Qu'est-ce que la détection et la réponse aux menaces liées à l'identité ?
Présentation
Détection et réponse aux menaces liées à l'identité
Quelles sont les tendances en matière de cybersécurité qui ont conduit au développement et à l'adoption de la menace identitaire ?
Alors que les plateformes, les systèmes et les applications continuent de combler leurs faiblesses, les outsiders naissants trouvent souvent plus facile d'exploiter d'autres faiblesses telles que les informations d'identification, les mauvaises configurations ou les API exposées. Diverses techniques d'hameçonnage, des enregistreurs de frappe et d'autres outils automatisés sont utilisés et se sont avérés plus faciles à mettre en œuvre que de s'attaquer directement aux applications et à la sécurité au niveau du système. Alors que la recherche de vulnérabilités nécessite beaucoup de temps, de compétences et de tests approfondis pour identifier les faiblesses exploitables, les attaquants ont de plus en plus choisi de se concentrer sur le bourrage d'informations d'identification pour accéder rapidement à ces services. Parallèlement à leur approche basée sur les informations d'identification, les attaquants ont perfectionné leurs compétences pour identifier les comptes privilégiés et les moyens de promouvoir d'autres comptes compromis. Ces attaques peuvent être des menaces persistantes qui durent des mois, voire des années. Bien entendu, les identités les plus préjudiciables et les plus recherchées sont celles des détenteurs d'informations et d'autres comptes similaires bénéficiant de privilèges d'accès spéciaux. Ainsi, le risque croissant pour les organisations n'est pas seulement lié aux comptes basés sur des identifiants, mais aussi aux attaques contre les utilisateurs les plus privilégiés. Il s'agissait, et il s'agit toujours, des menaces les plus complexes contre lesquelles il faut se protéger, car l'étranger dispose des informations sur lesquelles une personne ou un processus s'appuie traditionnellement pour s'identifier.
Le chemin vers l'ITDR
| Année | événement |
|---|---|
| 2000s | Augmentation des attaques basées sur les informations d'identification (phishing, force brute). |
| 2010s | Les atteintes majeures à l'identité par le biais d'informations d'identification volées poursuivent leur tendance à la hausse, tant en termes de fréquence que de perte de valeur pour l'organisation victime. Croissance des solutions IAM, MFA et PAM. |
| 2021 | MITRE ATT&Le cadre CK s'étend aux menaces basées sur l'identité. |
| 2022 | Le cabinet Gartner a mis au point la norme ITDR, en soulignant la nécessité d'une détection des menaces centrée sur l'identité. |
| 2023+ | L'ITDR gagne du terrain pour devenir une stratégie de cybersécurité de base pour les entreprises. |
Comment les pratiques de l'ITDR ont-elles été formalisées ?
En 2022, Gartner a introduit l'ITDR en tant que pratique de cybersécurité. Dans cette introduction, Gartner décrivait l'ITDR comme un moyen pour les organisations d'adopter une approche plus efficace pour répondre aux menaces croissantes ciblant les systèmes d'identité, les informations d'identification et les accès privilégiés. Soulignant la nécessité pour les organisations d'améliorer leur capacité à détecter, enquêter et atténuer plus efficacement les attaques basées sur l'identité. Contrairement à l'approche traditionnelle des outils de sécurité, l'ITDR intègre la gestion des identités et des accès (IAM), l' analyse du comportement des utilisateurs et des entités (UEBA), ainsi que la détection et la réponse étendues (XDR) pour se défendre de manière proactive contre l'utilisation abusive des informations d'identification, l'escalade des privilèges et les mouvements latéraux. Les méthodes de sécurité actuelles n'ayant pas permis d'endiguer la vague de cybermenaces, l'ITDR aide les organisations à améliorer la visibilité, à détecter les anomalies et à renforcer l'authentification et les contrôles d'accès, autant d'éléments qui réduisent le risque d'atteintes à l'intégrité de l'identité.
Qu'est-ce qui différencie l'ITDR ?
La reconnaissance de l'ITDR par Gartner en 2022 a marqué une étape importante dans la fusion des technologies de l'information en un nouveau niveau de sécurité synergique, rassemblant des pratiques trop souvent indépendantes pour alimenter un scénario élargi. Ensemble, l'IAM et la gestion des informations et des événements de sécurité (SIEM) permettent d'identifier et d'attribuer plus précisément les risques aux événements connexes, ainsi que d'exécuter une réponse au niveau de l'application, du service ou d'autres ressources numériques afin de sécuriser les informations protégées. C'est ainsi que l'ITDR s'est imposé comme une catégorie essentielle de la cybersécurité pour la prévention des attaques basées sur l'identité. Les principaux moteurs de l'ITDR sont les suivants :
- Montée des attaques basées sur l'identité : Le vol d'informations d'identification, le déplacement latéral et l'escalade des privilèges sont devenus les principales méthodes d'attaque. La protection actuelle de la sécurité est inefficace. L'ITDR intègre des informations de type XDR qui identifient les activités indiquant un risque élevé pour les utilisateurs et les ressources.
