Pas prêt pour ITDR? Vous pouvez toujours aller adaptatif

Il y a quelques semaines, Harley Adams Et moi révisé L’état de la détection et de la réponse de Dark Reading Menace Menace (ITDR) rapport, Marcher dans plusieurs des statistiques les plus intéressantes. OpenText a commandé Dark Reading aux dirigeants de sondage et aux professionnels de la sécurité pratique, et ce rapport est le résultat de cette enquête. Il comprend les réponses de personnes de 117 organisations aux États-Unis.

À un niveau élevé, les deux composants ITDR les plus significatifs sont XDR (détection et réponse étendue) et IAM (gestion de l’identité et de l’accès). La combinaison de ces deux catégories de technologies rend possible un niveau plus élevé de précision de reconnaissance des menaces et d’adaptabilité de réponse. Contrairement à des cadres de sécurité plus larges qui scargent des anomalies généralisées, ITDR zéros dans les comportements et les signaux qui indiquent des compromis d’identité – des modèles de connexion inhabituels, des demandes d’accès à des appareils ou des géographies inconnus, et des escalades de privilèges soudains.

Souvent négligés dans la surveillance conventionnelle, ces indicateurs peuvent être des signes précoces d’un attaquant tentant d’exploiter les informations d’identification volées ou de manipuler un accès légitime. L’utilisation efficace de cette approche est encore amplifiée lorsqu’elle est corrélée avec les événements liés à l’identité qui construisent un profil de menace holistique, permettant des réponses plus rapides et plus éclairées. Cette intégration aide les équipes de sécurité à isoler les comptes compromis avant de causer des dommages et fournit des informations exploitables pour affiner les politiques d’accès et durcir les systèmes d’identité au fil du temps.

La route iam vers ITDR

Bien que l’ITDR offre un nouveau niveau de protection contre les attaques basées sur l’identité, cela ne signifie pas que je ne suis pas sans sa protection avancée. En fait, même en soi, IAM a une heuristique efficace que les équipes peuvent tirer parti pour aider à identifier le besoin d’une réponse de sécurité. Bien que personne ne prétend que la gestion de l’accès adaptatif est le jeu de fin des organisations ayant des besoins de sécurité (mandats, contrôles de risques stricts ou exigences de cyber-assurance), il peut y avoir une voie qui y mène. Quelle que soit l’heuristique utilisée pour indiquer le risque, il existe certaines approches que vous pouvez adopter pour mûrir la capacité de l’IAM à reconnaître et répondre aux menaces qui préparent réellement votre organisation à passer à la configuration ITDR.

Reconnaissance et réponse continue

Le moment le plus courant où les niveaux de risque de demande d’accès sont mesurés est lorsque la session d’un utilisateur / programme est établie pour la première fois et que la réclamation d’identité est faite. Ensuite, l’infrastructure de gestion d’accès détermine et applique des conditions d’accès. Les critères les plus courants pour intensifier l’authentification au point d’authentification ne sont qu’un couple:

• Êtes-vous à l’intérieur ou à l’extérieur du pare-feu?
• L’appareil est-il connu (ID de périphérique ou cookie du navigateur)?

Historiquement, ceux-ci ont été les critères les plus courants pour déterminer si l’authentification doit être «intensifiée». Bien que cette approche ait été la norme au cours de la dernière décennie, elle est en deçà de ce qui est nécessaire pour un niveau de sécurité ITDR. Le changement d’esprit est que l’accès basé sur le risque est plus qu’un contrôle initial pour invoquer l’authentification multifactorielle. Au lieu de cela, il s’agit d’un processus de contrôle d’accès continu.

Bien que les passerelles d’accès ne soient pas des pare-feu et ne peuvent donc pas abandonner une session à aucun moment, ils ont la possibilité d’interrompre une session au moment où un utilisateur fait une nouvelle demande d’accès. Sur la base du risque mesuré de bosse ou de montée, les scénarios d’action potentiels pourraient être:

• