L'Australian Prudential Regulation Authority (APRA) a récemment publié conclusions d'une étude examinant le niveau de résilience en matière de cybersécurité de ses entités réglementées, qui a révélé un nombre alarmant de failles de sécurité. Dans ce blog, nous examinons aspects de la protection de l'identité de ces lacunes, et discuter de la manière dont les équipes d'identité et de sécurité peuvent évaluer leur posture de sécurité d'identité dans le contexte des conclusions de l'APRA, puis prendre des mesures pour faire face à leur propre résilience face aux menaces d'identité. Chaque écart détecté par l'APRA est complété par son Protection de l'identité implication et suivie d'une question d'évaluation interne.
De plus, nous introduisons Silverfort's Protection unifiée de l'identité plateforme, montrant comment elle peut permettre aux entités réglementées par l'APRA de résoudre l'élément de protection de l'identité de ces lacunes afin de garantir qu'elles maintiennent le plus haut niveau de résilience face aux menaces d'identité.
Lacune n° 1 : Identification et classification des actifs informationnels - Identification de tous les comptes d'utilisateurs
Question d'évaluation de la protection de l'identité : Ai-je tout identifié interne et externe des comptes d'utilisateurs ou administrateurs qui ont accès à des ressources d’information critiques ?
En quoi est-ce important?
Dans le cadre de la protection de l'identité, les comptes d'utilisateurs sont les surface d'attaque il faut le garder. Car si des adversaires parviennent à compromettre ces informations d’identification, ils peuvent alors facilement accéder aux ressources et causer de lourds dégâts. La tâche la plus fondamentale est donc de garantir que chaque compte utilisateur est connu et surveillé. Cela inclut les utilisateurs standards et administratifs, mais également les communications machine-à-machine. privilégiés ainsi que les éventuels prestataires tiers ayant accès à l'environnement de l'entité.
Lacune n° 2 : Contrôles de sécurité des informations des tiers - Application de l'authentification sécurisée
Question d'évaluation de la protection de l'identité : Ai-je mis en place une authentification sécurisée forte pour les sous-traitants tiers qui ont accès à mes ressources internes ?
En quoi est-ce important?
Les adversaires ciblent les chaînes d'approvisionnement tierces parce qu'ils supposent (à juste titre) qu'il s'agit du maillon le plus faible de la pile de protection d'une organisation. L'aspect de la protection de l'identité concerne ici la capacité de l'organisation à appliquer une authentification sécurisée sur son écosystème de chaîne d'approvisionnement et à s'assurer qu'elle peut valider que l'utilisateur demandant l'accès est bien l'entrepreneur lui-même et non un adversaire qui a réussi à compromettre les informations d'identification de l'entrepreneur.
Lacune n° 3 : Programmes de tests de contrôle incluant le mouvement latéral dans les évaluations de l'équipe rouge
Question d'évaluation de la protection de l'identité : Ai-je des programmes de tests de résilience dans mon environnement (c'est-à-dire, Red Team) qui incluent l'utilisation identifiants compromis accéder aux ressources ?
En quoi est-ce important?
Lors d’une cyberattaque, la phase où un adversaire commence à se déplacer latéralement dans l’environnement est le facteur X qui transforme un événement local en un incident au niveau de l’organisation. Si le but de l'attaque est ransomware, la différence réside dans la possibilité de chiffrer plusieurs machines plutôt qu'une seule. S'il s'agit d'un vol de données, mouvement latéral C'est là que l'attaquant parvient à se frayer un chemin de la machine « patient zéro » vers une ressource ciblée où résident des données sensibles. Cela rend l'intégration de cette partie des tests de résilience d'une importance cruciale.
Lacune n° 4 : Plans de réponse aux incidents - Aperçu complet des pistes d'authentification des utilisateurs
Question d'évaluation de la protection de l'identité : Ma pile de visibilité médico-légale inclut-elle la possibilité de visualiser et d'analyser facilement toutes les authentifications et tentatives d'accès des utilisateurs afin de pouvoir suivre le chemin d'un adversaire dans mon environnement ?
En quoi est-ce important?