- Lacunes en matière d'IAM et de PAM : L'objectif général de la gestion des identités et des accès est de garantir que les personnes et les services ont le bon accès aux ressources protégées au bon moment. Les outils IAM actuels contrôlaient l'accès mais ne disposaient pas d'une détection des menaces en temps réel, et la gestion des accès privilégiés (PAM) se concentrait sur les comptes privilégiés mais pas sur les menaces générales liées à l'identité.
- Adoption de la confiance zéro: Les organisations se sont orientées vers une sécurité fondée sur l'identité, nécessitant une surveillance et une réponse permanentes aux menaces liées à l'identité.
Quels sont les principaux éléments de l'ITDR ?
Si le TDR peut exceller dans la surveillance en temps réel et les réponses automatisées, son incapacité à associer des attaques à des identités spécifiques au fil du temps limite son efficacité. D'autres éléments sont nécessaires pour accroître la capacité du TDR à identifier les comportements suspects.
Détection et neutralisation étendues
La détection et la réponse étendues (XDR) est une solution de cybersécurité avancée qui intègre plusieurs outils de sécurité et sources de données afin de fournir une approche unifiée de la détection, de l'investigation et de la réponse aux menaces sur l'ensemble de la surface d'attaque d'une organisation.
Contrairement aux solutions SIEM ou EDR traditionnelles, XDR collecte et met en corrélation les données sur les menaces à travers plusieurs couches de sécurité, y compris la détection et la corrélation inter-couches. Contrairement aux solutions SIEM ou EDR traditionnelles, XDR collecte et met en corrélation les données sur les menaces à travers plusieurs couches de sécurité, y compris les terminaux (EDR), les réseaux (NDR), les courriels, les charges de travail en nuage et la gestion des identités et des accès (IAM). Cela permet d'améliorer la visibilité des attaques complexes qui s'étendent sur plusieurs points d'entrée.
Enquête et réponse automatisées aux menaces - XDRhiérarchise automatiquement les alertes et relie les incidents de sécurité connexes afin de réduire la fatigue des alertes. Il utilise l'IA et l'apprentissage automatique pour identifier les schémas d'attaque et atténuer les menaces plus rapidement.
Recherche proactivede menaces : les analystes de sécurité peuvent rechercher des menaces cachées à l'aide de données historiques et d'analyses comportementales. MITRE ATT&Le cadre CK est souvent intégré à XDR pour cartographier les tactiques et les techniques de l'adversaire.
Intégration à la pile de sécurité-XDRfonctionne avec les solutions SIEM, SOAR, ITDR et EDR pour rationaliser les opérations de sécurité (SOC). Il fournit également des alertes en temps réel et des actions de remédiation automatisées à travers différents outils de sécurité.
XDR en relation avec d'autres solutions de sécurité
Le tableau ci-dessous énumère les technologies utilisées aujourd'hui par les équipes de sécurité informatique pour améliorer la détection des menaces et les réponses automatisées. En eux-mêmes, ils ne sont pas aussi complets ou intégrés que XDR.
| Solution de sécurité | Domaine d'intervention | Différence clé |
|---|---|---|
| EDR (endpoint detection and response) | Points finaux (par exemple, ordinateurs portables, serveurs) | Détecte les menaces sur les appareils individuels, mais manque de visibilité sur le réseau et le nuage. |
| NDR (détection et réponse du réseau) | Trafic réseau | Détecte les menaces dans les environnements réseau, mais ne couvre pas les points d'extrémité ou les nuages. |
| SIEM (gestion des informations et des événements de sécurité) | Gestion des journaux & analyse | Collecte des journaux de sécurité mais manque de capacités intégrées de réponse aux menaces |
| SOAR (orchestration, automatisation et réponse en matière de sécurité) | Automatisation de la réponse aux incidents | Automatise les flux de travail en matière de sécurité, mais ne dispose pas de capacités de détection natives. |
| XDR (détection et réponse étendues) | Visibilité de la sécurité dans tous les domaines | Unifie les détections basées sur les points d'extrémité, le réseau, le cloud et l'identité pour une meilleure corrélation et une réponse plus rapide. |
Quels sont les mécanismes de réponse de l'ITDR ?
