Qu'est-ce que la détection et la réponse aux menaces identitaires ?
Aperçu
Détection et réponse aux menaces d'identité
Quelles tendances en matière de cybersécurité ont mené au développement et à l'adoption de la menace identitaire ?
À mesure que les plateformes, les systèmes et les applications continuent de corriger leurs vulnérabilités, les nouveaux venus de l'extérieur trouvent souvent plus facile d'exploiter d'autres faiblesses comme les identifiants, les erreurs de configuration ou les API exposées. Diverses techniques d'hameçonnage, des enregistreurs de frappe et d'autres outils automatisés sont utilisés et se sont avérés plus faciles à mettre en œuvre que de s'attaquer directement à la sécurité des applications et des systèmes. Alors que la recherche de vulnérabilités exige beaucoup de temps, de compétences et de tests approfondis pour identifier les faiblesses exploitables, les attaquants optent de plus en plus pour le bourrage d'identifiants afin d'accéder rapidement à ces services. Parallèlement à leur approche basée sur les identifiants, les attaquants ont perfectionné leurs compétences pour identifier les comptes privilégiés et les moyens de promouvoir d'autres comptes compromis. Ces attaques peuvent constituer des menaces persistantes qui durent des mois, voire des années. Bien sûr, les identités les plus dommageables et les plus recherchées sont celles des détenteurs d'informations et autres comptes similaires qui ont des privilèges d'accès spéciaux. En conséquence, le risque croissant pour les organisations ne se limitait pas aux comptes basés sur des identifiants, mais concernait également les attaques visant les utilisateurs les plus privilégiés. Elles représentaient, et représentent encore, les menaces les plus complexes à contrer, car l'intrus possède les informations sur lesquelles une personne ou un processus s'appuie traditionnellement pour s'identifier.
La voie vers l'ITDR
| Année | Évènement |
|---|---|
| 2000s | Augmentation des attaques basées sur les identifiants (hameçonnage, attaque par force brute). |
| 2010s | Les violations d'identité majeures au moyen d'identifiants volés poursuivent leur tendance à la hausse, tant en fréquence qu'en termes de pertes pour l'organisation victime. Croissance des solutions IAM, MFA et PAM. |
| 2021 | Le cadre MITRE ATT&CK s'étend aux menaces basées sur l'identité. |
| 2022 | Gartner invente le terme ITDR, soulignant la nécessité d'une détection des menaces axée sur l'identité. |
| 2023+ | L'ITDR prend de l'ampleur et devient une stratégie de cybersécurité essentielle pour les entreprises. |
Comment les pratiques ITDR ont-elles été formalisées ?
En 2022, Gartner a introduit l'ITDR comme une pratique de cybersécurité. Dans cette introduction, Gartner a décrit l'ITDR comme un moyen pour les organisations d'adopter une approche plus efficace pour répondre aux menaces croissantes ciblant les systèmes d'identité, les identifiants et les accès privilégiés. Soulignant la nécessité pour les organisations d'améliorer leur capacité à détecter, enquêter et atténuer plus efficacement les attaques basées sur l'identité. Contrairement à l'approche traditionnelle des outils de sécurité, l'ITDR intègre la gestion des identités et des accès (IAM), l'analyse du comportement des utilisateurs et des entités (UEBA) et la détection et la réponse étendues (XDR) pour se défendre de manière proactive contre l'utilisation abusive des identifiants, l'élévation de privilèges et les déplacements latéraux. Étant donné que les méthodologies de sécurité actuelles n'ont pas permis d'endiguer la vague de cybermenaces, l'ITDR aide les organisations à améliorer la visibilité, à détecter les anomalies et à appliquer des contrôles d'authentification et d'accès plus stricts , ce qui réduit autant le risque de violations d'identité.
Qu'est-ce qui distingue ITDR ?
La reconnaissance de l'ITDR par Gartner en 2022 a marqué une étape importante dans la convergence des technologies informatiques vers un nouveau niveau de sécurité synergique, réunissant des pratiques trop souvent indépendantes pour alimenter un scénario élargi. Ensemble, la gestion des identités et des accès (IAM) et la gestion des informations et des événements de sécurité (SIEM) peuvent identifier et attribuer plus précisément les risques aux événements connexes, ainsi qu'exécuter une réponse au niveau de l'application, du service ou d'autres ressources numériques pour sécuriser les informations protégées. En conséquence, l'ITDR a depuis pris de l'ampleur en tant que catégorie essentielle de cybersécurité pour la prévention des attaques basées sur l'identité. Voici quelques-uns des principaux facteurs à l'origine des problèmes informatiques (ITDR) :
- Essor des attaques basées sur l'identité : le vol d'identifiants, les déplacements latéraux et l'élévation de privilèges sont devenus les principales méthodes d'attaque. Les mesures de sécurité actuelles sont inefficaces. L'ITDR intègre des informations de type XDR qui identifient les activités indiquant un risque élevé pour les utilisateurs et les ressources.