La partie essentielle d'un processus de réponse consiste à pouvoir retracer le chemin complet des attaques, de l'accès initial aux actions ciblées, afin que chaque instance d'activité et de présence malveillantes puisse être identifiée et supprimée. Du côté de l'identité de cette enquête, il s'agit de la capacité de voir le mouvement des comptes d'utilisateurs entre les machines, d'identifier le point exact où ils ont été compromis et de repérer les techniques malveillantes impliquées dans l'attaque. Cela ne peut être réalisé que s'il existe un hub central où toutes les authentifications et tentatives d'accès sont agrégées.
Lacune n° 5 : Examens d'audit interne des contrôles de sécurité de l'information - Couverture réelle fournie par MFA et PAM
Question d'évaluation de la protection de l'identité : mes audits de sécurité internes impliquent-ils de vérifier l'étendue des mesures de protection de l'identité (par exemple, MFA, PAM, authentification basée sur les risques, etc.), y compris la couverture et l'utilisation réelle ?
En quoi est-ce important?
En fin de compte, les contrôles de sécurité en place font la différence entre une tentative d'attaque ratée et une violation réussie. De plus, il ne suffit pas d'avoir en place des solutions de sécurité mais aussi de s'assurer de leur niveau de couverture et de leur bonne utilisation. Par exemple, la MFA qui est appliquée aux administrateurs ne laisse que les utilisateurs de domaine réguliers exposés. De même, l'AMF qui, en théorie, s'applique à tous les utilisateurs mais n'est pas pleinement utilisée en raison des objections de la main-d'œuvre révèle un écart similaire. De plus, la protection MFA sur l'accès RDP sans couverture similaire pour l'accès à la ligne de commande n'est pas non plus suffisante. Les contrôles de protection de l'identité ne peuvent assurer une protection en temps réel que s'ils sont déployés de manière complète et couvrent l'ensemble de la main-d'œuvre et toutes les ressources.
Lacune n° 6 : Notification des incidents matériels et des faiblesses de contrôle – Détection des menaces d'identité
Question d'évaluation de la protection de l'identité : puis-je facilement identifier et évaluer les faiblesses et les incidents de protection de l'identité dans mes environnements ?
En quoi est-ce important?
Détection d'un actif attaque basée sur l'identité peut être un défi compliqué. Contrairement aux logiciels malveillants, qui laissent des artefacts médico-légaux distincts sur les points finaux compromis, les menaces d'identité ne sont qu'une séquence d'authentifications. De plus, déterminer qu’un compte a été compromis signifie une réinitialisation immédiate, voire la désactivation de ce compte, ce qui rend les faux positifs très préoccupants.
La Silverfort Plate-forme : protection en temps réel contre les menaces d'identité
Silverfort a été le pionnier de la première plate-forme de protection unifiée de l'identité spécialement conçue pour étendre MFA à tout utilisateur et ressource, automatiser la découverte, la surveillance et la protection des comptes de service, et prévenir de manière proactive mouvement latéral et propagation de rançongiciels attaques.
Silverfort se connecte à tous domain ccontrôleurs et autres sur site iIDENTITÉ pfournisseurs (IdP) dans l'environnement pour une surveillance continue, une analyse des risques et l'application de la politique d'accès à chaque tentative d'authentification et d'accès effectuée par des utilisateurs, des administrateurs ou des comptes de service auprès de n'importe quel utilisateur, système et environnement.
Résolvez chaque écart détecté par l'APRA avec Silverfort
Dans le contexte des lacunes détectées par l'APRA, Silverfort permet aux équipes d'identité et de sécurité de les traiter toutes. SilverfortL'intégration de avec tous les IdP de l'environnement offre une visibilité à 100 % sur chaque authentification utilisateur et tentative d'accès. Son architecture sans agent facilite l'application de l'authentification multifacteur sur les accès tiers et son authentification multifacteur peut couvrir toutes les ressources et méthodes d'accès (y compris les applications héritées et l'accès en ligne de commande), ainsi que compte privilégié protection — offrant la plus haute résilience contre l’utilisation malveillante d’informations d’identification compromises. SilverfortLe moteur de risque de est spécialement conçu pour détecter les menaces d'identité, de Brute Force à Pass-the-Hash et d'autres techniques, et ses journaux d'authentification détaillés fournissent un aperçu clair de toutes les tentatives d'authentification et d'accès des utilisateurs.
Vous souhaitez augmenter votre résilience face aux menaces d'identité et vous aligner sur les meilleures pratiques de l'APRA ? Planifier un appel avec l'un de nos experts.