Les équipes de sécurité qui souhaitent protéger les identités de leur entreprise de façon proactive bénéficient d’un large choix d’outils de sécurité. Il en existe tellement qu’il semble même qu’une nouvelle catégorie d’outils soit inventée tous les quelques mois pour que tout reste en ordre.
Étant donné qu’il est de plus en plus difficile pour la plupart des équipes de sécurité de bloquer les cybercriminels qui utilisent des vulnérabilités liées aux identités pour élever les privilèges et se déplacer latéralement dans l’environnement informatique de l’entreprise, certains des outils les plus récents se concentrent sur cette partie centrale de la chaîne d’attaque. La détection et la réponse aux incidents pour endpoints (EDR, Endpoint Detection and Response) et la détection et la réponse avancées aux incidents (XDR, eXtended Detection and Response) sont deux outils censés couvrir ce domaine pointu de la défense. Malheureusement, en raison de leur architecture fondamentale et de leurs fonctionnalités clés, ce n’est pas vraiment là qu’ils sont les plus performants. C’est pourquoi une nouvelle catégorie d’outils, la détection et la neutralisation des menaces liées aux identités (ITDR, Identity Threat Detection and Response), est apparue pour combler les lacunes.
Dans cet article de blog, nous expliquerons la différence entre l’EDR, le XDR et l’ITDR, afin que vous puissiez comprendre comment ces outils se complètent et se renforcent mutuellement. Chacun possède des points forts et, ensemble, ils offrent une sécurité encore plus complète. Avant toute chose, remontons le fil de l’évolution de la cybersécurité jusqu’aux années 1980 pour comprendre pourquoi l’ITDR s’est imposé comme une mesure de défense essentielle dans le paysage des menaces actuel.
L’essor des antivirus et des pare-feux
Pourquoi les années 1980 ? Parce que c’est la décennie qui a vu l’avènement des réseaux informatiques et la prolifération des ordinateurs personnels. Les nouvelles menaces se sont également multipliées, car les cybercriminels ont profité de ces deux tendances.
Bien entendu, il existait déjà des menaces informatiques notables avant les années 1980, comme le programme autoréplicatif « Creeper » de 1971 et le cheval de Troie ANIMAL de 1975. Mais le rythme de développement s’est fortement accéléré pendant les années 1980, lorsque les ordinateurs personnels et les réseaux informatiques se sont généralisés, et les cybercriminels et autres individus malveillants ont cherché à exploiter les terminaux et les systèmes ou simplement à les infiltrer.
En 1987, Bernd Robert Fix, un expert en sécurité informatique allemand, a développé un programme logiciel pour bloquer un virus baptisé Vienna. Ce virus détruisait des fichiers aléatoires sur les ordinateurs infectés. Le programme de l’expert a fonctionné — et c’est ainsi que le secteur des antivirus est né. Toutefois, même si les premiers antivirus étaient utiles, ils ne pouvaient détecter et neutraliser que les virus connus sur les systèmes infectés.
Les pare-feux, qui permettent de surveiller et de contrôler le trafic réseau, font partie des avancées réalisées dans le domaine de la sécurité pendant les années 1980. Les premiers pare-feux « au niveau de la couche réseau » étaient conçus pour évaluer des « paquets » (petits ensembles de données) en fonction d’informations simples comme la source, la destination et le type de connexion. Si les paquets étaient approuvés, ils étaient envoyés au système demandant les données. Sinon, ils étaient éliminés.
L’explosion d’Internet — et l’escalade de la cybercriminalité
À la fin des années 1990 et au début des années 2000, Internet a connu une croissance spectaculaire en tant que plate-forme professionnelle incontournable, marquant le début d’une ère profondément transformatrice. Cette explosion s’est accompagnée de nouvelles opportunités, mais aussi de risques et de menaces de sécurité inédits.
