La façon dont les menaces liées à l'identité sont actuellement définies et l'approche et les outils de défense utilisés par la plupart des équipes SOC sont terriblement insuffisants.
Cela doit changer immédiatement.
La plupart des équipes SOC considèrent que la sécurité de l'identité consiste à corriger l'hygiène de l'identité et à mettre à jour la gestion de la posture avant la compromission. Mais dans ce contexte d'expansion des identités et des menaces GenAi, une sécurité des identités complète nécessite également des capacités de détection et de réponse post-compromission pilotées par l'IA pour se défendre contre les attaques en cours. Nous le savons parce que les organisations sont prises au dépourvu par les attaques basées sur l'identité dans leurs surfaces de menaces hybrides, malgré la prévention des attaques basées sur l'identité.
Ce défi est d'autant plus difficile à relever que la plupart des équipes SOC ne disposent pas de la technologie nécessaire pour avoir une visibilité sur ces attaques d'identité avant des mois, voire jamais. En d'autres termes, si vous ne pouvez pas le voir, vous ne pouvez pas l'arrêter. Une nouvelle compréhension de l'identité est nécessaire, de même qu'une approche globale de la détection et de la réponse.
Une nouvelle définition de l'identité : le centre de l'entreprise moderne
L'identité n'est plus singulière ou enfermée. Une définition plus appropriée est que l'identité est au centre de l'entreprise moderne, car elle passe par vos réseaux sur site et cloud , SaaS, PaaS, données, travail à distance, et d'autres surfaces et de nombreux appareils. Malheureusement, elle permet également aux cyber-attaquants de lancer leurs attaques à travers des surfaces hybrides à une échelle industrielle. De plus, il suffit d'une seule identité compromise pour que les attaquants naviguent rapidement dans des systèmes réseau complexes et volent des données critiques à toutes les organisations, sans même être détectés par la plupart des équipes SOC. En réalité, toutes les attaques hybrides finissent par devenir des attaques d'identité.
Toutes les attaques hybrides finissent par devenir des attaques d'identité.
Comment le savons-nous ?
En effet, bien qu'elles aient investi des millions de dollars dans des outils de sécurité pour défendre les environnements hybrides, 90 % des organisations ont été victimes d'une attaque d'identité. En outre, les attaquants ont banalisé des techniques telles que phishing-as-a-service et ransomware-as-service, ce qui leur permet de reproduire à grande échelle des attaques réussies impliquant des identités.
Unified cloud et Network Access sont les nouvelles lignes de front de la sécurité de l'identité
Auparavant, l'identité n'était accessible que si un attaquant se trouvait déjà dans le réseau. On pensait que les pare-feux, l'EDR et les politiques étaient suffisants pour protéger les identités et constituaient la première ligne de défense de l'identité. Ce n'est plus le cas. Aujourd'hui, les identités se trouvent au-delà du périmètre et sont facilement accessibles en dehors de l'environnement réseau traditionnel. Avec un tel accès externe devenu la norme, cloud unifié et l'accès au réseau sont devenus les nouvelles lignes de front pour les défenseurs.
Les attaquants ont besoin de deux choses pour réussir : une identité et un réseau.
Pour réussir, les attaquants n'ont besoin que de deux choses : une identité et un réseau. En ce qui concerne l'identité, c'est une opportunité riche en cibles pour les attaquants. Alors que le nombre de surfaces d'attaque de l'identité augmente rapidement, les possibilités de compromission de l'identité augmentent de façon exponentielle. Chaque utilisateur (clients, employés, partenaires et fournisseurs), appareil et compte de service sur le site cloud et sur le réseau représente un vecteur potentiel d'attaque de l'identité.
