La procédure de sécurité de détection et de réponse aux cybermenaces liées à l'identité (ITDR) identifie, prévient et réagit aux cybermenaces potentielles liées à l'identité, telles que la violation des comptes d'utilisateurs, les fuites de mots de passe, les compromissions de données et les activités frauduleuses. Ces cyberattaques qui ciblent l'identité font peser de graves menaces sur la sécurité des organisations.
Dans cet article, nous allons faire la lumière sur l'ITDR, les défis de sécurité auxquels elle répond et sa comparaison avec la détection et réponse à incident sur les endpoints (EDR), une solution de sécurité basée sur les appareils.
Quels sont les défis en matière de sécurité auxquels répond l'ITDR ?
Les cyberattaques modernes basées sur l'identité représentent une menace importante pour les entreprises, car elles entraînent souvent des pertes financières, ainsi que des problèmes juridiques et de réputation. Relever ces défis peut s'avérer particulièrement difficile.
Les cyberattaques modernes sont plus rapides et plus sophistiquées
Les cybercriminels élargissent leur répertoire d'attaques pour s'adapter aux progrès technologiques. La montée en vitesse moyenne, le taux croissant, ainsi que l'augmentation du nombre de vecteurs d'attaque dans le contexte des attaques basées sur l'identité laissent de nombreuses entreprises vulnérables, car elles ne sont pas préparées. Voici ce que le Global Threat Report 2024 de CrowdStrike a révélé :
- On estime qu'environ 8 cyberattaques sur 10 impliquent des identifiants volés ou compromis. Les identifiants volés permettent aux cyberattaquants de se déplacer latéralement dans un système et de passer inaperçus plus longtemps.
- Un quart des attaques contournent les mesures de sécurité habituelles en passant par des hôtes non gérés, tels que les ordinateurs portables des sous-traitants, des systèmes malveillants, des applications/protocoles obsolètes ou d'autres composants de la chaîne d'approvisionnement échappant au contrôle de l'organisation.
- Le temps de propagation moyen des cybercriminels n'est que de 84 minutes. Toutefois, les entreprises dépourvues d'outils de détection appropriés peuvent nécessiter jusqu'à 250 jours pour repérer une atteinte à l'intégrité de l'identité.
- Les attaques internes touchent environ 34 % des entreprises internationales. Ces attaques sont difficiles à détecter, car les entreprises négligent généralement de soumettre leur trafic à des politiques et des mesures de sécurité prioritaires.
L'environnement et le paysage des identités sont devenus plus complexes
En outre, les technologies cloud associées au télétravail ont considérablement accru la complexité de la gestion de la surface d'attaque :
- La diversité de l'architecture multicloud et des différents référentiels d'identité complique la détection et la protection contre les cyberattaques, ce qui réduit la visibilité de bout en bout.
- Pour gérer leur infrastructure d'identités, 90 % des entreprises font encore appel à Active Directory (AD), une ancienne technologie vulnérable aux cyberattaques. Les cyberattaquants peuvent passer latéralement d'une infrastructure sur site à une infrastructure dans le cloud, ce qui fait de l'AD une cible privilégiée.
- La complexité des environnements entrave la conduite d'audits réguliers sur les utilisateurs et la détection de vulnérabilités éventuelles dans les référentiels d'identités.
Par conséquent, les entreprises qui ont une faible visibilité sur leur environnement cloud sont très vulnérables.
Les solutions ITDR repèrent les cyberattaques et réagissent en contrôlant constamment l'activité des utilisateurs, en identifiant les comportements anormaux et en alertant les équipes de sécurité. Elles offrent une visibilité et un contrôle centralisés de toutes les identités et de tous les privilèges attribués aux utilisateurs. Vous pouvez également les intégrer aux outils existants de gestion des identités et des accès (IAM) pour simplifier et atténuer la difficulté de gestion des utilisateurs dans un contexte qui évolue sans cesse.
ITDR et EDR
L'ITDR et l'EDR sont deux solutions qui permettent de détecter et de prévenir les cyberattaques. Toutefois, ce qui les distingue avant tout, ce sont leurs objectifs.
L'ITDR surveille et analyse les logs d'activité des utilisateurs et de gestion des accès, et signale toute activité malveillante. Elle recueille des données provenant de plusieurs sources IAM, notamment sur site et dans le cloud. L'EDR, quant à elle, surveille et analyse les endpoints, tels que les stations de travail et les ordinateurs portables. Cette procédure consiste donc à collecter les logs des systèmes et à analyser le trafic réseau afin de détecter les activités malveillantes dans l'équipement d'une entreprise.