La cybercriminalité s’est développée et est devenue un secteur plus formalisé et mondial à cette époque. Les cybercriminels se concentraient sur le développement de malwares et d’autres menaces. Les emails contenant des pièces jointes malveillantes et les stratégies astucieuses d’ingénierie sociale sont rapidement devenus les outils de prédilection des cybercriminels cherchant à distribuer leurs innovations et à exploiter des utilisateurs peu méfiants pour activer leurs campagnes.
À mesure que les cybermenaces ont gagné en sophistication, les équipes de sécurité ont fait évoluer les outils de sécurité traditionnels basés sur la détection pour les doter des fonctionnalités suivantes :
- Détection basée sur les signatures pour identifier les malwares connus
- Analyse heuristique pour détecter les menaces auparavant difficiles à déceler en fonction de modèles comportementaux suspects
Toutes ces méthodes étaient relativement efficaces, mais une fois encore, elles ne pouvaient pas tenir la cadence face aux innovations cybercriminelles et avaient tendance à générer un grand nombre de faux positifs et de faux négatifs.
Entrée en scène du SIEM
C’est aux alentours de 2005 que sont apparus les outils de gestion des événements et des informations de sécurité (SIEM) pour améliorer la capacité des équipes de sécurité à détecter et à neutraliser les incidents de sécurité. Un outil SIEM combine gestion des événements de sécurité (SEM, Security Event Management) et gestion des informations de sécurité (SIM, Security Information Management). Il est capable d’agréger et d’analyser les données de journaux provenant de différentes sources sur un réseau pour identifier les incidents de sécurité potentiels.
Les outils SIEM peuvent offrir une couche de protection essentielle pour l’écosystème numérique d’une entreprise, en assurant une visibilité en temps réel, la détection et la neutralisation des menaces avancées, la gestion de la conformité et plus encore. Toutefois, ils ont également leurs limites, en particulier lorsqu’il s’agit de gérer le volume et la complexité des cybermenaces modernes.
Cela nous amène à notre discussion sur l’EDR et le XDR, deux approches de cybersécurité qui offrent une détection et une neutralisation plus complètes que les systèmes SIEM et d’autres méthodes.
Qu’est-ce que l’EDR ?
C’est Anton Chuvakin, ancien analyste chez Gartner, qui a inventé le terme EDR en 2013 pour décrire les outils permettant de détecter et d’analyser les activités d’endpoints individuels, tels que des ordinateurs de bureau et des serveurs.
Le principal objectif de la technologie EDR est de fournir une visibilité en temps réel sur les activités de sécurité pertinentes des endpoints, tout en assurant une surveillance continue des menaces potentielles. Les systèmes EDR analysent les données collectées auprès de différentes sources pour identifier des comportements suspects ou des indicateurs de compromission. Une fois qu’ils ont détecté une activité anormale, ces systèmes peuvent rapidement prendre des mesures de réponse. Par exemple, ils peuvent isoler les endpoints affectés avant que le cybercriminel ne se déplace latéralement.
La technologie EDR fournit des outils de réponse aux menaces qui aident les équipes de sécurité à :
- Surveiller les activités des endpoints, notamment en collectant des données sur les processus, les connexions réseau et les modifications de fichiers
- Détecter les menaces à l’aide de plusieurs techniques d’analyse
- Enquêter plus efficacement sur les incidents
- Neutraliser les problèmes détectés en fournissant des données d’investigation numérique et en activant le confinement et l’isolation des endpoints affectés
Les outils EDR ont évolué au cours des dix dernières années pour aider les entreprises à protéger leurs réseaux contre un large éventail de menaces. Toutefois, ces outils présentent des limites, car la détection des menaces repose généralement sur les signatures et les comportements.
Qu’est-ce que le XDR ?
XDR est l’acronyme d’eXtended Detection and Response. Concept apparu il y a seulement quelques années, le XDR désigne les outils qui peuvent centraliser plusieurs ensembles de données de sécurité dans une même plate-forme. Le XDR intègre et corrèle des données provenant de divers composants de sécurité comme les endpoints, les réseaux, les services cloud et les applications. Il peut ainsi améliorer la visibilité sur la détection et la neutralisation des menaces dans l’ensemble d’un environnement.
