Détection et réponse aux menaces liées à l'identité

La détection et la réponse aux menaces liées à l'identité (ITDR) représentent une avancée cruciale en matière de cybersécurité, car elles se concentrent sur la protection des identités et des informations d'identification, qui sont souvent les cibles principales des cyberattaques. En détectant les menaces qui pèsent sur les identités des utilisateurs et en y répondant, l'ITDR contribue à sécuriser l'accès aux ressources de l'organisation, en veillant à ce que seuls les utilisateurs légitimes y aient accès.

Qu'est-ce que l'identité et quel est le défi à relever pour se défendre contre les attaques liées à l'identité ?

L'identité est au cœur de l'entreprise moderne. Il existe des identités cloud et sur le réseau, ainsi que des identités humaines et de machines, qui s'étendent aux applications SaaS, aux nuages publics, aux passerelles Web sécurisées, aux services AD et aux services locaux. Au cours de l'année écoulée, 98 % des entreprises ont constaté une augmentation du nombre d'^identités1. Pour chaque identité humaine, il y a 45 identités de machines ou de ^services2. Cela représente un défi important pour les défenseurs, car 62 % d'entre eux n'ont pas de visibilité sur les personnes ou les machines qui accèdent aux données et aux ^actifs sensibles2.

Pourquoi mon organisation a-t-elle besoin de l'ITDR ?

L'identité est devenue le centre des attaques modernes, car différents types d'attaquants, tels que les gangs de ransomware, les attaquants des États-nations et les cybercriminels professionnels, abusent tous de l'identité dans leurs attaques. Ainsi, 90 % des organisations ont subi une attaque par l'identité au cours de l'année ^écoulée1.

En outre, les attaques réussies contre l'identité ont un coût énorme pour les organisations. Par exemple, Okta a subi une perte de capitalisation boursière de 2 milliards de dollars et a perdu les données de tous les utilisateurs du support client ; MGM a perdu jusqu'à 8,4 millions de dollars par jour ; Caesars Palace a payé une rançon de 15 millions de dollars. En fait, 68 % des entreprises ont subi un impact commercial direct à la suite d'une violation d'^identité1.

Les organisations qui disposent d'une prévention et d'une gestion de la posture d'identité restent vulnérables aux attaques d'identité, car les attaquants contournent de plus en plus le MFA et la prévention. Selon Gartner, l'ITDR constitue les deuxième et troisième couches de défense après l'échec de la prévention.

La détection et la réponse aux menaces liées à l'identité (Identity Threat Detection and Response - ITDR) sont cruciales pour les organisations afin de protéger leurs actifs précieux et d'arrêter les menaces liées à l'identité avant qu'elles ne causent des dommages et n'aient un impact sur l'entreprise.

La vision de Gartner sur l'ITDR

Le Gartner Hype Cycle for Security Operations 2023 souligne que l'ITDR a une cote élevée en termes d'avantages. Il est indiqué que la sécurisation de l'infrastructure d'identité organisationnelle est essentielle pour les opérations de sécurité.

Si les comptes organisationnels sont compromis, si les autorisations sont mal définies ou si l'infrastructure d'identité elle-même est compromise, les attaquants peuvent prendre le contrôle des systèmes.

Par conséquent, la protection de l'infrastructure d'identité et la défense contre les attaques d'identité doivent être une priorité absolue.

Comment fonctionne la détection et la réponse aux menaces liées à l'identité ?

Les solutions ITDR très efficaces utilisent des algorithmes d'apprentissage automatique de pointe et des modèles d'IA pour analyser le comportement des identités (identités de réseau, de cloud, humaines, de machine et de service) au sein du réseau et du cloud d'une organisation.

Ces solutions suivent les activités des utilisateurs, leurs permissions et leurs schémas d'accès afin d'identifier les écarts par rapport aux normes établies. En mettant en correspondance ces comportements avec des modèles de menace connus, les solutions ITDR peuvent identifier les menaces potentielles avec un haut degré de précision.  

Les solutions ITDR fournissent des alertes et des informations en temps réel, permettant aux équipes de sécurité de réagir rapidement aux menaces potentielles. Elles s'intègrent également de manière transparente à d'autres outils et solutions de cybersécurité, tels que les systèmes de gestion des identités et des accès (IAM) et les plateformes de gestion des informations et des événements de sécurité (SIEM), afin d'offrir une approche globale de la détection et de la réponse aux menaces.

Quels sont les avantages de la détection et de la réponse aux menaces liées à l'identité ?  

