Qu’est-ce que l’ITDR (Identity Threat Detection and Response) ?

L’ITDR est l’acronyme de “Identity Threat Detection and Response” (détection et réponse aux menaces d’identité, en français), une nouvelle catégorie de solutions de cybersécurité contre les menaces cybernétiques, axée sur la protection des systèmes basés sur l’identité.

L’ITDR implique une combinaison d’outils, de processus et de meilleures pratiques de sécurité pour détecter et répondre efficacement aux menaces liées à l’identité.

L’identité a été décrite comme la nouvelle frontière de vulnérabilité, car même si un réseau, un point d’accès et tous les autres dispositifs sont sécurisés, un cyberattaquant a seulement besoin d’accéder à un compte privilégié pour compromettre les ressources de l’entreprise.

C’est pourquoi Gartner a désigné l’ITDR comme l’une des principales tendances en matière de sécurité et de gestion des risques pour l’année 2022.

L’ITDR est une catégorie de sécurité qui est voisine d’autres solutions de détection telles que la Endpoint Detection and Response (EDR), l’Extended Detection and Response (XDR), et le Network Detection and Response (NDR).

Malgré leur nomenclature commune, certaines capacités de l’ITDR représentent une nette rupture par rapport à ses prédécesseurs, l’EDR et le XDR.

Les capacités des systèmes ITDR exigent une compréhension plus nuancée de la raison pour laquelle l’identité mérite sa propre catégorie de solutions de détection et de réponse.

En conséquence, un système ITDR complet inclut un ensemble complet d’outils et de processus de threat intelligence conçus pour protéger les systèmes d’identité, détecter leur compromission et permettre une remédiation efficace.

Plus spécifiquement, un système ITDR peut prendre en charge une combinaison des éléments suivants :

• Analyse des données de configuration, des politiques et de l’identité pour évaluer la posture de sécurité de l’environnement d’annuaire actif d’une entreprise.
• Gestion des chemins d’attaque et analyse de l’impact.
• Évaluation du risque et établissement de priorités.
• Surveillance en temps réel des comportements d’exécution pour les indicateurs courants de compromission.
• Apprentissage automatique ou analyses pour détecter les comportements ou événements anormaux.
• Remédiation automatisée et réponse aux incidents.
• Tableaux de bord, alertes, rapports, recherche et gestion des incidents.
• Intégration avec les systèmes de Security Information and Event Management(SIEM) et les outils de Security Orchestration, Automation and Response (SOAR).
• Intégration avec des solutions d’authentification multifactorielle pour fournir une authentification renforcée en réponse à des événements à risque.
• Partage de signaux de risque avec des modules supplémentaires (pour les fournisseurs de suites) et des outils tiers.

L’émergence de l’ITDR met en évidence que les identités méritent le même niveau de gestion et de contrôle que les entreprises ont appliqué à leurs hôtes, réseaux, systèmes et logiciels, voire davantage.

C’est maintenant plus important que jamais, car les identités sont devenues le vecteur d’attaque prédominant pour les cyberattaques.

En tant que prédécesseur de l’ITDR mieux connu dans le paysage de la cybersécurité, la gestion des identités et des accès (IAM) fait référence aux processus et aux technologies utilisés pour contrôler l’accès des utilisateurs aux systèmes d’information et aux applications.

L’objectif de l’IAM est de garantir que les utilisateurs disposent des autorisations et des niveaux d’accès appropriés en fonction de leurs rôles et responsabilités. Cela réduit au minimum le risque d’accès non autorisé à des données sensibles et à des systèmes, réduisant ainsi le risque de violations de données et d’autres cyberattaques.

L’ITDR adopte une approche plus complète pour détecter, répondre et atténuer les menaces liées à l’identité de l’utilisateur et à l’accès.

L’IAM est un composant intégral de l’ITDR, car il établit le cadre de contrôle et de surveillance de l’accès aux informations sensibles. En créant un lien entre les systèmes IAM et ITDR, les stratégies de cybersécurité les plus efficaces combinent les éléments suivants :