- Lacunes en matière de gestion des identités et des accès (IAM) et de gestion des accès protégés (PAM) : L’objectif global de la gestion des identités et des accès est de s’assurer que les personnes et les services disposent du bon accès aux ressources protégées au bon moment. Les outils IAM actuels contrôlaient l'accès, mais manquaient de détection des menaces en temps réel, et la gestion des accès privilégiés (PAM) se concentrait sur les comptes privilégiés, mais pas sur les menaces générales liées à l'identité.
- Adoption du modèle de confiance zéro: les organisations se sont tournées vers une sécurité axée sur l’identité, nécessitant une surveillance et une réponse continues aux menaces pesant sur l’identité.
Quels sont les principaux composants ITDR ?
Bien que TDR excelle dans la surveillance en temps réel et les réponses automatisées, son incapacité à associer les attaques à des identités spécifiques au fil du temps limite son efficacité. Plus de composantes sont nécessaires pour étendre la capacité du TDR à identifier les comportements suspects.
Détection et réponse prolongées
La détection et la réponse étendues (XDR) sont une solution de cybersécurité avancée qui intègre plusieurs outils de sécurité et sources de données pour fournir une approche unifiée de la détection, de l'investigation et de la réponse aux menaces sur l'ensemble de la surface d'attaque d'une organisation.
Contrairement aux solutions SIEM ou EDR traditionnelles, XDR recueille et corrèle les données de menaces à travers plusieurs couches de sécurité, y compris la détection et la corrélation intercouches. Contrairement aux solutions SIEM ou EDR traditionnelles, XDR recueille et met en corrélation les données de menaces sur plusieurs couches de sécurité, notamment les terminaux (EDR), les réseaux (NDR), les courriels, les charges de travail infonuagiques et la gestion des identités et des accès (IAM). Cela améliore la visibilité sur les attaques complexes qui exploitent plusieurs points d'entrée.
Enquête et réponse automatisées aux menaces— XDR priorise automatiquement les alertes et relie les incidents de sécurité connexes afin de réduire la surcharge d'alertes. Elle utilise l'IA et l'apprentissage machine pour identifier les schémas d'attaque et atténuer les menaces plus rapidement.
Chasse proactive aux menaces— les analystes de sécurité peuvent rechercher les menaces cachées en utilisant les données historiques et l'analyse comportementale. Le cadre MITRE ATT&CK est souvent intégré à XDR pour cartographier les tactiques et les techniques des adversaires.
Intégration à la pile de sécurité— XDR fonctionne avec les solutions SIEM, SOAR, ITDR et EDR pour simplifier les opérations de sécurité (SOC). Il fournit également des alertes en temps réel et des actions correctives automatisées pour différents outils de sécurité.
XDR en lien avec d'autres solutions de sécurité
Le tableau ci-dessous énumère les technologies utilisées aujourd'hui par les équipes de sécurité informatique pour améliorer la détection des menaces et les réponses automatisées. Pris individuellement, ils ne sont pas aussi complets ni aussi intégrés que XDR.
| Solution de sécurité | Domaine d'intervention | Différence clé |
|---|---|---|
| EDR (détection et réponse aux points de terminaison) | Points de terminaison (ex. ordinateurs portables, serveurs) | Détecte les menaces sur les appareils individuels, mais manque de visibilité sur le réseau/nuage. |
| NDR (détection et réponse du réseau) | trafic réseau | Détecte les menaces dans les environnements réseau, mais ne couvre pas les terminaux ni le cloud. |
| SIEM (gestion des renseignements et des événements de sécurité) | Gestion et analyse des journaux | Collecte les journaux de sécurité, mais n'offre pas de fonctionnalités intégrées de réponse aux menaces |
| SOAR (orchestration, automatisation et réponse en matière de sécurité) | Automatisation de la réponse aux incidents | Automatise les flux de travail de sécurité, mais n'a pas de fonctionnalités de détection natives. |
| XDR (détection et réponse étendues) | Visibilité de sécurité entre domaines | Unifie les détections basées sur les terminaux, le réseau, le nuage et l'identité pour une meilleure corrélation et une réponse plus rapide. |
Quels sont les mécanismes de réponse dont dispose l'ITDR ?
