Sécurité des identités dans les fusions et acquisitions : gagnez en visibilité sur les environnements consolidés avec Silverfort 

Accueil » Blog » Sécurité des identités dans les fusions et acquisitions : gagnez en visibilité sur les environnements consolidés avec Silverfort 

Lorsqu'une entreprise envisage d'acquérir une autre organisation par le biais d'une fusion ou d'un achat, il est important de savoir quels risques de sécurité pourraient accompagner l'acquisition. Sans cela, les organisations pourraient s’exposer à d’importants défis financiers et juridiques. 

Suite à une fusion et acquisition, les équipes informatiques doivent fusionner différentes technologies et ressources à mesure que les organisations participantes deviennent de plus en plus interconnectées. Un environnement nouvellement acquis apporte ses propres systèmes informatiques, réseaux et des comptes d'utilisateurs ou administrateurs – avec ses propres risques uniques – pour une infrastructure existante. Cela peut entraîner un environnement très complexe dans lequel les administrateurs peuvent avoir du mal à comprendre toutes les ressources, applications et utilisateurs de l'entité consolidée. 

La nouvelle entité consolidée doit être capable de combiner tous les domaines et ressources en une seule infrastructure informatique unifiée. Cela signifie comprendre le type de comptes et de ressources dont vous avez besoin pour migrer ; par exemple, quels comptes sont des comptes de service et quel type d'applications vous devez fusionner. Dans la plupart des cas, l'équipe informatique ne connaît pas grand-chose de l'environnement acquis ou de ses utilisateurs. 

Ce manque de visibilité sur le nouvel environnement, ses ressources et ses utilisateurs crée un angle mort majeur – et potentiellement bien d’autres risques de sécurité.  

Protection des forêts Active Directory consolidées 

Avec Silverfort, les organisations peuvent migrer rapidement et facilement les ressources et les utilisateurs du nouvel environnement vers le domaine de l'entité principale, accélérant ainsi le processus d'intégration post-fusion. Silverfort peut également offrir aux organisations une visibilité complète de leurs environnements existants et entrants, leur permettant de protéger les deux et d'identifier les risques associés à l'intégration. En appliquant de nouvelles mesures de sécurité avec Silverfort, les organisations peuvent se défendre de manière proactive contre les cybermenaces entrantes telles que mouvement latéral attaques. 

Visibilité et surveillance des comptes de service 

Silverfort identifie automatiquement tous les comptes de service et surveille leur authentification et leur comportement dans un environnement consolidé. Silverfort est capable d'accomplir cela car les comptes de machine et de service présentent des modèles de comportement prévisibles, permettant une identification et une catégorisation automatiques sur l'écran des comptes de service. 

Silverfort prend également en charge les comptes de service gérés de groupe (gMSA) et propose un filtre qui vous permet de voir chaque gMSA de votre système. Chaque gMSA sera détecté et traité comme n'importe quel autre. compte de service

Silverfort identifie les comptes de service de plusieurs manières différentes : 

• Analyse comportementale – Silverfort suit le comportement du compte pour identifier les modèles de trafic répétitifs. 

• Configuration AD – Silverfort vérifie les attributs du compte dans AD pour trouver les caractéristiques communes aux comptes de service. 

• Conventions de nommage - Silverfort contient un référentiel de conventions de dénomination généralement utilisées pour les comptes de service. 

• Informations personnalisées – Silverfort reçoit des commentaires de l'administrateur concernant la structure des comptes de service dans les environnements clients (comme OU, SG et les conventions de dénomination). 

• gMSA – Les différents types de comptes définis dans AD sont utilisés comme comptes de service. 

Surveillance et analyse des risques des comptes de services

Une fois que tous les comptes de service migrés ont été identifiés, vous pouvez surveiller leur activité et les risques associés. Silverfort fournit des informations et une visibilité en temps réel sur tous les détails et comportements des comptes de service, tout en surveillant et en auditant en permanence leur utilisation. 

Avec une surveillance continue de toutes les activités d'authentification et d'accès de tous les comptes de service migrés, Silverfort peut évaluer le risque associé à chaque tentative d’authentification et détecter tout comportement suspect ou anomalie. 