• Authentification multifactorielle (MFA) : L’authentification multifactorielle exige des utilisateurs qu’ils fournissent plus d’une forme d’identification pour accéder à un système ou à une application. Par exemple, un utilisateur peut être tenu de fournir un mot de passe ainsi qu’un code PIN à 6 chiffres envoyé sur leur appareil personnel pour accéder à des informations sensibles.
• Contrôle d’accès basé sur les rôles : En tant que composante fondamentale de l’IAM, le contrôle d’accès basé sur les rôles implique d’attribuer des niveaux d’accès aux utilisateurs en fonction de leurs rôles et responsabilités. Par exemple, un employé junior peut avoir un accès limité aux données sensibles, tandis qu’un cadre supérieur peut se voir accorder des autorisations plus étendues pour accéder à davantage de données.
• Gestion des accès privilégiés (PAM) : Similaire au contrôle d’accès basé sur les rôles, les utilisateurs se voient attribuer certains degrés de privilège en fonction de leurs rôles et devoirs en entreprise. Bien que cela soit une sous-catégorie particulière de l’IAM, elle présente des lacunes dans la gestion des menaces internes en cours.
• Surveillance continue : Cette discipline se concentre sur la surveillance en temps réel de l’activité des utilisateurs pour détecter les comportements anormaux. Par exemple, un utilisateur tentant d’accéder à un système à un moment ou dans un lieu inhabituel peut indiquer une menace en matière de sécurité.
• Planification de la réponse aux menaces : Cette mesure proactive consiste à avoir un plan en place pour réagir rapidement et efficacement aux menaces en matière de sécurité. Cela peut contribuer à minimiser l’impact d’une violation de sécurité et à réduire le risque de dommages supplémentaires.

En plus des mesures ci-dessus, les principes de l’IAM peuvent également être exploités pour renforcer l’ITDR en fournissant des pistes de vérification et des journaux d’activité des utilisateurs.

Ces journaux peuvent être utilisés pour détecter des comportements anormaux qui peuvent indiquer une menace en matière de sécurité. Par exemple, si un utilisateur tente d’accéder à une ressource à laquelle il n’est pas autorisé, l’IAM peut enregistrer cette activité et alerter le personnel de l’ITDR.

Avec la multiplication et la sophistication des cyberattaques, l’ITDR devient plus crucial que jamais. Les cybercriminels d’aujourd’hui sont de plus en plus habiles à utiliser des tactiques basées sur l’identité pour compromettre des comptes et obtenir un accès non autorisé à des informations sensibles.

En retour, les entreprises sont confrontées à une multitude de techniques de menace et à des facteurs externes supplémentaires dans le paysage numérique.

• Attaques open-source : Les cyberattaquants utilisent fréquemment des outils d’attaque en open-source pour compromettre des identités, dissimuler leurs activités malveillantes et progresser plus rapidement à travers les étapes de leur attaque avant d’accomplir leur action finale.
• Escroqueries par phishing : À titre d’exemple, les cyberattaquants peuvent utiliser des e-mails de phishing pour contraindre les utilisateurs à divulguer leurs informations de connexion ou à partager un accès protégé.
• Bourrage d’identifiants (credential stuffing) : Il s’agit d’un type de cyberattaque où les attaquants tentent d’obtenir un accès non autorisé à des comptes protégés en utilisant des noms d’utilisateur et des mots de passe volés ou divulgués, généralement issus d’une violation de données.
• Techniques d’ingénierie sociale : Les cybercriminels peuvent également utiliser des techniques d’ingénierie sociale pour se faire passer pour des utilisateurs autorisés et tromper les victimes afin qu’elles partagent des informations.
• Travail à distance : La montée du travail à distance a encore accru le risque d’attaques basées sur l’identité. Avec de plus en plus d’employés travaillant depuis leur domicile et utilisant des appareils personnels pour accéder aux systèmes de l’entreprise, les entreprises peuvent avoir du mal à maintenir la visibilité et le contrôle sur l’accès des utilisateurs.
• Conformité réglementaire : L’ITDR devient également de plus en plus important en raison des exigences réglementaires croissantes en matière de protection des données et de sécurité. De nombreuses industries, telles que la santé et la finance, sont soumises à des réglementations strictes en matière de protection des données, et les entreprises qui ne se conforment pas risquent de lourdes amendes et des dommages à leur réputation.

Pour relever ces défis, les entreprises se tournent vers des solutions ITDR pour protéger leurs systèmes et se préparer aux vulnérabilités spécifiques qui peuvent survenir.

Avec la publication du rapport de Gartner intitulé “Enhance Your Cyberattack Preparedness With Identity Threat Detection and Response”, les professionnels de la sécurité et de la gestion des risques disposent désormais de nouvelles recherches, d’informations et de recommandations pour faire face aux problèmes de sécurité liés à l’identité.

Ces faits et tendances mettent en lumière l’intérêt croissant et la demande en matière d’ITDR.

L’Identité est le principal vecteur des cyberattaques

Catalysés par la COVID-19, les cyberattaquants ont profité du changement basé sur l’identité dans le travail à distance. Selon Gartner, “La dépendance des entreprises à leur infrastructure d’identité pour permettre la collaboration, le travail à distance et l’accès des clients aux services a transformé les systèmes d’identité en cibles principales.”