En cas de comportement suspect (connexion inhabituelle, modifications rapides des privilèges ou accès depuis des emplacements non fiables), XDR déclenche des actions automatisées telles que le verrouillage des comptes compromis, l'application de l'authentification multifactorielle ou la fermeture instantanée des sessions non autorisées. ITDR, qui met en corrélation les informations d'identité avec les pilotes XDR, exploite les informations dérivées de XDR et automatise la réponse nécessaire pour empêcher les attaquants d'exploiter des identifiants volés en restreignant l'accès et en appliquant des contrôles d'authentification dynamiques. Les activités privilégiées sont surveillées en permanence et les escalades non autorisées sont bloquées avant qu'elles n'entraînent une violation de données. Les capacités d'orchestration de XDR assurent une intégration transparente d'ITDR avec les systèmes SIEM, SOAR et IAM, rationalisant ainsi les flux de travail de remédiation automatisés. Cette réponse automatisée, alimentée par ITDR, renforce les équipes de sécurité grâce à une défense proactive automatisée, stoppant les attaques basées sur l'identité avant qu'elles ne dégénèrent en violations de grande ampleur.
Gestion de la posture de sécurité de l'identité
Un élément essentiel du moteur de réponse d'ITDR est la capacité de gérer en continu (évaluer et répondre) le paysage de sécurité d'une organisation, la gestion de la posture de sécurité des identités (ISPM) au niveau de l'identité. À mesure que les entreprises développent leurs écosystèmes numériques, le volume considérable d'identités humaines et de machines crée une surface d'attaque toujours plus vaste. ISPM offre une visibilité en temps réel sur les risques liés à l'identité, les erreurs de configuration et les violations de politiques, permettant une défense proactive contre les menaces fondées sur l'identité. En tirant parti de l'automatisation, de l'analyse des risques et de l'application des politiques, ISPM garantit que les identités respectent les meilleures pratiques de sécurité, réduisant ainsi l'exposition aux attaques basées sur les identifiants, à l'élévation de privilèges et aux accès non autorisés.
L'ISPM repose essentiellement sur la capacité d'analyser dynamiquement la posture d'identité dans divers environnements, notamment les infrastructures sur place, infonuagiques et hybrides. Cela implique de surveiller les droits d'accès, d'appliquer le principe du moindre privilège et de détecter les comportements anormaux indiquant une compromission. Intégré à la détection et à la réponse aux menaces d'identité, ISPM renforce la capacité d'une organisation à traiter préventivement les vulnérabilités d'identité avant qu'elles ne soient exploitées. Les cybermenaces reposent souvent sur des identifiants compromis ; c'est pourquoi la gestion des menaces informatiques basée sur l'identité constitue une couche de défense essentielle, alignant la posture de sécurité sur l'évolution des risques. Cela se fait en définissant le niveau de risque que l'organisation est disposée à tolérer, puis en évaluant en permanence l'environnement afin de réagir lorsque ce niveau est atteint. L'ISPM est un élément clé de l'ITDR car il permet aux organisations de maintenir leur résilience face aux cyberadversaires sophistiqués.
Renforcer la réponse aux menaces grâce à l'identité
Les solutions de gestion des identités et des accès permettent aux organisations de lier les événements d'indicateurs de violation ou de menace aux identités, ainsi que de cibler la réponse au niveau le plus efficace – cette ou ces sessions ou applications. IAM est le « je » de ITDR. Pour automatiser efficacement les réponses, ces deux technologies doivent fonctionner ensemble de manière transparente. Lorsque c'est le cas, l'intégration améliore la visibilité et la détection des menaces et permet de réagir rapidement aux attaques basées sur l'identité.
Les solutions IAM d'OpenText ™ génèrent des journaux d'authentification, des demandes d'accès et des modifications de privilèges. La solution avancée de détection des menaces et de gestion des menaces internes d'OpenText les met en corrélation avec les données provenant des terminaux, des réseaux et des environnements cloud. De plus, OpenText TDR offre des analyses comportementales supplémentaires des utilisateurs et des entités (UEBA) au-delà de ce qui est généralement disponible dans les services de gestion des risques basés sur l'identité. Ils détectent les risques grâce à des indicateurs de violation dérivés de l'accès et de l'utilisation de l'application lorsqu'ils sont combinés. Les indicateurs de risque traditionnels basés sur l'identité et l'accès se limitent à des critères prédéfinis, comme la connaissance ou non de l'instance du navigateur ou de l'appareil physique et l'échec ou non des tentatives de connexion. Ces mêmes contrôles adaptatifs imposent des conditions ou des limites aux plages horaires et aux géolocalisations, et permettent également d'identifier les scénarios de déplacement impossibles. Bien que les contrôles d'accès adaptatifs traditionnels puissent également tirer parti de l'historique de ces conditions prescrites, les indicateurs XDR peuvent être beaucoup plus sophistiqués.
