6 capacités que toute plateforme de sécurité d'identité doit posséder 

L'identité a changé : dans un monde où les échanges commerciaux se font à travers différents systèmes, fuseaux horaires et même entre humains et non-humains, l'« identité » ne se résume plus à une seule personne se connectant à un seul appareil en un seul lieu. Alors, pourquoi continuons-nous à aborder la question de l'identité ? Sécurité Comme si nous étions en 2005 ? Il doit y avoir une meilleure solution : une solution qui ne prenne pas en compte un ensemble disjoint de normes IAM, IGA et Solutions PAM le uniquement option, mais considère également où la visibilité, la posture, la protection et l'analyse des menaces entrent en jeu. C'est là que sécurité d'identité sits – allant au-delà de la gestion des autorisations et des accès et entrant dans le domaine de la prévention, de la détection et de la réponse en temps réel. 

Selon la recherche de la Sécurisation de la surface d'attaque d'identité rapport« 75 % des détections sont exemptes de logiciels malveillants (une attaque sans logiciel malveillant permet aux adversaires d'opérer sous le radar et de naviguer de manière transparente entre les domaines des points de terminaison et du cloud). » Donc oui, le dicton « Les attaquants ne s'introduisent pas par effraction, ils se connectent » est plus vrai que jamais, et il n'y a pas de retour en arrière possible.  

Pourtant, alors que l’identité gestion n'équivaut pas à l'identité SécuritéLes équipes IAM, conformité et sécurité doivent toujours résoudre les mêmes problèmes qu'à l'époque où la sécurisation des identités consistait à gérer l'accès d'une personne, d'un appareil et d'un lieu. Ces défis immuables incluent : 

• Gagnez en visibilité sur toutes les identités, partout 

• Réduire la complexité opérationnelle et des systèmes 

• Améliorer les processus et la communication 

• Réduire la probabilité d’incidents de sécurité (ou au moins les contenir lorsqu’ils se produisent) 

C'est pourquoi nous avons créé le première liste de contrôle des appels d'offres pour la sécurité des identités du secteur, une ressource conçue pour les équipes d'identité, de conformité et de sécurité afin d'évaluer les fournisseurs dans six domaines d'intérêt afin qu'ils puissent poser les bonnes questions qui conduisent à la sélection de solutions complètes et de premier ordre.  

Dans ce blog, nous aborderons vaguement ces six fonctionnalités de base que chaque solution de sécurité d'identité devrait avoir et qui, une fois satisfaites, préparent votre organisation au succès, quel que soit l'environnement, la taille de l'entreprise ou le secteur d'activité.  

Pour accéder à la liste de contrôle complète des demandes de propositions en matière de sécurité des identités, cliquez ici. 

Fonctionnalité n° 1 : Activer l'authentification multifacteur universelle (MFA)  

pont Solutions MFA n'ont pas été conçus pour tout couvrir, laissant derrière eux une multitude de systèmes non protégés, de protocoles hérités et d'interfaces non gérées. Pour compliquer encore les choses, même lorsque authentification multi-facteur est déployé, la mise en œuvre est souvent complexe – nécessitant des agents ou des proxys – et la gestion de plusieurs outils MFA sur site et dans le cloud entraîne des coûts redondants et une expérience utilisateur incohérente.  

Ce dont les organisations ont réellement besoin, c'est MFA universel: la possibilité d'étendre la protection à n'importe quelle ressource, sans modifier les serveurs ou les applications, et sans être lié à un seul fournisseur MFA.  

Pour déterminer si un fournisseur de solutions propose une MFA universelle, les questions clés à poser sont les suivantes : 

1. Votre solution étend-elle l'authentification multifacteur pour les systèmes plus complexes, c'est-à-dire les outils de ligne de commande comme PsExec à l'infrastructure IT/OT et aux applications personnalisées ? 

2. Votre solution élimine-t-elle le besoin d’agents ou de proxys avec une application en temps réel ou en ligne ? 

3. Votre solution peut-elle fournir MFA pour toutes les authentifications AD, y compris NTLM, Kerberos, LDAP et LDAPS ? 

4. Votre solution s'étend-elle Entra ID accès conditionnel aux ressources gérées par AD ? 

5. Votre solution s'intègre-t-elle à Okta AMF ? 

Capacité n° 2 : Appliquer le principe du moindre privilège 

Une fois qu'un attaquant a pris pied dans les systèmes, il n'y a souvent aucun moyen d'arrêter les mouvements latéraux ou les déplacements verticaux et élévations de privilèges sans impacter les systèmes centraux. Pire encore, la plupart des outils de détection ne se déclenchent qu'une fois les dégâts causés.  