Lorsqu'un comportement suspect apparaît, comme une connexion inhabituelle, des changements rapides de privilèges ou un accès à partir de sites non fiables, XDR déclenche des actions automatisées telles que le verrouillage des comptes compromis, l'application de l'AMF ou l'interruption instantanée des sessions non autorisées. ITDR, qui met en corrélation les informations d'identité avec les pilotes XDR, exploite les informations dérivées de XDR et automatise la réponse nécessaire pour empêcher les attaquants d'exploiter les informations d'identification volées en restreignant l'accès et en appliquant des contrôles d'authentification dynamiques. L'activité privilégiée est surveillée en permanence et les escalades non autorisées sont bloquées avant qu'elles ne conduisent à une violation. Les capacités d'orchestration de XDR garantissent l'intégration transparente d'ITDR avec les systèmes SIEM, SOAR et IAM, rationalisant ainsi les flux de travail de remédiation automatisés. Cette réponse automatisée alimentée par l'ITDR renforce les équipes de sécurité avec une défense proactive automatisée, arrêtant les attaques basées sur l'identité avant qu'elles ne se transforment en brèches à grande échelle.
Gestion de la posture de sécurité de l'identité
L'un des éléments essentiels du moteur de réponse de l'ITDR est la capacité de gérer en continu (évaluation et réponse) le paysage de sécurité d'une organisation - la gestion de la posture de sécurité de l'identité (ISPM) au niveau de l'identité. À mesure que les entreprises développent leurs écosystèmes numériques, le volume des identités humaines et des machines crée une surface d'attaque de plus en plus grande. L'ISPM offre une visibilité en temps réel sur les risques liés à l'identité, les mauvaises configurations et les violations de politiques, permettant une défense proactive contre les menaces basées sur l'identité. En tirant parti de l'automatisation, de l'analyse des risques et de l'application des politiques, l'ISPM garantit que les identités respectent les meilleures pratiques de sécurité, réduisant ainsi l'exposition aux attaques basées sur les informations d'identification, à l'escalade des privilèges et à l'accès non autorisé.
Au cœur de l'ISPM se trouve la capacité d'analyser dynamiquement la position de l'identité dans divers environnements, y compris les infrastructures sur site, dans le nuage et hybrides. Il s'agit de contrôler les droits d'accès, d'appliquer les principes du moindre privilège et de détecter les comportements anormaux indiquant une compromission. Intégré à la détection et à la réponse aux menaces liées à l'identité, le PSIM améliore la capacité d'une organisation à traiter de manière préventive les vulnérabilités liées à l'identité avant qu'elles ne soient exploitées. Les cybermenaces reposent souvent sur des informations d'identification compromises, de sorte que la PSIM basée sur l'identité constitue une couche critique de défense, alignant la posture de sécurité sur l'évolution du paysage des risques. Pour ce faire, il faut définir le niveau de risque que l'organisation est prête à tolérer, puis évaluer en permanence l'environnement afin de réagir lorsque ce niveau est atteint. L'ISPM est un élément clé de l'ITDR car il permet aux organisations de maintenir leur résilience face à des cyber-attaquants sophistiqués.
L'identité au service de la réponse aux menaces
Les solutions de gestion des identités et des accès permettent aux entreprises de relier les indicateurs de violation ou de menace aux identités, et de cibler la réponse au niveau le plus efficace, c'est-à-dire la ou les sessions ou applications. IAM est le "I" d'ITDR. Pour automatiser efficacement les réponses, ces deux technologies doivent fonctionner ensemble de manière transparente. Lorsqu'ils le font, l'intégration améliore la visibilité et la détection des menaces et répond rapidement aux attaques basées sur l'identité.
Les solutions IAM d'OpenText™ génèrent des journaux d'authentification, des demandes d'accès et des changements de privilèges. La solution de détection avancée des menaces d'OpenText & insider threat management les met en corrélation avec les données provenant des terminaux, des réseaux et des environnements cloud. En outre, OpenText TDR offre des analyses du comportement des utilisateurs et des entités (UEBA) qui vont au-delà de ce qui est généralement disponible dans les services de gestion des risques basés sur l'identité. Ils détectent les risques grâce à des indicateurs de violation dérivés de l'accès et de l'utilisation des applications lorsqu'ils sont réunis. Les mesures de risque traditionnelles basées sur l'identité et l'accès se limitent à des critères prescrits, tels que la connaissance ou non de l'instance de navigateur ou de l'appareil physique et l'échec ou non des tentatives de connexion. Ces mêmes contrôles adaptatifs imposent des conditions ou des limites aux plages horaires et aux géolocalisations, et identifient les scénarios de voyage impossibles. Alors que les contrôles d'accès adaptatifs traditionnels peuvent également exploiter l'historique de ces conditions prescrites, les mesures XDR peuvent être beaucoup plus sophistiquées.