L’objectif de l’utilisation du XDR pour la cybersécurité est de bénéficier d’une vue plus complète et unifiée des menaces de sécurité. Il assure une détection, une analyse et une neutralisation plus efficace des menaces. Le XDR permet également d’identifier plus rapidement les cyberattaques complexes qui peuvent cibler plusieurs couches d’un environnement informatique.
Toutefois, comme l’EDR, les outils XDR peuvent peiner à suivre le rythme des tactiques et techniques en mutation rapide des cybercriminels. Par ailleurs, l’EDR et le XDR peuvent fonctionner de concert, et certains affirment que le XDR représente une évolution de l’EDR. Si vous complétez l’EDR et le XDR par l’ITDR, vous renforcerez considérablement vos défenses.
Qu’est-ce que l’ITDR ?
La détection et la neutralisation des menaces liées aux identités (ITDR, Identity Threat Detection and Response) est une nouvelle catégorie de sécurité également inventée par Gartner qui peut être considérée comme proche et complémentaire d’outils de sécurité tels que les suivants :
- EDR
- XDR
- Détection et neutralisation des menaces réseau (NDR, Network Detection and Response)
- Annuaires, comme Active Directory
- Gestion des accès à privilèges (PAM, Privileged Access Management)
Les solutions ITDR ne remplacent pas les systèmes de détection et de neutralisation des menaces existants, comme l’EDR et le XDR, mais les complètent en comblant leurs lacunes.
Un système ITDR analyse en permanence vos endpoints, clients et serveurs, référentiels d’identité et systèmes PAM afin de détecter toute identité non gérée, mal configurée, disposant de privilèges excessifs ou présentant une quelconque vulnérabilité. Ces données vous offrent une vue ascendante et descendante sur les risques qui pèsent sur vos identités. Vous pouvez ensuite vous en servir pour supprimer les principales voies d’attaque vers vos ressources stratégiques que les cybercriminels peuvent utiliser pour installer des ransomwares et voler des données.
L’ITDR vous offre également un moyen éprouvé de prendre sur le fait les cybercriminels qui tentent d’élever les privilèges et de se déplacer latéralement. Les systèmes ITDR mettent en place de nombreux types de leurres avec lesquels seul un cybercriminel interagirait. Dès qu’une interaction se produit, vous recevez une alerte avec des données d’investigation numérique clés vous permettant de savoir exactement où se trouve le cybercriminel et quelles mesures prendre.
L’importance de l’ITDR
Une approche ITDR de la sécurité des identités est essentielle dans un monde où l’identité constitue le nouveau périmètre de sécurité. Pourquoi l’identité constitue-t-elle le nouveau périmètre ? Réfléchissez : même si les réseaux, les endpoints et tous les autres terminaux et applications sont correctement sécurisés, il suffit qu’un cybercriminel ait accès à un seul compte à privilèges pour compromettre les ressources informatiques d’une entreprise. Les attaques basées sur l’identité sont extrêmement répandues. D’après une étude, 84 % des entreprises ont été victimes d’une compromission liée aux identités au cours de l’année écoulée.
Avec l’ITDR, vos équipes de sécurité sont mieux à même de prévenir et de détecter les attaques basées sur l’identité au milieu de la chaîne d’attaque, où les élévations de privilèges et les déplacements latéraux prédominent.
Avantages de l’ITDR
Les cybercriminels lancent leurs campagnes en ciblant vos collaborateurs avec des attaques comme le phishing d’identifiants de connexion. Une fois qu’ils ont compromis un compte (une identité), ils peuvent infiltrer votre environnement et utiliser cette identité pour se déplacer latéralement et atteindre leurs objectifs.
Le principal avantage de l’ITDR est qu’il peut vous aider à briser la partie centrale de la chaîne d’attaque. Comme l’explique cet article, les contrôles robustes offerts par une solution ITDR peuvent vous aider à bloquer les attaques avant qu’elles ne deviennent des incidents graves.