Ainsi, les attaquants peuvent abuser de tous les types d'identités, qu'elles soient humaines ou liées à des machines, pour propager leurs attaques, soit comme point de départ, soit pour se déplacer latéralement dans un environnement afin d'accéder à des données sensibles et de propager des ransomwares. En outre, la myriade d'identités de machines (telles que les API, les robots et les comptes de service) pose des défis uniques en matière de défense. Contrairement aux utilisateurs humains, elles ne peuvent pas s'authentifier via MFA (plus d'informations sur MFA dans un instant).
L'explosion de l'identité entraîne d'énormes lacunes en matière d'identité des machines et des services
Pourtant, ces identités machine ont accès à des ressources critiques. Selon Silverfort, 31% de tous les utilisateurs sont des comptes de service avec des privilèges d'accès élevés et une faible visibilité. De plus, en moyenne, 109 nouveaux administrateurs fantômes sont introduits par une seule mauvaise configuration AD, ce qui permet aux attaquants de réinitialiser le mot de passe d'un véritable administrateur. *Rapport SilverfortIdentity Underground
31% de tous les utilisateurs sont des comptes de service avec des privilèges d'accès élevés et une faible visibilité.
En outre, les entreprises ont plus d'identités à protéger que leur équipe SOC ne le pense. Selon le calculateur d'identité de Vectra, les entreprises ont 3 fois plus d'identités (comptes de machines/services) que d'employés. Cela signifie que les entreprises de 1 000 employés ont au moins 3 000 identités à protéger. De plus, selon Okta, seulement 64% de ces utilisateurs activent le MFA, ce qui signifie qu'au moins 1080 identités (3000 x (100%-64%)) ne sont pas protégées par le MFA, ou ne l'utilisent même pas. Il est clair que la façon dont nous concevons l'identité et dont nous abordons la sécurité de l'identité doit être à la fois plus élastique et impliquer une couverture complète.
En outre, alors que les groupes d'attaquants passent d'une surface d'attaque à l'autre dans le réseau et cloud à volonté, les équipes SOC s'appuient trop souvent sur des outils cloisonnés pour chaque surface d'attaque, ce qui ajoute du bruit, une cascade d'alertes et moins de visibilité. Avec l'augmentation rapide des identités d'entreprise et le manque de visibilité, les attaquants disposent de plus de moyens pour pénétrer un réseau et progresser dans leurs attaques, tandis que les défenseurs sont mal équipés pour faire face à ces nouveaux défis. Par conséquent, dans la grande majorité des cas, les équipes SOC n'empêchent pas, ne voient pas ou n'arrêtent pas les attaques d'identité de pénétrer dans leurs réseaux ou de voler leurs données.
L'élargissement de la surface d'attaque des identités augmente le risque de menace
De même, alors que les organisations continuent de migrer vers le site Cloud, leurs environnements couvrent l'infrastructure sur site, les services cloud et les espaces de travail à distance, créant ainsi un tissu de plus en plus complexe de systèmes interconnectés. Cette expansion offre aux attaquants de multiples nouveaux points d'entrée pour lancer une attaque. Ce seul fait augmente considérablement leurs chances de réussite. Même un seul point d'entrée compromis peut conduire à des brèches importantes lorsque les attaquants passent d'un environnement sur site à un environnement cloud .
Le master en droit est loin d'être suffisant - si tant est qu'il l'ait jamais été
Pour une grande partie des équipes SOC, la vision dominante de la sécurité de l'identité est la suivante : "Nous avons l'AFM, donc nous sommes prêts". Comme nous l'avons vu avec les récentes brèches très médiatisées, l'AFM ne suffit pas. Le fait que 90 % des entreprises qui subissent des attaques d'identité disposaient d'un système de gestion de l'identité (MFA) en dit long sur la situation
90% des entreprises victimes d'attaques d'identité avaient mis en place un MFA en place.