Ce qu'il faut c'est application en ligne au point d'authentification – au cœur de l'infrastructure d'identité – afin que l'accès puisse être bloqué ou contesté avant même l'établissement d'une session. Vous devez être en mesure d'inspecter chaque tentative de connexion et d'évaluer en permanence les risques afin d'appliquer la politique avant même le début d'une session.  

Pour déterminer si un fournisseur de solutions permet à votre équipe d'appliquer moindre privilège Pour accéder à ces informations, les questions clés à poser sont les suivantes : 

1. Votre solution dispose-t-elle d'une protection d'accès à l'exécution, offrant des contrôles de sécurité préventifs et en ligne à la fois protocoles d'authentification couche? 

2. Votre solution peut-elle empêcher mouvements latéraux et la propagation des ransomwares au fur et à mesure qu'elle se produit ? 

3. Votre solution peut-elle empêcher le contournement de PAM par les administrateurs qui se connectent directement aux ressources ? 

Capacité n°3 : Protéger les utilisateurs et les comptes privilégiés 

Comptes privilégiés Les données restent l'un des points d'entrée les plus utilisés en matière de violations et de menaces internes. Comme le souligne Rob Ainscough, conseiller en chef de la sécurité des identités (EMEA), lors de son webinaire. « Gagner la bataille de l'accès privilégié : de la lutte contre les incendies au contrôle sur le terrain », Les équipes de sécurité ont généralement recours à des solutions de gestion des accès privilégiés (PAM) pour prévenir les abus de comptes à privilèges. Cependant, ces solutions sont difficiles à déployer et à garantir une couverture complète (surtout lorsque identités non humaines (comme les comptes de service), et il peut falloir des mois, voire des années, pour protéger un seul compte.  

Les organisations ont besoin d'une approche qui réduit les frais généraux, élimine les angles morts et applique le principe du moindre privilège de manière dynamique. Pour comprendre les raisons pour lesquelles un fournisseur de solutions protège les utilisateurs et les comptes privilégiésLes questions clés à poser sont les suivantes : 

1. Votre solution peut-elle découvrir des comptes privilégiés inconnus ? 

2. Votre solution peut-elle appliquer l’accès au moindre privilège en limitant les endroits où les comptes peuvent être utilisés via une clôture virtuelle ? 

3. Comment votre solution empêche-t-elle l’abus de comptes privilégiés sans perturber les flux de travail légitimes ? 

Capacité n° 4 : Découvrir, classer et sécuriser les identités non humaines telles que les comptes de service 

Identités non humaines (NHI) telles que les comptes de service et les clés API sont au moins 50 fois plus nombreux que les utilisateurs humains, et ce fossé continue de se creuser. Pourtant, ces identités opèrent souvent dans l'ombre. Elles sont difficiles à découvrir, manquent de propriétaires clairs et bénéficient fréquemment de privilèges excessifs.  

Les solutions modernes de sécurité des identités doivent fournir une visibilité complète, un contrôle actif et une automatisation évolutive pour gérer les NHI à grande échelle tout au long de leur cycle de vie, que ce soit dans le cloud ou sur site.  

Pour comprendre la raison pour laquelle un fournisseur de solutions sécurise chaque NHI dans le cloud et sur siteLes questions clés à poser sont les suivantes : 

1. Votre solution peut-elle détecter et classer automatiquement les types d’identifiants d’accès NHI ou programmables suivants ? 
   • Comptes de service AD sur site 
   • OAuth ou jetons d'accès 
   • Clés de l'API 
   • Certificats 
   • Rôles IAM dans le cloud 
   • Principes de service 
   • Clés cryptographiques 

2. Votre solution peut-elle visualiser chaque demande d’authentification qui passe Active Directory? 
3. Votre solution automatise-t-elle la protection des identités des machines à grande échelle en utilisant des API, des moteurs de politiques intelligents et des intégrations telles que CMDB ou des systèmes de billetterie ? 
4. Votre solution peut-elle fournir une identification et un inventaire des comptes de service? 
5. Votre solution peut-elle faciliter l’intégration des comptes de service dans PAM ? 