Les technologies XDR surveillent un spectre d'informations beaucoup plus large que celui disponible dans l'infrastructure IAM. À partir de ces données, l'automatisation XDR peut corréler les données observées en modèles de comportement plus précis que les contrôles basés sur des règles. Ils déterminent quelles séances présentent des facteurs de risque à partir d'anomalies ou de schémas d'attaque. Lorsque les capacités de surveillance XDR sont fusionnées avec les informations d'identité qui constituent un niveau de sécurité ITDR, les activités peuvent être corrélées et calculées en modèles — des modèles qui s'étendent sur de longues périodes. Avec l'identité, les données d'activité recueillies à partir des réseaux, des appareils et des informations de session sont corrélées à des niveaux d'interaction plus élevés que les identités (personnes ou processus) ont avec les services numériques sur une période plus longue. Ces données d'activité persistantes, basées sur l'identité, permettent aux moteurs de risque de calculer le risque d'activités liées aux violations de sécurité utilisées pour pénétrer les pratiques de sécurité typiques. Ces tendances se renforcent avec le temps, ce qui rend l'ITDR plus efficace pour identifier les anomalies des utilisateurs ou les violations potentielles à mesure que le modèle de chaque utilisateur actif s'étoffe. Au-delà du renforcement des modèles de menaces, l'ITDR peut réagir grâce à ses plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), bien plus que ce qui est disponible dans un environnement IAM. De plus, le service informatique peut utiliser cette plateforme de sécurité étendue pour déclencher des flux de travail prédéfinis, tels que le blocage des adresses IP malveillantes, l'alerte des analystes de sécurité ou l'isolement des appareils affectés.
Quel rôle l'ITDR devrait-elle jouer au sein de votre organisation ?
Chaque environnement étant unique, le chemin vers un niveau de sécurité ITDR l'est également. Cela signifie que le besoin en matière de résolution de problèmes informatiques (ITDR) peut exister ou non dans un environnement spécifique, et que le niveau de sophistication de l'ITDR variera. La configuration de votre environnement actuel influencera ce que vous mettrez en œuvre.
Voici quelques-uns des facteurs qui peuvent aider à déterminer le montant à investir dans une solution de sécurité ITDR :
- Le risque – l’ensemble du spectre des risques – devrait être un facteur prépondérant. Quels sont les coûts totaux d'une violation de données ? Quelles sont les conséquences commerciales d'un échec à un audit de conformité ou d'un non-respect des exigences en matière de cyberassurance ?
- Coût et expertise — dans les composantes ITDR existantes dans l'environnement actuel, le coût et l'expertise du domaine figurent parmi les obstacles les plus sous-estimés à l'ITDR. Les organisations disposant de solutions IAM, PAM et SIEM robustes auront plus de facilité à passer à une couche de sécurité ITDR. Toutefois, la gestion des identités et des accès (IAM) peut constituer un besoin plus immédiat si la sécurité des identités est incomplète ou faible.
- L'assemblage des pièces du casse-tête – la capacité d'une organisation à intégrer l'ITDR à son infrastructure de sécurité existante est un autre facteur déterminant. L'intégration transparente avec les solutions IAM, SIEM, SOAR et EDR/XDR garantit que l'ITDR peut assurer une surveillance en temps réel et une réponse aux incidents sans créer de silos opérationnels.
- Évolutivité — alors que les organisations adoptent de plus en plus d’environnements hybrides et multicloud, la solution ITDR doit couvrir les identités infonuagiques, l’accès privilégié et l’authentification fédérée. Elle s'avère particulièrement précieuse pour les entreprises gérant d'importants effectifs à distance et un accès étendu à des tiers, garantissant une vérification d'identité sécurisée dans des environnements dispersés.
- Priorité et budget du modèle de confiance zéro : placer l’ITDR au cœur des stratégies modernes de cybersécurité. L'ITDR permet une vérification continue de l'identité, une analyse comportementale et des réponses basées sur les risques – principes fondamentaux d'un modèle zéro confiance. À mesure que les organisations s'éloignent de la sécurité périphérique traditionnelle, la réponse aux incidents de sécurité informatique (ITDR) joue un rôle crucial dans la protection des identités en tant que nouveau périmètre.
ITDR est-il la nouvelle couche de sécurité d'accès ?
L'ITDR a évolué, passant de la sécurité d'identité traditionnelle à une discipline de sécurité dédiée, qui s'attaque aux cybermenaces modernes liées à l'identité. Face à la recrudescence des attaques de cybercriminels ciblant les identifiants, les comptes privilégiés et les systèmes d'identité, l'ITDR pourrait devenir une couche de sécurité standard de la stratégie de sécurité d'une organisation.