Ce fait est confirmé par la révélation faite par Microsoft lors de la conférence Ignite en 2023, selon laquelle 62 % de tous les utilisateurs mensuels actifs n'ont pas activé le MFA. Cela signifie que près des deux tiers des identités d'une organisation sont exposées à un risque beaucoup plus élevé de violation de compte. Enfin, la violation de la chaîne d'approvisionnement d'OKTA à la fin de l'année 2023 a démontré l'insuffisance de l'AMF pour protéger les identités. Les attaquants peuvent facilement contourner l'AMF par le biais de l'ingénierie sociale ou de dispositifs compromis, entre autres .
Il s'agit moins d'une critique de l'AMF que d'un rappel à la réalité du comportement humain.
De même, les solutions EDR ne sont pas non plus à toute épreuve. Elles sont nécessaires mais insuffisantes, car elles peuvent passer à côté de signes divers et subtils de compromission de l'identité. Les outils de prévention des intrusions sont également utiles, mais pas parfaits. En bref, d'une manière ou d'une autre, les attaquants vont percer vos défenses. Selon l'étude de Vectra AI, 71 % des professionnels de la sécurité pensent que leur organisation a été victime d'une intrusion, mais ils ne savent pas où. Les équipes SOC doivent compléter la prévention par de solides capacités de détection d'identité et de réponse après la compromission.
Les attaquants vont contourner le MFA ou l'EDR et percer vos défenses, d'une manière ou d'une autre.
L'élément humain et la fatigue liée à la sécurité de l'identité
La sécurité de l'identité comporte également un élément humain qui se reflète dans les statistiques sur les utilisateurs d'Azure Active Directory de l'AFM mentionnées ci-dessus. Il s'agit de la prise de conscience que même lorsque les outils de sécurité sont à la disposition des employés ou même des entreprises, ils ne sont pas toujours utilisés ou mis en œuvre correctement ou de manière cohérente, voire pas du tout. Cela se manifeste de toutes sortes de façons, de la simple lassitude à l'égard des mots de passe à l'incapacité de mettre en œuvre ou d'appliquer des politiques au niveau de l'organisation. Le succès de Spear phishing est dû en partie à la simple lassitude des humains face aux alertes, au détournement de leur attention en raison de leurs tâches multiples, aux fausses alertes générées par l'IA ou à la simple curiosité.
Mais la lassitude à l'égard de la sécurité de l'identité est aussi une voie à double sens, qui touche également les équipes SOC. La fatigue et l'épuisement des analystes sont des facteurs réels et redoutables qui diminuent leur efficacité. Le traitement d'un nombre écrasant d'alertes - près de 5 000 par jour - associé à des tâches manuelles fastidieuses et à un trop grand nombre d'heures supplémentaires fait que les équipes sont surmenées, débordées et en sous-effectif. Il en résulte une perte de confiance et de compétence dans l'accomplissement de leur travail, ainsi qu'un taux d'attrition élevé. Alors que les attaquants sont de plus en plus efficaces, les défenseurs prennent de plus en plus de retard sur la courbe des menaces.
Surface d'attaque de la GenAI - augmentation exponentielle de l'exposition à l'identité
Enfin, l'adoption et l'intégration rapides d'outils GenAI tels que Microsoft Copilot dans les environnements d'entreprise créent déjà de nouvelles surfaces d'attaque très accessibles. Même si les outils pilotés par l'IA sont destinés à rationaliser les opérations, ils constituent des cibles de choix pour les attaques d'identité, car les grands modèles de langage (LLM) qui les alimentent ont accès aux données propriétaires de l'entreprise. Avec une seule brèche, les attaquants obtiennent le même avantage basé sur l'IA, en utilisant les capacités d'IA au niveau de l'entreprise contre l'entreprise elle-même, en exploitant les identités pour propager leurs attaques à la vitesse et à l'échelle de l'IA.
