La fréquence des attaques par ransomware a doublé au cours des deux dernières années, représentant 10 % de toutes les violations. Selon le rapport 2022 de Verizon sur les enquêtes relatives aux violations de données, le " facteur humain " est le principal moyen d'accès initial dans 82 % des violations, l'ingénierie sociale et le vol d'identifiants constituant les principales techniques, tactiques et procédures (TTP) utilisées par les acteurs malveillants. Les attaquants tentent systématiquement d'accéder à des identifiants valides et de les utiliser pour se déplacer dans les réseaux d'entreprise sans être détectés. Ces défis poussent les RSSI à placer la sécurité des identités en tête de leurs priorités.
Les solutions d'identité traditionnelles laissent encore place aux attaques
Les solutions traditionnelles de sécurité des identités qui figurent en tête de liste comprennent la gestion des identités et des accès (IAM), la gestion des accès privilégiés (PAM) et la gouvernance et l'administration des identités (IGA). Ces outils garantissent que les bons utilisateurs disposent d'un accès approprié et utilisent une vérification continue, principes directeurs du modèle de sécurité zéro confiance.
Cependant, la gestion des identités et des accès, qui se concentre uniquement sur l'approvisionnement, la connexion et le contrôle des accès aux identités, n'est que le point de départ de la sécurité des identités. La couverture doit s'étendre au-delà de l'authentification initiale et du contrôle d'accès à d'autres aspects de l'identité tels que les informations d'identification, les privilèges, les droits et les systèmes qui les gèrent, de la visibilité à l'exposition aux attaques.
Du point de vue des vecteurs d'attaque, Active Directory (AD) est un atout évident. C'est là que l'identité et ses éléments clés existent naturellement, ce qui explique pourquoi il est dans le collimateur des attaquants et une préoccupation majeure en matière de sécurité. En outre, alors que la migration vers le cloud se poursuit à un rythme rapide, de nouveaux défis en matière de sécurité apparaissent à mesure que les équipes informatiques s'empressent de provisionner leurs environnements.
Lorsque les vulnérabilités d'AD s'ajoutent à la tendance du cloud à être mal configuré, la nécessité d'une couche de protection supplémentaire au-delà du provisionnement et de la gestion des accès devient beaucoup plus évidente.
La sécurité des identités avec une nouvelle approche
Les solutions modernes et innovantes de sécurité des identités offrent une visibilité essentielle sur les informations d'identification stockées sur les terminaux, les erreurs de configuration d'Active Directory (AD) et la prolifération des droits d'accès au cloud. La gestion des surfaces d'attaque d'identité (ID ASM) et la détection et la réponse aux menaces d'identité (ITDR) sont de nouvelles catégories de sécurité conçues pour protéger les identités et les systèmes qui les gèrent.
Ces solutions complètent et fonctionnent en conjonction avec la détection et la réponse aux incidents sur les terminaux (EDR), la détection et la réponse étendues (XDR), la détection et la réponse sur le réseau (NDR) et d'autres solutions similaires.
L'ID ASM vise à réduire la surface d'attaque des identités afin de limiter les expositions que les attaquants peuvent exploiter. Moins il y a d'expositions, plus la surface d'attaque des identités est réduite. Pour la plupart des entreprises, cela signifie Active Directory, que ce soit sur site ou dans Azure.
Alors que l'EDR est une solution robuste qui recherche les attaques sur les terminaux et collecte des données à des fins d'analyse, les solutions ITDR recherchent les attaques ciblant les identités. Une fois qu'une solution ITDR détecte une attaque, elle ajoute une couche de défense en fournissant de fausses données qui redirigent l'attaquant vers un leurre d'apparence authentique et isolent automatiquement le système compromis qui effectue la requête.
Les solutions ITDR fournissent également une assistance en matière de réponse aux incidents en collectant des données médico-légales et en recueillant des données télémétriques sur les processus utilisés pendant l'attaque. La nature complémentaire de l'EDR et de l'ITDR s'accorde parfaitement pour atteindre un objectif commun : contrecarrer les efforts des attaquants.
Les solutions ID ASM et ITDR permettent de détecter l'utilisation abusive des identifiants, l'escalade des privilèges et d'autres tactiques que les attaquants exploitent ou mettent en œuvre au sein du réseau. Elles comblent les lacunes critiques entre la gestion des identités et des accès et les solutions de sécurité des terminaux, empêchant ainsi les cybercriminels d'exploiter les identifiants vulnérables pour se déplacer dans les réseaux sans être détectés.
Solutions de sécurité contre les menaces d'identité
SentinelOne a mis à profit sa grande expérience dans le domaine de la détection des élévations de privilèges et des mouvements latéraux pour proposer une solution de pointe dans les domaines de la détection et de la réponse aux menaces d'identité et de l'ID ASM. L'entreprise a consolidé sa position de leader grâce à son large portefeuille de solutions ITDR et ID ASM.
Produits de sécurité des identités :
- Singularity Identity Posture Management pour l'évaluation continue des expositions et des activités Active Directory qui pourraient indiquer une attaque
- Singularity Identity Threat Detection and Response (ITDR) pour la détection des activités non autorisées et des attaques sur Active Directory, la protection contre le vol d'identifiants et leur utilisation abusive, prévention de l'exploitation d'Active Directory, visibilité des chemins d'attaque, réduction de la surface d'attaque et détection des mouvements latéraux
Singularity™ Identity
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a DemoIl est temps d'adopter une nouvelle approche en matière de sécurité des identités
Face à la recrudescence des attaques basées sur l'identité, les entreprises d'aujourd'hui doivent être en mesure de détecter lorsque des pirates exploitent, détournent ou volent les identités de l'entreprise. Ce besoin est d'autant plus vrai que les organisations se précipitent pour adopter le cloud public et que les identités humaines et non humaines continuent d'augmenter de manière exponentielle.