Les technologies XDR contrôlent un spectre d'informations beaucoup plus large que celui disponible dans l'infrastructure IAM. À partir de ces données, l'automatisation XDR peut corréler les données observées avec des modèles de comportement plus discernables que les contrôles basés sur des règles. Ils discernent les sessions qui indiquent des facteurs de risque à partir d'anomalies ou de schémas d'attaque. Lorsque les capacités de surveillance XDR sont fusionnées avec les informations sur l'identité qui forment un niveau de sécurité ITDR, les activités peuvent être corrélées et calculées en modèles - des modèles qui s'étendent sur de longues périodes. Avec l'identité, les données d'activité collectées à partir des réseaux, des appareils et des informations de session sont corrélées à des niveaux d'interaction plus élevés que les identités (personnes ou processus) ont avec les services numériques sur une période plus longue. Ces données d'activité persistantes basées sur l'identité permettent aux moteurs de risque de calculer le risque d'activités liées à des violations qui sont utilisées pour pénétrer les pratiques de sécurité habituelles. Ces modèles se renforcent au fil du temps, ce qui rend l'ITDR plus efficace pour identifier les anomalies ou les violations potentielles au fur et à mesure que le modèle de chaque utilisateur actif se développe. Au-delà du renforcement des modèles de menace, l'ITDR peut réagir grâce à ses plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) - bien plus que ce qui est disponible dans un environnement IAM. En outre, le service informatique peut utiliser cette plateforme de sécurité élargie pour lancer des flux de travail prédéfinis, tels que le blocage des adresses IP malveillantes, l'alerte des analystes de la sécurité ou l'isolement des appareils concernés.
Quel rôle devrait jouer l'ITDR dans votre organisation ?
Comme chaque environnement est unique, le chemin vers un niveau de sécurité ITDR est également unique. Cela signifie que le besoin d'ITDR peut exister ou non dans un environnement spécifique, et que le niveau de sophistication de l'ITDR variera. La composition de votre environnement actuel influencera ce que vous mettrez en œuvre.
Voici quelques-unes des dynamiques qui peuvent aider à déterminer le montant à investir dans une forme de sécurité ITDR :
- Le risque - l'ensemble du spectre des risques - doit être un facteur dominant. Quel est le coût total d'une infraction ? Quelles sont les conséquences pour l'entreprise d'un échec à un audit de conformité ou d'un manquement à une exigence d'assurance cybernétique ?
- Coût et expertise - dans l'environnement actuel, les obstacles les plus sous-estimés à l'ITDR sont le coût et l'expertise dans le domaine. Les entreprises disposant de solutions IAM, PAM et SIEM robustes pourront plus facilement passer à une couche de sécurité ITDR. Cependant, l'IAM peut être un besoin plus immédiat si la sécurité de l'identité est incomplète ou faible.
- La capacité d'une organisation à intégrer l'ITDR à sa pile de sécurité existante est un autre facteur déterminant. L'intégration transparente avec les solutions IAM, SIEM, SOAR et EDR/XDR garantit que l'ITDR peut fournir une surveillance en temps réel et une réponse aux incidents sans créer de silos opérationnels.
- Évolutivité : les entreprises adoptant de plus en plus d'environnements hybrides et multiclouds, l'ITDR doit couvrir les identités cloud, l'accès privilégié et l'authentification fédérée. Il devient particulièrement précieux pour les entreprises qui gèrent une importante main-d'œuvre à distance et un accès étendu à des tiers, en garantissant une vérification sécurisée de l'identité dans des environnements dispersés.
- Priorité à la confiance zéro et budget - placer l'ITDR au premier plan des stratégies modernes de cybersécurité. L'ITDR permet une vérification continue de l'identité, une analyse comportementale et des réponses basées sur le risque, principes fondamentaux d'un modèle de confiance zéro. Alors que les organisations s'éloignent de la sécurité traditionnelle basée sur le périmètre, l'ITDR joue un rôle crucial dans la protection des identités en tant que nouveau périmètre.
L'ITDR est-il la nouvelle couche de sécurité d'accès ?
L'ITDR a évolué de la sécurité traditionnelle de l'identité vers une discipline de sécurité dédiée, traitant des cyber-menaces modernes liées à l'identité. Alors que les cybercriminels ciblent de plus en plus les informations d'identification, les comptes à privilèges et les systèmes d'identité, l'ITDR pourrait devenir une couche de sécurité standard de la stratégie de sécurité d'une organisation.