Pour compliquer les choses, sans une solution de détection d'identité et de réponse post-compromission qui applique l'analyse comportementale à la vitesse de l'IA, les équipes SOC ont peu ou pas de visibilité sur les informations qu'un outil alimenté par l'IA-Chat comme Copilot renvoie à l'attaquant. Cela ajoute encore plus de latence à la détection et à la réponse qu'il n'en existe déjà. Les équipes SOC doivent être en mesure d'exploiter des solutions de détection et de surveillance dotées d'une vitesse et de capacités basées sur l'IA afin d'empêcher les attaquants d'abuser des identités par le biais d'outils GenAI et d'accéder à des données et informations sensibles.
La définition conventionnelle de la sécurité de l'identité, qui consiste en l'utilisation d'identifiants et de l'AMF, n'est plus vraie ni utilisable, car elle est en retard sur la réalité de l'expansion de la surface hybride, de l'insuffisance de l'AMF, de la production en masse d'identités de machines et de la courbe de menace abrupte induite par l'intelligence artificielle.
En fin de compte, les capacités d'attaque de la GenAI dans le cadre d'une violation de Copilot augmentent l'exposition de votre identité à une échelle exponentielle.
Quelle est l'ampleur du risque que représente la compromission de l'identité pour les organisations ?
Environ 98 % des organisations constatent une augmentation rapide du nombre d'identités qu'elles doivent protéger - mais qu'elles ne peuvent pas protéger - et il est donc difficile d'exagérer le défi. En outre, selon l'ISDA, 84 % des entreprises ont subi des répercussions directes sur leur activité à la suite d'une violation d'identité. La prolifération des identités est une réalité et elle est appelée à durer. Il n'est pas étonnant que 90 % des entreprises soient victimes d'une violation d'identité. La compromission de l'identité devient de plus en plus facile et donne aux attaquants les clés de votre royaume de données.
C'est pourquoi il est étonnant de constater que 62 % des équipes SOC n'ont aucune visibilité sur les identités humaines ou machines qui ont accès aux données sensibles ou aux actifs de leur organisation. En d'autres termes, une grande majorité d'organisations sont incapables de protéger leurs actifs critiques contre les attaques basées sur l'identité et ne sont même pas en mesure de voir si une identité est, ou a été, utilisée de manière abusive.
Qu'est-ce qui est le plus important : l'attaquant qui pourrait entrer... ou celui qui est déjà entré ?
Comme indiqué ci-dessus, 71 % des analystes SOC pensent qu'ils sont déjà compromis, mais qu'ils ne le savent pas encore. Bien sûr, la posture préventive et l'hygiène sont fondamentales pour une sécurité centrée sur l'identité. Cependant, avec de nouveaux utilisateurs, appareils, systèmes et charges de travail, il s'agit d'une lutte sans fin pour combler de nouvelles lacunes et modifier de nouvelles configurations. Sans parler des configurations erronées qui découlent de l'automatisation ou des changements de système dus aux activités de fusion et d'acquisition.
Malgré tous vos efforts, les attaquants n'ont besoin que d'une seule ouverture pour progresser dans un environnement. Alors que les attaquants continuent d'accélérer leur vitesse, les équipes de sécurité devraient investir en priorité dans la détection des menaces après la compromission afin d'arrêter les attaquants qui se sont déjà infiltrés dans votre environnement le plus tôt possible, avant que les dommages ne se produisent.
Toutes les organisations doivent rester à la pointe de la sécurité des identités, ce qui commence par la reconnaissance des nouvelles réalités de la sécurité des identités dans l'environnement en expansion de l'identité et de la surface des menaces de la GenAI. Cela nécessite également une approche équilibrée qui inclut l'optimisation de l'hygiène de l'identité et de la gestion de la posture, ainsi que la détection et la réponse à l'identité après la compromission. Une analyse des lacunes en matière d'exposition est également recommandée.
VectraIdentity Threat Detection and Response (ITDR) détecte les changements dans la posture de sécurité et fournit une détection et une réponse d'identité post-compromission à la vitesse et à l'échelle de l'IA, afin que votre équipe puisse voir et arrêter la compromission d'identité avant que tout dommage ne se produise.