Les attaques basées sur l’identité sont aujourd’hui l’une des plus grandes menaces pour la sécurité informatique, car les réseaux d’entreprise hybrides modernes offrent aux cybercriminels de nombreuses passerelles. Par exemple, les pirates utilisent des comptes piratés pour obtenir un accès initial via des applications SaaS et IaaS dans le cloud public ou pénètrent dans le périmètre de l’entreprise via des connexions VPN ou RDP (Remote Desktop Protocol) compromises. Les pirates peuvent alors poursuivre leurs attaques d’une machine à l’autre en utilisant des informations d’identification compromises. Ce type de mouvement latéral se produit à la fois avec les menaces persistantes avancées (APT) et avec la distribution automatisée de logiciels malveillants ou de ransomwares.
Les taux de réussite élevés de ces attaques, que ce soit sous forme de prise de contrôle de compte, d’accès à distance malveillant ou de mouvement latéral, révèlent les faiblesses inhérentes qui prévalent aujourd’hui dans les solutions et les pratiques de sécurité des identités.
Cet article explique les raisons de cela et présente un nouveau concept de sécurité pour la protection holistique des identités avec lequel les entreprises peuvent combler les lacunes existantes dans leur sécurité d’identité et reprendre le dessus contre les attaques basées sur l’identité.
Lacunes critiques dans la sécurité traditionnelle des identités
La sécurité de l’identité des organisations d’aujourd’hui ne permet pas à la fois de détecter si l’authentification des utilisateurs est un risque et d’empêcher les tentatives d’authentification malveillantes. L’écart de détection provient du fait que les entreprises utilisent aujourd’hui plusieurs solutions de gestion des identités et des accès (IAM) sur le réseau hybride.
Une entreprise type implémente au moins un annuaire local tel qu’Active Directory, un fournisseur d’identité cloud (IdP) pour les applications Web modernes, un VPN pour l’accès réseau à distance et une solution de gestion des accès privilégiés (PAM) pour la gestion des accès privilégiés.
La plupart du temps, cependant, il manque une solution unique et unifiée qui surveille et analyse toutes les activités d’authentification de l’utilisateur sur l’ensemble des ressources et des environnements. Cela limite considérablement la capacité de comprendre le contexte complet de toute tentative d’accès et de détecter les anomalies qui indiquent un comportement à risque ou une utilisation malveillante d’informations d’identification compromises.
L’écart de prévention résulte du fait que les contrôles de sécurité IAM essentiels tels que l’authentification multifacteur (MFA), l’authentification basée sur les risques (RBA) et l’application de l’accès conditionnel ne couvrent pas toutes les ressources de l’entreprise et laissent ainsi des lacunes de sécurité critiques. En conséquence, de nombreux actifs et ressources restent non protégés : y compris les applications propriétaires et auto-développées, l’infrastructure informatique, les bases de données, les partages de fichiers, les outils de ligne de commande, les systèmes industriels et de nombreux autres actifs sensibles qui peuvent devenir la cible principale des attaquants. Ces actifs reposent toujours sur des mécanismes basés sur des mots de passe et des protocoles hérités qui ne peuvent pas être protégés par les solutions actuelles basées sur des agents ou des proxy. En effet, la plupart des solutions de sécurité IAM ne peuvent pas s’intégrer avec elles ou ne prennent pas en charge leurs protocoles.
Si vous regardez tous les différents actifs d’un réseau d’entreprise hybride et toutes les voies d’accès possibles à chacun d’entre eux, il devient clair qu’il ne suffit pas de protéger quelques-uns de ces actifs. Parce que chaque système non protégé laisse une passerelle possible pour les attaquants. Cependant, protéger individuellement tous les systèmes de l’entreprise en mettant en œuvre des agents logiciels, des proxys et des kits de développement logiciel (SDK) n’est plus réaliste. Par conséquent, les solutions de sécurité IAM actuelles ne sont pas un moyen efficace d’empêcher efficacement l’utilisation d’informations d’identification compromises pour un accès malveillant et un mouvement latéral.
