L’identité est désormais une priorité absolue pour les décideurs en matière de sécurité. La nécessité de surmonter les TTP malveillants, tels que l'accès aux informations d'identification, l'élévation des privilèges et mouvements latéraux, n’a jamais été aussi urgent. Alors que plus de 80 % des violations impliquent l’utilisation d’informations d’identification compromises et que les attaques de ransomwares mettent à mal même les plus grandes organisations, le prix à payer pour négliger sécurité d'identité est inabordable.
Cet état de fait a conduit à l’émergence d’une catégorie de produits spécialement conçue pour la protection de la surface d’attaque de l’identité : ITDR (ITDR). Cependant, l'introduction d'une nouvelle catégorie entraîne inévitablement une période de confusion pour les acheteurs, au cours de laquelle les équipes de sécurité des identités doivent déterminer ITDR les capacités sont obligatoires et sont un « plus ».
Cet article aide les organisations dans cette démarche en fournissant les cinq principaux critères d’évaluation pour évaluer la qualité d’une ITDR La solution peut tenir ses promesses.
Critère d'évaluation n°1 : L'étendue et la profondeur de la couverture
Le attaque d'identité La surface est extrêmement hétérogène et comprend de multiples composants. Nous pouvons les classer dans les groupes suivants :
Ressources
L'environnement sur site comprend des postes de travail et des serveurs, une infrastructure informatique, des bases de données et des applications héritées. Certaines machines virtuelles sont gérées sur des serveurs de centre de données, tandis que les machines virtuelles IaaS résident dans le cloud public. À ceux-ci sont rejoints les applications SaaS et Web d'entreprise pour le stockage, la messagerie électronique et à d'autres fins.
Protocoles et méthodes d'accès
Active Directory utilise des protocoles tels que NTLM, Kerberoset LDAP pour gérer l'accès aux serveurs, postes de travail et autres ressources sur site. Cet accès s'effectue de différentes manières – ligne de commande, RDP et outils d'accès à distance dédiés (Teamviewer et autres). L'accès à distance VPN s'effectue généralement via un RADIUS, tandis que les serveurs de fédération et les IdP cloud utilisent SAML, OpenID et OAuthor pour accéder aux applications SaaS via les navigateurs Web des utilisateurs.
De plus, il existe différents types d’utilisateurs : standards, privilégiés, humains et non humains. Certains sont plus faciles à détecter et à surveiller tandis que d’autres sont plus difficiles à détecter. Un exemple frappant est celui des identités non humaines (NHI) telles que comptes de service in Active Directory environnements extrêmement difficiles à localiser et à cartographier.
Une solution ITDR doit être capable d'appliquer ses capacités à tous les utilisateurs, ressources et méthodes d'accès dans l'environnement hybride..
En quoi est-ce important?
Pour vraiment protéger un surface d'attaque vous devez protéger l'intégralité de votre système sans aucun angle mort. En ne protégeant qu'une partie, vous laissez simplement la voie libre aux adversaires pour cibler la partie non protégée. C'est pourquoi, par exemple, les mouvements latéraux et la propagation des ransomwares s'effectuent principalement via un accès en ligne de commande (comme PsExec, PowerShell et WMI) plutôt qu'avec RDP. Alors que ce dernier est généralement protégé par authentification multi-facteur, le premier ne le supporte pas. Sécuriser une seule méthode d'accès à un serveur ne constitue pas une protection suffisante lorsqu'il existe d'autres points d'accès non sécurisés.
Critère d'évaluation n°2 : Aussi près que possible du temps réel
Les solutions ITDR analysent les authentifications des utilisateurs et les tentatives d'accès pour révéler les menaces potentielles. L'analyse en temps réel offre à l'ITDR une visibilité sur chaque protocoles d'authentification depuis les étapes d’initiation et de vérification jusqu’à l’achèvement et l’accès réels. L'alternative consiste à analyser le journal d'authentification une fois la tentative d'accès approuvée ou refusée.
En quoi est-ce important?
Le but de l’ITDR est de détecter les activités malveillantes suspectées. Plus cette analyse est proche de l’événement d’authentification en temps réel, plus grandes sont les chances de détecter un accès malveillant avant qu’il ne se transforme en menace réelle. De plus, diverses anomalies ne peuvent être détectées que lors de l'authentification proprement dite ; cela constituerait un angle mort pour les solutions ITDR qui reposent sur l’analyse rétroactive des journaux.
Critère d'évaluation n°3 : Moteur de détection multicouche
La détection des activités malveillantes repose sur la détection des anomalies qui s'écartent du comportement légitime standard. Cependant, il ne s’agit pas d’un jeu à somme nulle et, même si certaines anomalies sont clairement associées à des activités malveillantes, la plupart peuvent survenir pour d’autres raisons indépendantes. L'utilisation d'un moteur de risque capable de détecter différents types d'anomalies peut augmenter la précision et réduire le risque de faux positifs. Les anomalies qu'un ITDR doit généralement rechercher comprennent :
Anomalies de protocole
Ces anomalies résultent de techniques d'attaque qui exploitent les faiblesses des protocoles d'authentification pour obtenir des accès malveillants – passer le ticket, passer le hachage, etc. On les appelle anomalies de protocole car elles impliquent une altération du processus d'authentification.
