Explication de la détection et de la réponse aux menaces liées à l'identité (ITDR)

Les menaces liées à l'identité des utilisateurs sont de plus en plus nombreuses, ce qui oblige les organisations à augmenter leurs budgets de cybersécurité pour se concentrer sur les solutions de détection et de réponse aux menaces liées à l'identité (ITDR). Les menaces liées à l'identité étant un sujet d'actualité, l'équipe de Semperis a souhaité s'exprimer sur la manière dont votre équipe de sécurité peut prévenir les attaques par l'identité.

Si vous recherchez des solutions de sécurité des identités pour protéger votre Active Directory (le système d'identité le plus courant), ce guide est fait pour vous. Nous verrons ce qu'est l'ITDR et comment trouver la meilleure solution d'ITDR pour protéger votre organisation des cybermenaces.

Lecture associée

• Sécurité d'Active Directory : Principaux risques et meilleures pratiques

Qu'est-ce que l'ITDR ?

Gartner a créé la catégorie Identity Threat Detection and Response (ITDR) pour décrire les solutions qui protègent les systèmes d'identité tels que Active Directory (AD) et Entra ID (anciennement Azure AD), qui fournissent l'authentification et l'accès aux applications et aux services.

En réponse au nombre croissant d'acteurs menaçant l'identité numérique, l'ITDR a été inclus dans le Hype Cycle de Gartner pour la sécurité des points finaux en tant que technologie émergente qui protège l'infrastructure de l'identité contre les menaces potentielles. Le Gartner a également noté que les acteurs de la menace identitaire utilisent désormais principalement l'utilisation abusive des informations d'identification pour obtenir un accès privilégié aux systèmes d'information d'une organisation et manipuler leurs systèmes de gestion de l'identité et de l'accès (IAM).

Qu'est-ce qu'une solution ITDR ?

Les solutions ITDR améliorent vos opérations de sécurité en se concentrant sur l'infrastructure d'identité elle-même, plutôt que sur les utilisateurs gérés par cette infrastructure. Selon Gartner, les solutions ITDR devraient à la fois protéger et défendre avec des capacités spécifiques de protection des identités, notamment l'évaluation de la posture de sécurité de l'environnement AD, la gestion des chemins d'attaque, la notation et la hiérarchisation des risques, la surveillance en temps réel des indicateurs de compromission (IOC), l'apprentissage automatique (ML) ou l'analyse pour détecter les comportements ou les événements anormaux, et la remédiation et la réponse automatisées aux incidents.

Étant donné que de nombreuses attaques liées à l'identité parviennent à compromettre AD, une solution testée de reprise après sinistre en cas de ransomware spécifique à AD devrait être incluse dans la planification de la réponse aux incidents.

Quelle est la différence entre EDR et ITDR ?

Les solutions de détection et de réponse aux menaces (EDR) collectent, analysent et répondent aux informations liées aux menaces sur les terminaux, c'est-à-dire les appareils physiques (ordinateurs de bureau, machines virtuelles, appareils mobiles) qui se connectent à un réseau informatique et échangent des informations avec lui. Les solutions XDR (Extended Endpoint Detection and Response) intègrent la protection des terminaux, des serveurs, des applications cloud, de la messagerie électronique et d'autres technologies. Les solutions XDR combinent la prévention, la détection, l'investigation et la réponse dans une vision holistique pour lutter contre les cyberattaques.

Alors que les solutions EDR et XDR se concentrent sur la couche externe du système d'information d'une organisation, les solutions ITDR se concentrent sur le système d'identité lui-même, qui authentifie les utilisateurs et accorde des autorisations aux services et aux applications.

Parce que les cybercriminels inventent sans cesse de nouvelles méthodes d'attaque, une stratégie de cybersécurité qui protège à la fois les points finaux et votre base d'identité centrale tout en évitant les points de défaillance uniques constitue la meilleure défense contre les menaces actuelles.

Pourquoi l'ITDR est-elle importante ?

Les solutions ITDR protègent l'infrastructure d'identité, qui est un des principaux vecteurs d'attaque dans la plupart des cyberattaques aujourd'hui. Et comme Active Directory (AD) est le magasin d'identité principal de 90 % des organisations dans le monde, c'est la cible privilégiée des cybercriminels. En raison de sa difficile sécurisation et de ses configurations souvent erronées, AD est régulièrement compromis dans des cyberincidents, notamment lors des attaques contre SolarWinds et Colonial Pipeline. En fait, Mandiant a rapporté qu'AD est impliqué dans 9 attaques sur 10 sur lesquelles ils enquêtent.