Visibilité de l'activité et des authentifications des utilisateurs 

Utilisation de l'écran Journaux dans le Silverfort console, les organisations auront une visibilité complète sur tous les journaux d’utilisateurs et les activités d’authentification. Pour celles qui subissent une fusion, les organisations auront une meilleure compréhension des utilisateurs entrants, de ce à quoi ils tentent d'accéder et de leur score de risque. 

Vous pouvez afficher les détails des journaux d'un utilisateur, l'activité d'authentification et les indicateurs de risque, et obtenir des informations plus exploitables en cliquant sur l'icône « Enquêter » à côté de l'utilisateur dans l'écran Journaux. Grâce à ces détails, les organisations disposent d'une visibilité complète sur chaque utilisateur et son activité d'authentification. 

Grâce à une visibilité complète sur les ressources migrées, les comptes de service et les utilisateurs, les organisations peuvent être assurées que leur environnement consolidé est protégé et que leur environnement global est protégé. sécurité d'identité la gestion de la posture est à jour.  

Pare-feu d'authentification en action : prévention d'une attaque par mouvement latéral sur plusieurs domaines 

La nécessité d'améliorer la visibilité et les contrôles de sécurité dans toutes les entités du domaine lors des fusions et acquisitions a été soulignée pour l'un des Silverfortles clients. En avril 2024, un fabricant européen a fait appel à nos services de sécurité des identités pour l'aider dans ses capacités de chasse aux menaces, car il a compris que l'une des sociétés qu'il avait acquises avait été compromise et soumise à une cyberattaque.  

Dans le cadre d'une acquisition plus importante, ce client avait également acquis une plus petite entité basée aux États-Unis qu'il avait intégrée à son organisation. À l'époque, ils avaient créé une confiance bidirectionnelle entre les domaines de leurs entités afin d'intégrer le plus petit domaine dans la nouvelle organisation consolidée. À l'insu de l'équipe informatique, l'entité acquise disposait de contrôles de sécurité limités : elle n'avait aucun MFA protection pour l’accès VPN ou tout EDR sur le point final. En conséquence, l'entité acquise a été compromise par des acteurs malveillants qui ont tenté de se déplacer latéralement de la plus petite entité vers le domaine du client pour mener une attaque de ransomware.  

Le flux d'attaque : 

  1. Premier accès : À l'aide d'une authentification VPN sécurisée, l'attaquant a ciblé trois utilisateurs différents sur sept serveurs avec une attaque par force brute et a réussi à les compromettre.  
  1. Compromis des informations d'identification: Dès son implantation initiale dans l'environnement et la compromission de l'utilisateur cible, l'attaquant a modifié son mot de passe et créé de nouveaux utilisateurs avec les mêmes privilèges.  
  1. Mouvement latéral: Avec le compte compromis, l'attaquant a tenté de se déplacer latéralement vers un domaine plus vaste, ce qui constitue un Silverfort client. Le domaine le plus vaste a commencé à constater des tentatives d'accès malveillantes à son domaine et a contacté Silverfort pour obtenir de l'assistance 

Le flux de protection : 

  1. In Silverfortla console et travailler avec le Silverfort équipe de chasse aux menaces, ils ont compris qu'ils étaient attaqués et ont rapidement appliqué des politiques de refus d'accès pour bloquer tout accès à partir de l'adresse IP de l'entité compromise. 
  1. L'équipe de sécurité du client a segmenté le domaine de l'entité pour garantir qu'aucun accès malveillant ne puisse se produire dans son domaine. Cela a immédiatement bloqué le mouvement latéral.  
  1. Suite à la mise en place d'un pare-feu d'authentification avec des politiques de refus et segmentation identitaire, l'équipe a utilisé Silverfort pour suivre la piste d'authentification des comptes compromis jusqu'à la machine du patient zéro. Ils ont ensuite pu finaliser la remédiation et supprimer la présence malveillante restante du domaine compromis. 

Cet exemple prouve à quel point il est vital d'avoir un Protection de l'identité solution qui offre des fonctionnalités de pare-feu d'authentification, y compris des politiques d'application de refus d'accès, et fonctionnalités de segmentation identitaire. Grâce à une visibilité en temps réel et à des contrôles de sécurité proactifs en place, l'organisation a empêché une attaque par des acteurs malveillants qui possédaient identifiants compromis

Vous cherchez à obtenir une visibilité complète sur votre environnement ? Contactez l'un de nos experts ici

Arrêtez les menaces sur l'identité