L’ITDR vous offre une multitude de contrôles de sécurité efficaces qui vous aident à protéger la partie centrale de la chaîne d’attaque. Vous pouvez ainsi :
- Détecter, analyser et neutraliser rapidement les prises de contrôle de comptes
- Bloquer les élévations de privilèges
- Identifier et bloquer les déplacements latéraux
- Réduire la surface d’attaque avant que le cybercriminel n’arrive
Adoption d’une approche ITDR
Si vous avez déjà mis en place des mesures efficaces de gestion des identités et des accès, comme la gestion des accès à privilèges (PAM) et l’authentification multifacteur (MFA, Multi-Factor Authentication), vous êtes dans la configuration idéale pour utiliser des outils ITDR.
Si vous envisagez d’adopter l’ITDR, vous devez réfléchir à votre stratégie actuelle de protection des identités. Demandez-vous également comment des outils ITDR vous aideront à améliorer vos processus. Voici quelques conseils pour adopter une approche ITDR :
- Identifiez vos identités vulnérables. Vous devez identifier les vulnérabilités potentielles liées aux identités dans ces trois catégories : non gérées, mal configurées et exposées.
- Surveillez les menaces liées aux identités. Vous devez surveiller en permanence les activités suspectes des utilisateurs. Pour ce faire, vous pouvez intégrer des outils ITDR à votre système SIEM existant.
- Élaborez un plan. Assurez-vous que votre plan de réponse aux incidents inclut un plan de réponse aux menaces liées aux identités. Par exemple, quelle mesure prendre en cas de vol des identifiants de connexion d’utilisateurs ?
- Formez vos utilisateurs. Il est important que votre programme de sensibilisation à la sécurité informatique apprenne aux utilisateurs à identifier et à neutraliser les menaces liées aux identités, comme le phishing d’identifiants de connexion.
Et ensuite ?
Vérifier la légitimité des utilisateurs qui ont accès à vos systèmes et données ne suffit plus. Une défense proactive contre les menaces liées aux identités est une composante clé de l’avenir de la cybersécurité. C’est là que l’ITDR peut s’avérer utile. L’ITDR introduit une nouvelle catégorie d’outils et de bonnes pratiques pour protéger et défendre les identités. Il élargit également le champ des possibilités pour les entreprises qui souhaitent renforcer la protection de leurs identités. Il peut rendre le niveau de sécurité de votre entreprise exponentiellement plus élevé.
L’époque où il suffisait de verrouiller la porte d’une salle informatique pour pouvoir dire que les ressources à l’intérieur de ce périmètre étaient « sécurisées » est bel et bien révolue. En utilisant l’ITDR pour compléter d’autres défenses fondamentales comme l’EDR et le XDR, il y a de fortes chances que les équipes de sécurité puissent une fois encore prendre une longueur d’avance sur les cybercriminels et les tenir à l’écart.
Prêt à renforcer vos défenses avec l’ITDR ?
Proofpoint fournit une solution ITDR complète pour vous aider à identifier et à éliminer les risques liés aux identités, ainsi qu’à détecter et à neutraliser les menaces actives. Notre solution peut également vous aider à bloquer les attaques à un stade plus précoce, car elle vous permet de parsemer votre environnement de nombreux leurres convaincants avec lesquels seuls des cybercriminels interagiraient.
La plate-forme Proofpoint Identity Threat Defense inclut :
- Proofpoint Spotlight, qui peut aider votre entreprise à identifier et à corriger les vulnérabilités liées aux identités avant que les cybercriminels ne les trouvent
- Proofpoint Shadow, qui utilise une technologie moderne de leurres pour vous aider à détecter et à bloquer les cybercriminels avant qu’ils ne causent des dégâts
Apprenez-en plus sur la façon dont Proofpoint peut améliorer votre sécurité tout en tirant le meilleur parti d’autres outils essentiels comme l’EDR et le XDR.