Capacité n° 5 : Détecter et bloquer les abus d'informations d'identification, arrêter les mouvements latéraux, réduire les faux positifs et activer la réponse en temps réel 

Selon le Rapport d'enquête Verizon Data Breach 2024Plus de 80 % des violations impliquent des identifiants volés ou compromis. Pourtant, la plupart des outils de détection et de réponse n'ont pas été conçus pour gérer l'identité. De plus, avec les plateformes SIEM traditionnelles, il est difficile de déployer des détections centrées sur l'identité, ce qui empêche les équipes SOC et IR de suivre l'évolution des menaces. Parallèlement, les EDR, XDR et CDR ne prennent en compte qu'une seule pièce du puzzle, au lieu d'offrir une vision complète des menaces présentes dans l'environnement.  

Pour combler ces lacunes, les organisations doivent Solutions ITDR qui sont natives de l'identité et proactives. Une plateforme adaptée permet d'identifier les menaces à l'origine de nombreuses violations de données à grande échelle : mouvements latéraux, élévation de privilèges et schémas d'accès suspects.  

Pour déterminer si un fournisseur de solutions peut détecter et répondre aux menaces liées à l'identité en temps réel, les questions clés à poser sont les suivantes : 

1. Votre solution offre-t-elle une détection avancée des menaces tenant compte de l’identité qui inspecte chaque tentative d’accès aux ressources sur site et dans le cloud ? 

2. Votre solution peut-elle aller au-delà de la détection passive pour permettre des réponses en ligne et en temps réel aux comportements malveillants ? 

3. Votre solution bloque-t-elle les attaquants grâce à une authentification renforcée, un blocage d'accès ou une réauthentification forcée ? Et peut-elle le faire sans nuire à la productivité des utilisateurs ? 

4. En cas de violation, votre solution peut-elle contenir l’attaque et garantir qu’elle ne se propage pas à des ressources supplémentaires ? 

Capacité n° 6 : Améliorer la sécurité des identités, détecter proactivement les risques et remédier aux faiblesses dans les environnements hybrides 

Points faibles du infrastructure d'identité Les erreurs de configuration, les protocoles obsolètes et les privilèges excessifs, tels que les erreurs de configuration, les protocoles obsolètes et les privilèges excessifs, passent souvent inaperçues jusqu'à ce qu'il soit trop tard, ce qui entraîne des piratages de comptes, des mouvements latéraux et des échecs d'audit. Cartographier et corriger les risques à grande échelle nécessite une visibilité centralisée, une protection complète et des résultats mesurables pour améliorer et maintenir l'hygiène des identités. 

Pour déterminer si un fournisseur de solutions propose une solution complète gestion de la posture de sécurité des identités (ISPM)Les questions clés à poser sont les suivantes : 

1. Votre solution peut-elle fournir un inventaire hiérarchisé des faiblesses d’identité au sein de l’organisation ? 

2. Votre solution peut-elle identifier les expositions associées à l’activité des utilisateurs et aux demandes d’authentification, telles que les protocoles hérités ? 

3. Comment identifier les comptes de service inactifs ou qui ne sont plus utilisés ? 

4. Votre plateforme peut-elle détecter les utilisateurs qui ne font pas partie des administrateurs de domaine ou d'autres groupes évidents, mais qui disposent néanmoins d'autorisations de niveau administrateur (administrateurs fantômes)? 

Téléchargez la liste de contrôle des demandes de propositions pour la sécurité des identités 

Ces questions sont un petit échantillon de ce qui est disponible dans la liste de contrôle complète – téléchargez-le aujourd'hui pour consulter la liste complète de chacune des six fonctionnalités. Le plus intéressant, c'est que nous avons également rendu la liste de contrôle interactive pour vous permettre de personnalisez-le en fonction des besoins de votre équipe; une fois le téléchargement terminé, vous aurez la possibilité d'obtenir la liste des questions au format Google Sheet ou Microsoft Excel (selon votre préférence !).  

Il est temps de faire de la sécurité des identités votre atout stratégique. Grâce à la liste de questions préparée par nos experts en sécurité des identités à poser aux fournisseurs, vous repartirez de vos échanges avec eux avec une vision claire de la manière de relier les points clés, de prendre des décisions éclairées et d'anticiper les menaces.  

Intéressé de voir comment Silverfort satisfait aux capacités de la liste de contrôle des demandes de propositions en matière de sécurité des identités ? Parcourez notre plateforme maintenant.