Quelle est la meilleure solution ITDR ?

Les entreprises à la recherche d'une solution ITDR performante sont confrontées à un nombre croissant de décisions. D'après les résultats de notre enquête et nos conversations avec nos clients, nous savons que les organisations sont préoccupées par les défis que représente la protection des environnements d'identité hybrides tout au long du cycle de vie de l'attaque : avant, pendant et après un incident de cybersécurité.

Nous avons interrogé les responsables de l'informatique et de la sécurité de plus de 50 entreprises et organisations pour savoir comment ils évaluent les solutions ITDR expertes. Les capacités les plus importantes pour les solutions ITDR sont les suivantes :

1. Évaluation de la posture de sécurité et surveillance en temps réel. AD est vulnérable en raison des erreurs de configuration qui s'accumulent au fil du temps et des menaces qui émergent constamment des groupes de ransomware-as-a-service (RaaS) tels que LockBit et Vice. L'analyse de l'environnement AD hybride à la recherche d'indicateurs d'exposition (IOE) et de compromission (IOC) et la correction des failles de sécurité constituent la première étape d'une stratégie de défense des systèmes d'identité à plusieurs niveaux. La surveillance en temps réel aide les entreprises à éviter les dérives de configuration en signalant les indicateurs de sécurité dès qu'ils apparaissent.
2. Sauvegarde et restauration rapides et sans logiciels malveillants de la forêt AD. Bien que l'idéal soit de prévenir les attaques, la capacité à se remettre d'un cyberincident lié à AD est un élément clé de la gestion des risques. Selon une étude d'Enterprise Management Associates (EMA), 50 % des entreprises ont subi une attaque contre AD au cours des deux dernières années. Plus de 40 % de ces attaques ont été couronnées de succès. En l'absence d'un plan éprouvé de récupération rapide d'AD (qui évite également la réintroduction de logiciels malveillants) les organisations risquent de payer une rançon ou de subir des semaines d'interruption d'activité pendant qu'elles récupèrent le système d'identité.
3. Remédiation automatique aux menaces détectées. Les logiciels malveillants s'infiltrent souvent dans les systèmes plus rapidement que les humains ne peuvent intervenir. La remédiation automatisée des changements malveillants est essentielle pour stopper les attaques et atténuer les dommages. Une solution complète de détection et de réponse aux menaces AD devrait utiliser plusieurs sources de données pour détecter les attaques avancées telles que DCShadow qui échappent aux outils traditionnels basés sur les journaux et les événements, y compris les solutions de gestion des informations et des événements de sécurité (SIEM).

Solutions ITDR pour protéger AD avant, pendant et après une attaque

Pour plus d'informations sur la manière d'évaluer les solutions ITDR afin de protéger votre système d'identité AD et Azure AD, consultez le rapport d'enquête « Evaluating Identity Threat Detection & Response Solutions », qui répond aux questions suivantes :

• Combien d'organisations doivent protéger un environnement AD hybride ?
• Quelles sont les principales préoccupations des entreprises en ce qui concerne les menaces liées à l'identité ?
• Quel est le degré de confiance des entreprises dans leur capacité à prévenir les cyberattaques impliquant AD ou Azure AD, ou à s'en remettre ?
• Quelles seraient les conséquences pour les entreprises d'une cyberattaque qui mettrait hors service AD ?
• Quelles sont les fonctionnalités ITDR les plus importantes pour les responsables de l'informatique et de la sécurité d'aujourd'hui ?

Principaux enseignements : Les organisations recherchent des solutions qui traitent les menaces sur l'ensemble du cycle de vie des attaques AD (avant, pendant et après une attaque). Les principales capacités ITDR recherchées par les dirigeants comprennent des capacités de prévention, de détection, de remédiation et de récupération d'une attaque sur les systèmes d'identité hybrides.

Téléchargez le rapport d'enquête ITDR

Vous voulez savoir comment d'autres organisations répondent à ces questions ? Téléchargez notre Évaluation des solutions de détection et de réponse aux menaces des systèmes d'identité (ITDR) pour en savoir plus sur la catégorie émergente de l'ITDR et sur la façon dont vous pouvez commencer à réfléchir à la manière dont les solutions ITDR expertes peuvent vous aider à protéger votre infrastructure d'identité.

En savoir plus sur l'ITDR

• Découvrez les capacités importantes de l'ITDR avec le vice-président des produits de Semperis
• Récupération d'AD : Un élément essentiel de l'ITDR
• ITDR avant, pendant et après une cyberattaque