Les attaques basées sur l'identité sont aujourd'hui l'une des plus grandes menaces pour la sécurité informatique, car les réseaux d'entreprise hybrides modernes offrent aux cybercriminels de nombreux points d'entrée. Un commentaire de Martin Kulendik, directeur régional des ventes DACH chez Silverfort.
Par exemple, les pirates utilisent des comptes piratés pour obtenir un accès initial via des applications SaaS et IaaS dans le cloud public, ou pénètrent dans le périmètre de l'entreprise via des connexions VPN ou Remote Desktop Protocol (RDP) compromises. Les pirates peuvent alors poursuivre leurs attaques d'une machine à l'autre en utilisant des informations d'identification compromises. Un mouvement latéral de ce type se produit à la fois dans les menaces persistantes avancées (APT) et dans la distribution automatisée de logiciels malveillants ou de rançongiciels.
Faiblesses des solutions de sécurité d'identité
Les taux de réussite élevés de ces attaques, que ce soit sous la forme d'une prise de contrôle de compte, d'un accès distant malveillant ou d'un mouvement latéral, révèlent des faiblesses inhérentes aux solutions et pratiques actuelles de sécurité des identités. Cet article en explique les raisons et présente un nouveau concept de sécurité pour la protection holistique des identités, avec lequel les entreprises peuvent combler les lacunes existantes dans leur sécurité d'identité et reprendre le dessus contre les attaques basées sur l'identité.
Lacunes critiques dans la sécurité traditionnelle des identités
La sécurité des identités d'entreprise d'aujourd'hui présente des lacunes à la fois pour détecter si l'authentification des utilisateurs présente un risque et pour empêcher les tentatives d'authentification malveillantes. L'écart de détection provient du fait que les organisations utilisent désormais plusieurs solutions de gestion des identités et des accès (IAM) sur le réseau hybride. Une entreprise typique implémente au moins un annuaire sur site tel qu'Active Directory, un fournisseur d'identité cloud (IdP) pour les applications Web modernes, un VPN pour l'accès au réseau à distance et une solution de gestion des accès privilégiés (PAM) pour la gestion des accès privilégiés.
Ce qui manque souvent, cependant, c'est une solution unique et unifiée qui surveille et analyse toutes les activités d'authentification des utilisateurs sur toutes les ressources et tous les environnements. Cela limite considérablement la capacité à comprendre le contexte complet de chaque tentative d'accès et à détecter les anomalies qui indiquent un comportement à risque ou une utilisation malveillante d'informations d'identification compromises.
Les contrôles de sécurité IAM tels que MFA ne suffisent pas
L'écart de prévention résulte du fait que les contrôles de sécurité IAM essentiels tels que l'authentification multifacteur (MFA), l'authentification basée sur les risques (RBA) et l'application de l'accès conditionnel ne couvrent pas toutes les ressources de l'entreprise, ce qui laisse des lacunes de sécurité critiques. Par conséquent, de nombreux actifs et ressources restent non protégés : y compris les applications propriétaires et locales, l'infrastructure informatique, les bases de données, les partages de fichiers, les outils de ligne de commande, les systèmes industriels et de nombreux autres actifs sensibles qui peuvent devenir des cibles de choix pour les attaquants. Ces actifs reposent toujours sur des mécanismes basés sur des mots de passe et des protocoles hérités qui ne peuvent pas être protégés par les solutions actuelles basées sur des agents ou des proxys. En effet, la plupart des solutions de sécurité IAM ne peuvent pas s'y intégrer ou ne prennent pas en charge leurs protocoles.
Lorsque vous considérez tous les différents actifs d'un réseau d'entreprise hybride et toutes les voies d'accès possibles à chacun, il devient clair que la protection de quelques-uns de ces actifs n'est pas suffisante. Parce que chaque système non protégé laisse une passerelle possible pour les attaquants. Cependant, protéger tous les systèmes d'entreprise individuellement en mettant en œuvre des agents logiciels, des proxies et des kits de développement logiciel (SDK) n'est plus réaliste. Par conséquent, les solutions de sécurité IAM actuelles ne fournissent pas un moyen efficace d'empêcher efficacement l'utilisation d'informations d'identification compromises pour un accès malveillant et un mouvement latéral.
