À première vue, la détection et la réponse aux menaces d'identité (ITDR) et la gestion de la posture de sécurité des identités (ISPM) ressemblent à deux noms pour la même chose (car une chose que nous vraiment Le besoin en cybersécurité est plus d'acronymes). Bien qu'ils partagent certaines similitudes - comme un œil aiguisé pour les problèmes - ils jouent chacun un rôle très spécifique dans sécurité d'identité et résolvent des problèmes très différents. Mais c'est précisément pour cela qu'ils se complètent si bien. Dans cet article, nous allons détailler ce que chacun fait, comment ils fonctionnent ensemble et pourquoi vous ne pouvez pas vous permettre d'ignorer ces différences.
ISPM : Réduire de manière proactive la surface d'attaque des identités
La fonction principale de l'ISPM est d'accroître la visibilité sur l'ensemble de votre infrastructure d'identité, y compris les utilisateurs, les ressources et les autorisations, que ce soit sur site ou dans le cloud. ITDR Identity Segmentation En se concentrant sur la réponse en temps réel aux menaces en cours, ISPM garantit que votre environnement ne contient pas de faiblesses exploitables en premier lieu.
La NIMP évalue en permanence l'état de votre surface d'attaque d'identité pour identifier les faiblesses avant ils sont ciblés par une attaque réelle. Ces faiblesses peuvent inclure des erreurs de configuration, des privilèges excessifs, des pratiques malveillantes et une infrastructure héritée non sécurisée. Par exemple, les comptes configurés avec une délégation sans contrainte sont des cibles idéales pour l'escalade des privilèges, ce qui intéresse toujours les attaquants car cela leur permet de acquérir des autorisations de niveau supérieur. ISPM, cependant, peut détecter de telles erreurs de configuration et alerter l'équipe d'identité, lui donnant ainsi la possibilité de corriger – ou au moins d'atténuer – le problème avant que des attaques ne soient lancées.
ITDR : identifier les attaques en cours
ITDR est une solution de sécurité spécialement conçue pour détecter et répondre aux TTP (tactiques, techniques et procédures) liées à l'identité, telles que définies par MITRE ATT & CK) ciblant l'accès aux informations d'identification, l'escalade des privilèges ou le mouvement latéral. Par exemple, les attaquants utilisent souvent identifiants compromis pour obtenir un accès initial à un environnement, se déplacer latéralement et propager des ransomwares. ITDR Il est de notre devoir de détecter ce flux pendant qu'il est en cours et, surtout, de l'arrêter avant que trop de dégâts ne soient causés. Pensez à ITDR Identity Segmentation En tant que gardien des identités, il surveille de près toutes les authentifications et tentatives d'accès en temps réel pour repérer toute présence et activité malveillante potentielle, comme les tentatives d'accès à des ressources sensibles à partir d'emplacements non autorisés. Lorsqu'une menace est détectée, l'ITDR doit déclencher une réponse, comme alerter l'équipe de sécurité ou, mieux encore, verrouiller les comptes concernés, et permettre une enquête plus approfondie.
ITDR et NIMP : mieux ensemble
ITDR et NIMP sont les deux faces d'une même pièce : l'atténuation et la correction. En tant que telles, elles fonctionnent mieux lorsqu'elles sont combinées. ISPM surveillera et renforcera en permanence votre infrastructure d'identité pour réduire vos risques. surface d'attaque, tandis que l'ITDR détectera et répondra aux menaces actives.
Voici comment ils fonctionnent ensemble et pourquoi vous avez besoin des deux :
| ITDR Identity Segmentation | NIMP |
| Détection de comportement anormal : Tous les utilisateurs doivent avoir un profil comportemental individuel et un score de risque, afin que l'ITDR puisse identifier les comptes qui peuvent avoir été compromis en fonction des écarts par rapport à leur comportement normal. | Visibilité et inventaire : La NIMP offre une visibilité sur les activités de l'organisation. attaque d'identité surface, maintient un inventaire détaillé de tous les utilisateurs et rend ces données disponibles pour une exploration et une enquête plus approfondies. |
| Détection des TTP : ITDR peut détecter les TTP, y compris KerberastingPass-the-Hash, Pass-the-Ticket, Force brute, Analyse des informations d'identification, Mouvement latéral, et plus encore. | Analyse des risques et remédiation : L'ISPM analyse, classe et hiérarchise les risques et propose des recommandations pour la correction et l'amélioration de la posture. |
| Enquête et réponse : Lorsqu'un utilisateur affiche un comportement suspect, ITDR peut lancer des procédures de réponse automatisées, comme le blocage de l'accès de l'utilisateur ou la mise en quarantaine des utilisateurs ou des ressources compromis jusqu'à la fin de l'enquête. Par exemple, lorsqu'un terminal est attaqué, ITDR peut déterminer qui s'est connecté et quelles ressources ont été utilisées. | Hygiène de l'identité : Le fait de disposer d'une norme ISPM permet à une organisation d'avoir une vue à 360 degrés de ses performances en matière de sécurité des identités. La norme ISPM utilise généralement un système de notation pour indiquer aux organisations où elles se situent ; à mesure que les problèmes sont résolus, le score ISPM augmente. |
Application de la théorie à la pratique : exemples concrets
Il ne s’agit pas d’une simple théorie. Malheureusement, il existe bien trop d’exemples concrets qui illustrent la nécessité d’une ITDR et d’une NIMP.
Lors de la violation de Snowflake en 2024, par exemple, les attaquants ont utilisé des informations d'identification compromises pour accéder à des données critiques (vous pouvez en savoir plus sur cette violation ici.) La NIMP aurait pu jouer un rôle préventif majeur dans ce cas. L'enquête a mis en évidence une grave absence de authentification multi-facteur – une faiblesse majeure qui aurait pu être signalée par la norme ISPM et atténuée en appliquant des contrôles d’accès plus stricts avant qu’elle ne devienne un problème. Si les attaquants avaient quand même réussi à accéder à leurs systèmes, l’ITDR l’aurait probablement détectée beaucoup plus tôt et aurait donné une longueur d’avance à leurs équipes de sécurité.
De même, le Vulnérabilité d'authentification incorrecte MOVEit 2023 L'accès initial a été bloqué par ITDR et ISPM, mais l'activité suspecte aurait pu être détectée et son impact considérablement réduit. Par exemple, si des attaquants tentaient de se déplacer latéralement ou d'interagir avec des systèmes ou des données en dehors des heures de bureau ou à partir d'emplacements inconnus, ITDR aurait pu le détecter. Quant à ISPM, il évalue en permanence l'environnement pour identifier les erreurs de configuration et les failles, comme dans ce cas, en laissant une application comme MOVEit accessible à des utilisateurs non autorisés sans contrôles supplémentaires.
Réflexions finales
L'ITDR et l'ISPM fonctionnent mieux lorsqu'ils sont unis. L'ISPM renforce votre posture de sécurité des identités, vous sensibilisant à vos faiblesses d'identité avant les attaquants potentiels, et l'ITDR vous donne la possibilité de les gérer. menaces d'identité En travaillant ensemble, ils ne se contentent pas de combler les lacunes individuelles : ils comblent les lacunes pour parvenir à une approche unifiée de la sécurité des identités.