Aujourd'hui, je suis heureux d'annoncer SilverfortLa solution de réponse aux incidents (IR) Identity-First de , qui renverse le scénario du processus IR traditionnel en commençant par la recherche et l'isolement des identités d'utilisateurs compromises. Plutôt que de se concentrer d'abord sur les machines infectées par des logiciels malveillants, notre solution permet aux équipes IR d'identifier et de contenir rapidement les identités d'utilisateurs compromises, le point d'entrée le plus courant pour les attaquants. Conçue pour compléter les outils IR existants, cette approche proactive réduit considérablement le temps nécessaire pour contenir une attaque, minimise les dommages et permet une récupération plus rapide.
En commençant par l’identité, les équipes IR peuvent détecter et bloquer protocoles d'authentification Les attaques par intrusion tentent de localiser les comptes compromis et de les isoler instantanément. Cette approche permet d'identifier les menaces plus rapidement que les méthodes traditionnelles, qui commencent souvent par le processus long et complexe de recherche des machines infectées ou de surveillance du trafic réseau. Une fois que les attaquants ont obtenu l'accès, ils peuvent se déplacer latéralement dans votre réseau. Se concentrer sur l'identité permettra de réduire les dommages plus rapidement et plus efficacement que d'examiner les points de terminaison dans un premier temps.
Éric Haller, Silverfort conseiller et ancien vice-président de SecOps & GRC chez Palo Alto Networks l'explique le mieux :
« Identifier les actifs impactés lors de la réponse aux incidents majeurs impliquant mouvements latéraux est un défi sérieux. Souvent, lors du déploiement d'actions de confinement, les praticiens doivent prendre des décisions difficiles avec des informations incomplètes, en équilibrant les dommages causés par l'attaquant et la perturbation de l'activité. Être en mesure de contester immédiatement tous les événements d'authentification tout en permettant aux opérations commerciales de se poursuivre, c'est comme un chirurgien qui ralentit le rythme cardiaque d'un patient pour pratiquer une intervention chirurgicale. Vous pouvez effectivement mettre une entreprise entière « sous séquestre » pendant que vous enquêtez sur la source du problème, sans nuire à la productivité. Silverfort« Les équipes obtiennent des données de télémétrie exploitables sur ce qui doit être contenu afin qu'elles puissent maintenir leurs activités opérationnelles pendant qu'elles enquêtent et déterminent la meilleure voie vers la récupération et la remédiation. »
Comment Silverfort Accélère les délais de réponse aux incidents
Silverfort's Solution IR axée sur l'identité s'intègre parfaitement aux systèmes de gestion des identités et des accès (IAM) tels que Active Directory, Okta, PingFederate et d’autres, permettant aux intervenants d’isoler les comptes compromis, de contenir les attaques en temps réel et de bloquer toute propagation ultérieure, le tout sans nécessiter une enquête approfondie.
Voici une ventilation étape par étape de la façon dont Silverfort accélère la réponse aux incidents :
Étape 1 : Arrêter immédiatement l’attaque
L'utilisation de authentification multi-facteur et la segmentation basée sur l'identité, les organisations peuvent prendre le contrôle immédiat des accès malveillants avec Silverfort. Ce confinement arrête les mouvements latéraux, même via des outils comme PowerShell ou PsExec, sans nécessiter d'enquête manuelle approfondie au préalable. Le blocage de l'accès se produit instantanément pour empêcher une propagation ultérieure. Avec SilverfortAvec le pare-feu d'authentification, les organisations peuvent bloquer l'accès aux ressources en fonction de l'identité de l'utilisateur et de l'analyse d'authentification en temps réel.
Étape 2 : Identifier rapidement les comptes compromis
Les attaquants se révéleront en déclenchant des tentatives d'accès refusées ou des défis MFA bloqués. Silverfort fournit des pistes d'audit détaillées afin que les équipes de sécurité puissent retracer les mouvements de l'attaquant jusqu'au patient zéro. En localisant les identités compromises à un stade précoce, les intervenants peuvent bloquer toute activité malveillante ultérieure et concentrer leurs efforts d'investigation sur les zones critiques.