Compte tenu de la propension des attaquants à détourner les identifiants, à exploiter Active Directory (AD) et à cibler les identités via les droits d'accès au cloud, il est essentiel de détecter les activités basées sur l'identité à l'aide de solutions ID ASM et ITDR modernes.
En savoir plus sur Singularity Identity Posture Management et Singularity Identity de SentinelOne.
"FAQ sur les attaques basées sur l'identité
Les attaques basées sur l'identité sont des incidents de sécurité informatique dans lesquels un pirate tente d'accéder illégalement à des systèmes en ciblant les identifiants des utilisateurs, tels que les noms d'utilisateur, les mots de passe ou les jetons d'authentification. Les attaquants cherchent à voler, manipuler ou utiliser à mauvais escient des données liées à l'identité plutôt que de s'attaquer à des vulnérabilités techniques.
Il s'agit d'attaques qui exploitent les vulnérabilités de la gestion des identités et des accès pour usurper l'identité d'utilisateurs légitimes ou se déplacer de manière persistante dans les réseaux. Une fois qu'ils ont obtenu des identifiants légitimes, les attaquants contournent facilement les mesures de sécurité traditionnelles, car ils apparaissent comme des utilisateurs légitimes, ce qui les rend pratiquement indétectables.
Parmi les exemples courants, on peut citer les e-mails de phishing qui incitent les utilisateurs à révéler leurs identifiants de connexion, les attaques par credential stuffing qui utilisent des mots de passe volés sur plusieurs sites, et les attaques par password spraying qui testent des mots de passe courants sur de nombreux comptes. Les techniques d'ingénierie sociale manipulent les employés pour qu'ils divulguent des informations confidentielles, tandis que les attaques de type " man-in-the-middle " interceptent les communications pour voler des données.
Les attaques par force brute utilisent des outils automatisés pour deviner les mots de passe, et les attaques de type " golden ticket " exploitent les faiblesses d'Active Directory pour accéder au domaine.
Les approches basées sur l'identité se concentrent sur " qui vous voulez devenir ", tandis que les approches basées sur les résultats ciblent " ce que vous voulez accomplir ". Dans le contexte de la sécurité, les attaques basées sur l'identité ciblent l'identité numérique et les identifiants d'une personne afin d'obtenir un accès non autorisé, tandis que les attaques basées sur les résultats se concentrent sur l'obtention de résultats spécifiques, tels que le vol de données ou la perturbation du système.
Les méthodes basées sur l'identité entraînent des changements de comportement durables, car elles s'alignent sur l'identité personnelle, tandis que les méthodes basées sur les résultats peuvent perdre de leur efficacité une fois l'objectif atteint. Les organisations ont besoin des deux approches : des contrôles de sécurité axés sur l'identité et des procédures de réponse aux incidents axées sur les résultats.
Vous pouvez prévenir ces attaques en mettant en œuvre une authentification multifactorielle, qui nécessite une vérification supplémentaire au-delà des mots de passe. Des politiques de mots de passe forts utilisant des phrases de passe plutôt que des mots de passe complexes rendent les systèmes plus difficiles à pirater. La formation des employés aide le personnel à identifier les tentatives de phishing et les tactiques d'ingénierie sociale avant d'en être victime.
Des audits de sécurité réguliers permettent d'identifier les vulnérabilités, tandis que les solutions d'authentification unique réduisent le nombre d'identifiants que les pirates peuvent cibler. Surveillez le comportement des utilisateurs afin de détecter toute activité inhabituelle et mettez en place des modèles de sécurité " zero trust " qui vérifient chaque demande d'accès.
Les principaux types d'attaques d'identité comprennent le credential stuffing, qui consiste à utiliser des identifiants volés sur plusieurs sites, le password spraying, qui consiste à tester des mots de passe courants sur de nombreux comptes, et les e-mails de phishing conçus pour voler des identifiants. L'ingénierie sociale manipule les victimes pour qu'elles révèlent des informations, tandis que les attaques par force brute devinent les mots de passe à l'aide d'outils d'automatisation.
Les attaques de type " man-in-the-middle " interceptent les communications, le kerberoasting cible les mots de passe des comptes de service et les attaques de type " golden ticket " exploitent les faiblesses d'Active Directory. Le détournement de session prend le contrôle des sessions utilisateur actives et les compromissions de comptes privilégiés ciblent les identifiants administratifs à haut niveau d'accès.
La MFA ajoute une couche de sécurité supplémentaire qui empêche toute intrusion non autorisée, même si les mots de passe sont compromis. Elle exige des utilisateurs qu'ils fournissent plusieurs méthodes d'authentification, telles que des mots de passe, des codes mobiles ou des données biométriques, avant de leur accorder l'accès. Même si les pirates obtiennent votre mot de passe par hameçonnage ou violation de données, ils ont également besoin d'une deuxième méthode pour accéder au compte.
La MFA réduit considérablement le risque de violation, car les pirates doivent contourner plusieurs identifiants indépendants au lieu d'un seul mot de passe. Les organisations qui ont mis en place la MFA sont nettement moins vulnérables aux attaques basées sur l'identité, car cette technologie ajoute des barrières supplémentaires que de nombreux pirates sont incapables de franchir facilement.