L'ITDR et l'EDR se complètent et fournissent des informations précieuses lors de l'analyse des incidents. Dans un scénario où un cyberattaquant a accédé à votre réseau par l'intermédiaire d'un endpoint, une solution EDR détectera toute activité suspecte sur cet appareil. Vous devez donc absolument comprendre comment le cyberattaquant a obtenu l'accès et s'il s'agit d'une fuite d'identifiants.
Parallèlement, les solutions ITDR fournissent des informations approfondies sur toutes les cybermenaces liées à l'identité. L'ITDR peut rapidement établir un lien entre les identifiants utilisés dans l'activité malveillante et ceux des utilisateurs autorisés. Ce niveau de visibilité permet d'identifier l'origine de l'attaque et d'améliorer les dispositifs de sécurité afin d'éviter que des incidents similaires ne se reproduisent à l'avenir.
La combinaison des fonctionnalités de l'ITDR et de l'EDR offre à une entreprise un avantage significatif pour repérer et contrer les intrusions complexes ainsi que les manœuvres latérales.
Les incontournables d'une solution ITDR
Le rapport Gartner® : Top Trends in CyberSecurity 2022 classe l'ITDR parmi les tendances majeures en sécurité et gestion des risques, mettant en évidence l'inquiétude grandissante vis-à-vis des cyberattaques en constante évolution et centrées sur l'identité. Par conséquent, les entreprises qui souhaitent se protéger en détectant ces cyberattaques ont besoin d'une solution adaptée à leurs besoins.
Dans cette optique, examinons les trois fonctionnalités essentielles de toute solution ITDR.
1. Visibilité permanente
La visibilité et la visualisation sont essentielles pour détecter les cybermenaces basées sur l'identité. Par conséquent, une solution ITDR se doit de collecter constamment des données provenant de diverses sources et de réaliser une analyse approfondie des cybermenaces.
Pour signaler les éventuelles cybermenaces, cette démarche implique d'utiliser une combinaison des outils suivants :
- Analyse des identités
- Apprentissage automatique
- Techniques d'analyse comportementale
- Détection des anomalies
Pour détecter ces cybermenaces, une analyse rapide via des tableaux de bord s'avère aussi cruciale.
2. Contrôle proactif
Les cybermenaces fondées sur l'identité peuvent rapidement prendre de l'ampleur. Votre système ITDR doit pouvoir déclencher une réponse automatisée pour bloquer l'accès au compte d'utilisateur concerné, alerter le personnel de sécurité et lancer une enquête.
3. Contrôle basé sur le risque
Toutes les alertes générées par une solution de sécurité ne sont pas utiles. La lassitude face aux alertes répétées peut avoir des conséquences graves, comme des retards dans la réaction ou des cybermenaces noyées dans un flot d'alertes similaires.
Votre solution ITDR doit pouvoir reconnaître les faux positifs et établir des priorités en fonction du risque associé à ces cyberattaques. Elle doit aussi avoir l'intelligence nécessaire pour identifier les formes d'attaques qui ciblent fréquemment l'infrastructure et évaluer le degré de menace qui en découle.
L'approche CrowdStrike
La solution CrowdStrike Falcon® Platform sert d'interface unifiée pour les cybermenaces et fournit une vision globale des risques affectant les endpoints et les identités. Son modèle intégré permet d'orchestrer des réponses automatisées et en temps réel, guidées par des politiques, à la fois pour les endpoints et les identités, une fonction que les outils autonomes ne proposent habituellement pas. En regroupant les données télémétriques des endpoints et des identités, la plateforme réalise une mise en relation instantanée des cybermenaces, en combinant la cyberveille et les méthodes d'attaque classiques des cyberadversaires.
En offrant une vue d'ensemble sur les chaînes d'attaque, CrowdStrike couvre l'intégralité de l'arsenal des cyberadversaires, que ce soit la diffusion de logiciels malveillants, les attaques sans fichiers, ou encore les cas d'identifiants et d'identités usurpés.
CrowdStrike a créé une solution cloud native dotée d'un capteur unique déployable à n'importe quel endroit de l'environnement client, ce qui facilite grandement la collecte de données télémétriques, qu'elles proviennent d'un endpoint ou d'une identité. CrowdStrike peut également associer l'ITDR à la gestion des droits sur l'infrastructure cloud (CIEM) pour sécuriser la structure des identités en offrant une visibilité et un contrôle centralisés sur l'ensemble des environnements cloud.