la console :

NTLMv1

Qu’est-ce que c’est? NTLMv1 est la version héritée du protocole NTLMv2 utilisé aujourd'hui dans Active Directory environnements. 

Qu'est-ce qui rend cela risqué? NTLMv1 utilise des algorithmes de chiffrement relativement faibles, qui peuvent être facilement piratés par des attaquants qui interceptent son trafic d'authentification. Cela expose les environnements qui utilisent NTLMv1 à des compromissions critiques.

Comment pouvons-nous Silverfort les utilisateurs appliquent-ils cette fonctionnalité ? Silverfort découvre toutes les authentifications NTLMv1 dans un environnement. SilverfortLe moteur de risque de détecte les authentifications NTLMv1 et les signale comme indicateur de risque, qui peut être utilisé comme filtre pour découvrir les machines qui effectuent des authentifications similaires et également comme déclencheur de politique d'accès.

Dans l’écran Journaux d’authentification, cochez la case Authentification NTLMv1. Une fois cochées, toutes les authentifications correspondantes sont affichées avec tous les champs standards d'authentification (source, destination, etc.) qui peuvent être encore améliorés avec des filtres supplémentaires. 

En plus de fournir une visibilité sur le moment où les authentifications NTLMv1 sont utilisées, Silverfort peut également vous protéger, vous et votre organisation, en empêchant l’utilisation de NTLMV1. Notre article de blog Détecter et résoudre les risques de NTLMv1 explique comment vous pouvez vous protéger contre l’utilisation des authentifications NTLMv1.

Administrateurs fantômes

Qu’est-ce que c’est? Administrateurs fantômes sont des comptes d'utilisateurs qui possèdent un accès administrateur ou sont capables de l'obtenir, même s'ils ne sont pas membres d'un groupe d'administrateurs documenté. Les équipes informatiques ignorent généralement l’existence de ces comptes car il n’existe aucune documentation sur les privilèges excessifs dont ils disposent.

Qu’est-ce qui les rend risqués ? Étant donné que ces comptes ne sont pas considérés comme des comptes d'administrateur par l'équipe informatique, ils ne sont pas soumis aux contrôles de sécurité courants des comptes d'administrateur (PAM et Bastion, MFA., etc.). Cela fait de ces comptes une cible lucrative pour les adversaires qui peuvent facilement les compromettre et abuser de leurs privilèges pour y accéder de manière malveillante.

Comment puis-je détecter les administrateurs fantômes avec Silverfort?  In SilverfortDans l'écran Journaux d'authentification de , ajoutez le Indicateur de risque filtrer et vérifier Administrateurs fantômesCliquez sur Appliquer et ajustez la plage de temps en fonction de votre calendrier de surveillance. Cela affichera tous les administrateurs fantômes qui ont été ajoutés à l'environnement pendant cette période.

Lors de la découverte d'un compte, vous pouvez cliquer sur l'icône d'enquête pour voir exactement à quelles ressources il a tenté d'accéder depuis sa création. Vous pouvez ensuite décider de les supprimer entièrement ou de supprimer leurs autorisations redondantes.

Gestion de la posture de sécurité des identités

Les organisations peuvent consulter l'inventaire des identités de leur environnement dans l'écran d'informations du Silverfort console, y compris les utilisateurs, les ressources, les utilisateurs à risque, etc.

Cet écran affiche les types d'utilisateurs et de ressources de votre environnement ainsi que les faiblesses de votre sécurité dont les adversaires peuvent abuser pour lancer des menaces d'identité. Parmi ceux-ci figurent les administrateurs fantômes, les utilisateurs administrateurs avec des SPN, les comptes avec des mots de passe qui n'expirent pas, et bien d'autres encore.

Cet écran vous permet de recueillir des informations exploitables sur l'état de sécurité de votre environnement et de prendre des mesures pour le résoudre, ce qui rend beaucoup plus difficile pour les acteurs malveillants d'attaquer votre entreprise.

La visibilité en temps réel est le fondement de la protection de l'identité

Une visibilité complète sur les ressources et les utilisateurs dans les environnements hybrides devient une priorité absolue pour les organisations qui cherchent à adopter une approche proactive de la protection des identités. La bonne nouvelle est qu'avec Silverfort, ils peuvent bénéficier d'une visibilité complète sur l'ensemble de leur identité surface d'attaque de manière simple et entièrement automatisée. Il s’agit de la première étape vers le renforcement de votre environnement contre les menaces d’identité et la réduction des chances de réussite d’une attaque.

Vous cherchez à obtenir une visibilité complète sur votre environnement ? Contactez l'un de nos experts ici.