Protection uniforme de l’identité pour combler les failles de sécurité
Afin de contrer les vecteurs de menace basés sur l’identité et de combler les lacunes de détection et de prévention mentionnées ci-dessus, l’approche de sécurité pour la protection holistique des identités (Unified Identity Protection) doit reposer sur les trois piliers de base suivants :
- Surveillance continue et uniforme de toutes les demandes d’accèsn : Pour une transparence totale et une analyse précise des risques, une surveillance continue et holistique de toutes les demandes d’accès sur tous les protocoles d’authentification (accès utilisateur-machine et machine-machine) et sur toutes les ressources et environnements est requise. Cela inclut chaque tentative d’accès, qu’il s’agisse de points de terminaison, de charges de travail cloud, d’applications SaaS, de serveurs de fichiers sur site, d’applications commerciales héritées ou d’autres ressources. Toutes les données de surveillance doivent être agrégées dans un référentiel unifié pour permettre une analyse plus approfondie. Un tel référentiel peut aider les entreprises à surmonter le problème inhérent aux silos IAM et permettre la détection et l’analyse des menaces.
- Analyse des risques en temps réel pour chaque tentative d’accès: Pour identifier et répondre efficacement aux menaces, chaque demande d’accès doit être analysée pour comprendre son contexte – en temps réel. Cela nécessite la capacité d’analyser l’intégralité du comportement de l’utilisateur : c’est-à-dire toutes les authentifications que l’utilisateur effectue dans un réseau, un cloud ou une ressource sur site – pas seulement la première fois qu’il se connecte au réseau, mais toutes d’autres enregistrements dans ces environnements. Cela permet une analyse des risques de haute précision et en temps réel qui fournit le contexte nécessaire pour déterminer si les informations d’identification fournies peuvent avoir été compromises.
- Application de politiques d’authentification et d’accès adaptatives à toutes les tentatives d’accès: Pour appliquer une protection en temps réel, les contrôles de sécurité tels que l’authentification multifacteur, l’authentification basée sur les risques et l’accès conditionnel doivent être étendus à toutes les ressources de l’entreprise dans tous les environnements. Comme déjà expliqué, il n’est pas pratique de mettre en œuvre des mesures de protection système par système. Cela est en partie dû à la nature dynamique des environnements modernes, ce qui en fait une tâche sans fin ; d’autre part, le fait que de nombreux actifs ne sont tout simplement pas couverts par les solutions de sécurité IAM existantes.
Afin d’obtenir une protection vraiment complète et uniforme, une technologie est donc nécessaire qui applique ces contrôles sans avoir besoin d’une intégration directe avec chacun des divers appareils, serveurs et applications et sans changements architecturaux massifs.
Intégration de la protection unifiée des identités
Une solution de protection d’identité unifiée consolide les contrôles de sécurité IAM et les étend à tous les utilisateurs, actifs et environnements de l’entreprise. Grâce à une nouvelle architecture sans agent et sans proxy, cette technologie peut surveiller toutes les demandes d’accès des utilisateurs et des comptes de service sur tous les actifs et environnements et étendre l’analyse de haute précision basée sur les risques, l’accès conditionnel et les politiques d’authentification multifacteur pour inclure toutes les ressources dans l’hybride Pour couvrir l’environnement de l’entreprise.
Les mesures de protection peuvent également être étendues aux actifs qui ne pouvaient pas être protégés auparavant. Ceux-ci incluent, par exemple, les applications auto-développées et les applications héritées, les infrastructures critiques, les systèmes de fichiers, les bases de données et les outils d’accès administrateur tels que PsExec, qui permettent actuellement aux attaquants de contourner l’authentification MFA basée sur des agents.
Il est important de préciser que Unified Identity Protection ne remplace pas les solutions IAM existantes. Au lieu de cela, cette technologie consolide leurs fonctions de sécurité et étend leur couverture à tous les actifs, y compris ceux qui ne sont pas pris en charge nativement par les solutions IAM. Cela garantit que les entreprises peuvent gérer et protéger toutes leurs ressources dans tous les environnements avec des directives et une transparence uniformes afin de contrer efficacement les nombreux vecteurs d’attaque basés sur l’identité.
Travail à domicile et VPN - Infogeti