Les équipes de sécurité ont dû faire face aux réalités opérationnelles d’une main-d’œuvre qui ne pouvait pas se rendre au bureau.

L’Identité est la nouvelle vulnérabilité

Avec l’adoption du cloud computing et la nécessité de prendre en charge le travail à domicile, les solutions axées sur l’identité sont devenues un pilier de la cybersécurité.

Gartner affirme que “Les menaces liées à l’identité sont multiples. Les erreurs de configuration et les vulnérabilités de l’infrastructure d’identité peuvent être exploitées.”

De plus, les données du Centre de Ressources pour la Lutte contre le Vol d’Identité montrent que les attaques liées aux ransomwares ont doublé en 2020, et ont doublé à nouveau en 2021, constituant une menace commune basée sur l’identité.

Les attaquants exploitent les failles entre les systèmes d’identité et de sécurité

Le déploiement de systèmes d’identité, tels que l’IAM, le PAM et la MFA, se présente souvent comme des projets à plusieurs phases, laissant les identités exposées jusqu’à ce que ces déploiements soient pleinement achevés.

Ces déploiements sont également confrontés aux changements constants des identités, qui doivent être redécouverts au fil du temps pour garantir le succès de ces déploiements.

De plus, le processus de découverte et d’audit des comptes est souvent long, manuel et sujet aux erreurs.

L’ITDR est une priorité majeure en cybersécurité

Selon Gartner, “Les menaces modernes liées à l’identité peuvent contourner les contrôles préventifs traditionnels de la gestion des identités et des accès (IAM), tels que l’authentification multifactorielle (MFA). Cela fait de la détection et de la réponse aux menaces d’identité (ITDR) une priorité majeure en cybersécurité pour 2022 et au-delà.”

Avec les cyberattaquants qui se concentrent désormais sur l’exploitation des identités vulnérables, les entreprises doivent désormais faire de la sécurisation des identités une priorité absolue.

Malgré l’utilisation de mesures telles que le PAM, la MFA et d’autres solutions d’IAM pour protéger les identités contre l’exploitation, des vulnérabilités persistent.

Les causes des vulnérabilités d’identité se regroupent en trois (3) catégories : les identités non gérées, mal configurées et exposées.

Identités non gérées

• Comptes de service : les identités machine ne sont pas gérées par le PAM car elles n’ont pas été découvertes lors de la mise en œuvre, et toutes les applications ne sont pas compatibles avec le PAM, comme les applications héritées pour lesquelles le coût de la modernisation est prohibitif.
• Administrateurs locaux : les privilèges d’administrateur local facilitent diverses demandes de support informatique, mais restent souvent non découverts ou oubliés après leur création, les laissant non gérés.
• Comptes privilégiés : de nombreux autres comptes privilégiés restent non gérés par les solutions de PAM ou de MFA car ils ne sont pas découverts lors du déploiement.

Identités mal configurées

• Administrateurs fantômes : la complexité des groupes d’identités imbriqués rend extrêmement difficile la visualisation de l’ensemble des droits de toutes les identités, ce qui entraîne l’octroi de privilèges excessifs non intentionnels aux comptes.
• Chiffrement et mots de passe faibles : les identités configurées pour utiliser un chiffrement faible ou manquant, ou ne pas imposer de politiques de mots de passe solides.
• Comptes de service : les identités machine avec des droits d’accès privilégiés peuvent être mal configurées pour permettre par erreur la connexion interactive par des humains.

Identités exposées

• Informations d’identification mises en cache : les informations de compte et d’identification sont couramment stockées dans la mémoire, le registre et le disque des points d’extrémité, où elles sont facilement exploitées par des outils d’attaquants couramment utilisés.
• Jetons d’accès cloud : les jetons d’accès cloud stockés sur les points d’extrémité sont un moyen courant pour les attaquants d’accéder aux actifs cloud.
• Session RDP ouverte : les sessions d’application à distance peuvent être incorrectement fermées, permettant aux attaquants de tirer parti d’une session ouverte et de ses privilèges, en grande partie sans risque de détection.

Il est important de noter que n’importe quelle identité peut être vulnérable de nombreuses manières et dans ces trois catégories de vulnérabilité.

Ces identités exposent souvent les entreprises au plus haut niveau de risque lié à l’identité.

Par exemple, une seule identité peut être mal configurée pour détenir des droits d’administrateur fantôme non intentionnels, ce qui, par sa nature, rend cette identité non gérée en raison du manque de connaissances en informatique qui déclenche généralement une protection supplémentaire de la gestion des accès destinée aux comptes avec les droits qu’elle détient (PAM, MFA, etc.).