1. Surveillance continue des identités sur toute la surface d'attaque hybride
   Les solutions ITDR offrent une visibilité continue sur toutes les identités, y compris les comptes réseau, cloud, humains et machines, les autorisations d'accès et les activités connexes, sur l'ensemble du réseau et de l'environnement cloud d'une organisation. Cette visibilité s'étend du centre de données au cloud, couvrant divers types d'utilisateurs, emplacements et types d'appareils, y compris les appareils IoT et les imprimantes.    
2. Protège les comptes de service et d'administration
   Les solutions ITDR de pointe utilisent activement l'IA pour découvrir et surveiller les comptes de service et d'administration, fournissant des protections sur ces comptes même lorsqu'ils ne sont pas clairement définis ou étiquetés.      
3. Analyse comportementale et IA pour la détection avancée des menaces
   Les principales solutions ITDR s'appuient sur l'analyse comportementale et l'apprentissage automatique pour modéliser et détecter les activités inhabituelles et les menaces associées aux identités. Plutôt que de s'appuyer sur une détection basée sur les signatures, ces solutions se concentrent sur l'identification des attaques actives, notamment la persistance, l'escalade des privilèges, l'évasion de défense, l'accès aux informations d'identification, la découverte, le mouvement latéral, la collecte de données, les activités de commandement et de contrôle (C2) et l'exfiltration de données.    
4. L'IA améliore l'efficacité des centres d'opérations de sécurité (SOC)
   en réduisant le bruit Les solutions ITDR pilotées par l'IA comprennent les privilèges et fournissent un signal clair que les simples anomalies de l'UEBA ne peuvent pas fournir. Elles automatisent de nombreux aspects de la détection et de la réponse aux menaces, améliorant considérablement l'efficacité des centres d'opérations de sécurité (SOC) en réduisant le bruit. Malgré la pénurie actuelle d'experts en cybersécurité, ces solutions fournissent des reconstructions d'attaques détaillées en langage naturel, permettant aux analystes de disposer des informations nécessaires pour répondre aux alertes de manière rapide et complète.    
5. Réponse automatisée en temps réel
   En plus de détecter les attaques sophistiquées et les comportements suspects, les solutions ITDR offrent la possibilité de répondre automatiquement et d'arrêter les attaques en temps réel. Elles s'intègrent également de manière transparente à d'autres produits de cybersécurité, tels que la détection et la réponse aux Endpoint (EDR), pour des mesures de sécurité renforcées.  

Quelle est la valeur d'une solution efficace de détection et de réponse aux menaces liées à l'identité ?

Une solution ITDR efficace est en corrélation avec la détection de votre réseau et de votre cloud et fonctionne dans le cadre de vos autres outils, et non en vase clos. La solution doit permettre à votre organisation de :  

• Arrêter les ransomwares à temps
• Halte aux compromis motivés par phishing
• Sécuriser la prolifération des comptes de service  
• Défendre les identités privilégiées  
• Défendre l'infrastructure d'identité  
• Arrêter les mouvements latéraux fondés sur l'identité  
• Sécuriser les connexions ZScaler  
• Surveiller les menaces individu  
• Contrôler l'utilisation de l'identité de manière proactive

L'évolution de la détection et de la réponse aux menaces liées à l'identité  

Selon Gartner, l'ITDR nécessite une coordination entre les équipes IAM et de sécurité. Il est suggéré aux organisations de combiner l'hygiène de l'infrastructure IAM fondamentale, telle que PAM et IGA, avec l'ITDR et de l'intégrer dans le programme IAM. Il est important de donner la priorité à la sécurisation de l'infrastructure d'identité avec des outils permettant de surveiller les techniques d'attaque d'identité, de protéger les contrôles d'identité et d'accès, de détecter les attaques et de permettre une remédiation rapide. Le cadre MITRE ATT&CK de MITRE ATT&CK devrait également être utilisé pour corréler les techniques ITDR avec les scénarios d'attaque afin de s'assurer qu'au moins les vecteurs d'attaque bien connus sont pris en compte.

Les identités sont de plus en plus ciblées par les adversaires et la mise en œuvre de l'ITDR n'est pas seulement une option mais une nécessité. Vectra AI est à la pointe de la fourniture de solutions ITDR avancées qui permettent aux équipes de sécurité de détecter de manière proactive les menaces liées à l'identité et d'y répondre. Contactez-nous pour savoir comment nous pouvons vous aider à sécuriser les actifs les plus critiques de votre organisation - ses identités.

En savoir plus sur Vectra AI ITDR >