Protection unifiée de l'identité
Protection uniforme de l'identité pour combler les failles de sécurité
Afin de lutter contre les vecteurs de menace basés sur l'identité et de combler les lacunes de détection et de prévention mentionnées ci-dessus, l'approche de sécurité pour une protection holistique des identités (Unified Identity Protection) doit reposer sur les trois piliers fondamentaux suivants :
1. Surveillance continue et unifiée de toutes les demandes d'accès
Une surveillance continue et holistique de toutes les demandes d'accès sur tous les protocoles d'authentification (accès utilisateur à machine et accès machine à machine) et sur toutes les ressources et tous les environnements est nécessaire pour une visibilité complète et une analyse précise des risques. Cela inclut toute tentative d'accès, qu'il s'agisse de points de terminaison, de charges de travail cloud, d'applications SaaS, de serveurs de fichiers sur site, d'applications métier héritées ou de toute autre ressource.
Toutes les données de surveillance doivent être agrégées dans un référentiel unifié pour permettre une analyse plus approfondie. Un tel référentiel peut aider les organisations à surmonter le problème inhérent des silos IAM et permettre la détection et l'analyse des menaces.
2. Analyse des risques en temps réel pour chaque tentative d'accès
Martin Kulendik, directeur régional des ventes DACH chez Silverfort (Photo : Silverfort).
Pour détecter et répondre efficacement aux menaces, chaque demande d'accès doit être analysée pour comprendre son contexte, en temps réel. Cela nécessite la capacité d'analyser l'ensemble du comportement de l'utilisateur : c'est-à-dire toutes les authentifications que l'utilisateur effectue sur un réseau, un cloud ou une ressource sur site, pas seulement la première connexion au réseau, mais toutes les autres inscriptions dans ces environnements. Cela permet une analyse des risques très précise et en temps réel qui fournit le contexte nécessaire pour déterminer si les informations d'identification fournies pourraient être compromises.
3. Appliquer des politiques d'authentification et d'accès adaptatives à toutes les tentatives d'accès
Pour appliquer une protection en temps réel, les contrôles de sécurité tels que MFA, l'authentification basée sur les risques et l'accès conditionnel doivent être étendus à tous les actifs de l'entreprise dans tous les environnements. Comme déjà expliqué, il n'est pas pratique de mettre en œuvre des mesures de protection système par système. D'une part, cela est dû à la nature dynamique des environnements modernes, ce qui en fait une tâche sans fin ; deuxièmement, le fait que de nombreux actifs ne sont tout simplement pas couverts par les solutions de sécurité IAM existantes.
Pour obtenir une protection vraiment complète et unifiée, il faut donc une technologie qui applique ces contrôles sans nécessiter d'intégration directe avec chacun des différents appareils, serveurs et applications, et sans changements architecturaux massifs.
Intégration de Unified Identity Protection dans les solutions IAM existantes
Une solution unifiée de protection des identités consolide les contrôles de sécurité IAM et les étend à tous les utilisateurs, actifs et environnements de l'organisation. Grâce à une nouvelle architecture sans agent et sans proxy, cette technologie peut surveiller toutes les demandes d'accès aux comptes d'utilisateurs et de services sur tous les actifs et environnements, et étendre l'analyse de haute précision basée sur les risques, l'accès conditionnel et les politiques d'authentification multifacteur à toutes les ressources de l'hybride. couvrir l'environnement de l'entreprise. Les mesures de protection peuvent également être étendues à des actifs qui ne pouvaient pas être protégés auparavant. Ceux-ci incluent, par exemple, des applications locales et héritées, une infrastructure critique, des systèmes de fichiers, des bases de données et des outils d'accès administrateur tels que PsExec, qui permettent actuellement aux attaquants de contourner l'authentification MFA basée sur des agents.
Il est important d'être clair sur le fait qu'Unified Identity Protection ne remplace pas les solutions IAM existantes. Au lieu de cela, cette technologie consolide leurs capacités de sécurité et étend leur couverture à tous les actifs, y compris ceux qui ne sont pas pris en charge de manière native par les solutions IAM. Cela garantit que les organisations peuvent gérer et protéger tous leurs actifs dans tous les environnements avec des politiques et une visibilité cohérentes pour contrer efficacement les multiples vecteurs d'attaque basés sur l'identité.
Plus sur Silverfort.com
À propos de Silverfort
Silverfort fournit la première plate-forme de protection d'identité unifiée qui consolide les contrôles de sécurité IAM sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie innovante sans agent et sans proxy, Silverfort s'intègre de manière transparente à toutes les solutions IAM, unifiant leur analyse des risques et leurs contrôles de sécurité et étendant leur couverture aux actifs qui ne pouvaient auparavant pas être protégés, tels que les applications locales et héritées, l'infrastructure informatique, les systèmes de fichiers, la ligne de commande outils, accès de machine à machine et plus encore. La société a été reconnue comme un "Cool Vendor" par Gartner, un "FireStarter" par 451 Research et un "Upstart 100" par CNBC.