Cette même identité peut également être utilisée de manière à exposer ses informations d’identification.

Les solutions ITDR complètes doivent inclure des capacités préventives qui découvrent et remédient aux failles dans la posture d’identité d’une entreprise, ainsi que des capacités de détection qui alertent de manière précise sur les indicateurs de compromission au fur et à mesure de leur survenue.

Contrôles de prévention de l’ITDR

Les contrôles de prévention de l’ITDR découvrent et remédient aux vulnérabilités d’identité avant que les acteurs de la menace ne tentent de les exploiter.

Tout comme les programmes traditionnels de gestion des vulnérabilités et des risques, les capacités de découverte de l’ITDR permettent aux entreprises d’évaluer les risques de leurs “actifs” d’identité.

Les solutions ITDR les plus efficaces offrent une découverte automatisée, continue et complète de l’identité, y compris la visibilité sur les comptes privilégiés non gérés, mal configurés et exposés.

Cette visibilité permet de prendre des décisions efficaces en matière d’informatique et de sécurité de l’information pour atténuer ces risques dans le cadre de déploiements à plusieurs phases de systèmes de gestion de l’identité disparates, tels que IGA, PAM, MFA, SSO et autres.

En fait, nous savons depuis longtemps que la numérisation continue des problèmes est nécessaire pour gérer efficacement n’importe quel système complexe, et la gestion de l’identité ne fait pas exception.

Contrôles de détection de l’ITDR

Les contrôles de détectionde l’ITDR alertent dès qu’il y a une indication d’un acteur de la menace ou d’un employé tentant de compromettre ou d’utiliser une identité de manière à créer un risque pour l’entreprise.

Les contrôles de détection sont nécessaires pour atténuer les risques qui ne peuvent pas être prévenus, de manière à ce que les membres de l’équipe appropriés soient alertés et puissent rapidement intervenir si nécessaire en cas d’attaque.

La détection précise des menaces liées à l’identité avant la réalisation de l’attaque est difficile à atteindre pour plusieurs raisons :

• Moins de temps pour détecter les attaques : les temps de résidence des attaquants dans de nombreux types d’attaques, tels que les ransomwares, sont passés de mois à quelques jours dans de nombreux cas. En se concentrant sur la compromission des identités pour les intrusions dans les systèmes, les attaquants peuvent avancer beaucoup plus rapidement dans leur attaque.
• Efficacité réduite des contrôles de sécurité existants : à mesure que les attaquants continuent à exploiter les identités en tant que cibles principales, ils ont pratiquement abandonné de nombreuses techniques précédentes, rendant les outils de sécurité pour ces techniques moins efficaces. Les attaquants ont également régulièrement démontré qu’une fois qu’ils ont escaladé leurs privilèges, ils peuvent désactiver les contrôles de sécurité, y compris les agents d’extrémité responsables de les détecter.
• Incapacité à détecter avec précision la malveillance à partir de l’activité acceptable des comptes administratifs privilégiés : l’analyse basée sur les signatures et le comportement des utilisateurs privilégiés s’est révélée inefficace pour détecter avec précision les mises à jour de privilèges malveillantes et les déplacements latéraux. Le manque de comportements acceptables suffisants des comptes d’administrateurs privilégiés (ce que les data scientists appellent une entropie de données élevée) a conduit à des difficultés pour établir des lignes directrices efficaces nécessaires pour minimiser les faux positifs.

En conséquence, une détection plus précise des comptes administratifs privilégiés compromis est nécessaire. La déception et son approche déterministe de la mise en place de contenus trompeurs pour attirer les attaquants offrent une alternative viable et éprouvée à l’analyse comportementale pour détecter avec précision l’élévationdes privilèges et les mouvements latéraux.

Lorsqu’elle est correctement mise en œuvre, cette approche implante des leurres auxquels seul un attaquant interagirait, en fonction de la compréhension des techniques et des outils de l’attaquant, ne laissant aucune trace pour que l’attaquant croie qu’il est piégé.

Pour répondre aux demandes croissantes d’une détection et d’une réponse efficaces aux menaces liées à l’identité, Proofpoint propose des solutions complètes d’ITDR pour les entreprises et les équipes.

Tirez parti des contrôles préventifs pour découvrir et remédier en continu aux vulnérabilités d’identité avant leur exploitation. Utilisez les contrôles de détection qui emploient des techniques de déception pour détecter avec précision l’élévation de privilèges, la prise de contrôle de compte et les activités de déplacement latéral par les acteurs de la menace au fur et à mesure de leur survenue.

Apprenez-en davantage sur la manière dont Proofpoint peut vous aider à améliorer votre ITDR.