Étape 3 : Récupération progressive et réduction de la surface d'attaque
Alors que les intervenants éradiquent les activités malveillantes, Silverfort permet de rétablir progressivement l'accès des utilisateurs tout en maintenant les mesures de sécurité critiques. La plateforme identifie les faiblesses liées à l'identité, telles que administrateurs fantômes et les comptes de service non surveillés, pour combler les failles de sécurité et éliminer les chemins d’attaque potentiels.
Témoignage client : prouvé dans des scénarios réels
Un exemple notable de répondants IR utilisant avec succès notre solution provient d'une entreprise du Fortune 100 finance société de services qui a récemment subi une violation importante. Les attaquants ont eu accès à des systèmes critiques, menaçant la sécurité de leur environnement. L'équipe IR a déployé notre solution sur plus de 100 contrôleurs de domaine en moins de 12 heures, en appliquant une politique de blocage d'accès pour tous les utilisateurs et ressources. Cette réponse rapide a permis de contenir l'attaque dans son état actuel et d'empêcher toute nouvelle attaque. ransomware se propager.
"Silverfort nous a immédiatement aidé à atténuer l’impact de utilisateurs compromis« C’était l’un des outils les plus importants que nous avons utilisés pour analyser les flux d’authentification et identifier les identités compromises lorsque nous avons remis nos contrôleurs de domaine en ligne », a déclaré un responsable des identités de l’entreprise. « Nous avons rapidement travaillé avec l’équipe IR pour mettre en place des politiques de blocage sur les identités compromises. »
Cette étude de cas concrète démontre comment notre approche axée sur l'identité réduit considérablement les délais de réponse aux incidents, de quelques jours et semaines à quelques heures seulement, afin que les organisations puissent récupérer avec un minimum de perturbations.
Intégration avec les outils et infrastructures existants
Nous avons conçu notre solution pour compléter les outils IR existants , et de s'intégrer de manière transparente à l'infrastructure des opérations de sécurité, comme les plateformes SIEM, SOAR et XDR. Les signaux de menace liés à l'identité enrichissent les processus de réponse aux incidents existants, améliorant la détection et la corrélation des signaux de risque sur l'ensemble de l'infrastructure.
En cas de crise, notre pare-feu d’authentification agit comme un « kill switch » en analysant chaque tentative d’authentification et d’accès aux ressources critiques et en refusant les demandes provenant d’identités compromises. En déclenchant ces politiques, les équipes IR peuvent contenir l’attaque et bloquer tout accès supplémentaire, et continuer à enquêter avec une visibilité totale sur ce qui a été compromis.
SilverfortPolitiques de blocage en temps réel et informations médico-légales, et l'application de l'AMF non seulement arrête une attaque dans son élan, mais fournit également à l'équipe IR des données exploitables pour assurer une récupération sécurisée.
Accélérez la réponse aux incidents avec Silverfort
SilverfortLa réponse aux incidents basée sur l'identité d'Identity-First offre une nouvelle approche de la réponse aux incidents, plus rapide, plus précise et incroyablement efficace. En se concentrant sur les identités compromises plutôt que sur les machines infectées, les équipes de sécurité gardent une longueur d'avance sur les attaquants. Le résultat ? Des délais de récupération plus courts, des dommages réduits et la confiance nécessaire pour affronter même les menaces les plus sophistiquées.
Pour les organisations qui cherchent à moderniser leurs stratégies de réponse aux incidents, nous sommes ravis d'offrir une solution puissante et éprouvée qui s'intègre parfaitement à l'infrastructure existante tout en offrant une protection inégalée contre attaques basées sur l'identité.
Intéressé à en savoir plus? Vérifier notre manuel de jeu IR or demander une démoNotre équipe vous accompagnera à chaque étape du processus.