Anomalies de comportement
Ces anomalies résultent d'une activité de mouvement latéral. Le mouvement latéral est par nature une activité opportuniste dans laquelle l’adversaire saute de machine en machine à la recherche d’utilisateurs et de machines stockés qui pourraient l’aider à atteindre sa cible. Par exemple, un attaquant ayant atterri sur la machine du patient zéro l'utiliserait comme point de départ pour accéder aux autres machines une par une, recherchant les informations d'identification d'administrateur stockées ou le nom d'ordinateur d'un serveur critique. Ce type de recherche et de déplacement diffère considérablement de l’accès utilisateur légitime standard.
Anomalies des utilisateurs
Chaque utilisateur dispose de sa propre base d'accès aux ressources. Cela est particulièrement vrai pour identités non humaines comme les comptes de service AD, mais s'applique également à la plupart des utilisateurs humains. À l'exception des administrateurs du service d'assistance et des administrateurs informatiques qui ont besoin d'accéder à plusieurs machines pour résoudre des problèmes, la plupart des utilisateurs disposent d'un ensemble défini de ressources auxquelles ils accèdent dans leur routine de travail. Une fois qu'un adversaire compromet un compte d'utilisateur pour effectuer un mouvement latéral, il y a de fortes chances qu'il tente d'accéder à des ressources auxquelles cet utilisateur n'a jamais accédé auparavant.
En quoi est-ce important?
Bien que chaque anomalie entraîne à elle seule un pourcentage de faux positifs, l’intersection entre elles est nettement plus fiable. Voici un exemple :
L'utilisateur Bob accède à une ressource à laquelle il n'avait jamais accédé auparavant. Cela signifie-t-il que Bob est compromis ? Pas nécessairement. Ces types d'anomalies naïves se produisent également dans le cadre de l'activité légitime de chaque utilisateur. Supposons maintenant que l'authentification effectuée par Bob pour accéder à cette ressource utilise un algorithme de chiffrement plus faible que prévu. Bien que suspect, cela n’est pas nécessairement malveillant. Cependant, si les deux anomalies se produisent lors de la même tentative d’accès, la probabilité qu’elle soit malveillante augmente considérablement.
Critère d'évaluation n°4 : Capacité à déclencher des contrôles de sécurité des identités en temps réel
La sécurité de l'identité est assurée par des contrôles dédiés pour empêcher les accès malveillants, tels que le blocage d'accès, l'AMF et l'accès juste à temps. Le rôle principal de l'ITDR est de détecter si une tentative d'accès est malveillante. Cependant, il est essentiel que l'ITDR dispose également des intégrations requises pour déclencher des contrôles de sécurité des identités en temps réel. Les plus critiques sont l’AMF et le blocage d’accès.
En quoi est-ce important?
Les alertes nécessitent un tri et des enquêtes manuels et, en règle générale, les résoudre toutes dépasse les capacités de l’équipe SecOps. Un ITDR capable d'utiliser ses signaux de détection pour déclencher l'authentification MFA et bloquer l'accès peut fournir une protection automatisée en temps réel et bloquer les activités malveillantes plutôt que de simplement alerter de leur présence.
Critère d'évaluation n°5 : Intégration transparente avec la pile de sécurité
Même si l’ITDR s’occupe de l’aspect identitaire des cyberattaques, il ne s’agit là que d’une partie – bien qu’importante – de l’ensemble de la protection contre les menaces. Pour offrir une protection complète, une solution ITDR doit être capable d'échanger des données et des signaux de risque avec les autres composants clés de la pile de sécurité. Par exemple, l'EDR/XDR devrait être capable de fournir à l'ITDR des données sur les processus et fichiers suspects, et au pare-feu ou au ZTNA sur les ports ouverts et l'origine/destination du trafic. En outre, l'ITDR devrait être en mesure de partager des données avec la solution SIEM pour ajouter des signaux de sécurité d'identité au contexte complet de l'activité du réseau et des fichiers, ainsi que de s'effectuer dans les flux de travail SOAR automatisés.
En quoi est-ce important?
Augmente la précision
Chaque solution de sécurité dispose d'un type d'activité qu'elle peut surveiller et analyser, ainsi que d'autres pour lesquels elle est aveugle. Par exemple, de la même manière que les solutions de protection des terminaux sont aveugles au processus d’authentification, l’ITDR est aveugle aux processus en cours et à l’exécution des fichiers. L’intersection des deux perspectives augmente la précision et l’efficacité.
Meilleure opérabilité
Les équipes SecOps utilisent une multitude d’outils de sécurité. Cependant, il existe généralement un composant – SIEM ou XDR – qui fait office d'interface principale à partir de laquelle les alertes sont gérées. L'ITDR doit pouvoir s'intégrer parfaitement aux flux de travail de cette interface pour offrir sa valeur de sécurité.
L'ITDR est un facteur clé pour réduire la probabilité et l'impact des menaces d'identité
L’objectif de l’ITDR est de réduire la probabilité et l’impact d’une attaque réussie liée à l’identité. Les critères abordés dans cet article sont distingués en fonction de leur contribution à cette cause.
Avez-vous déjà présélectionné des solutions ITDR ? Utilisez ces critères pour poser les questions difficiles. Les réponses vous permettront de savoir si la solution que vous envisagez peut réduire votre risque d'identité et offrir la résilience que vous recherchez.
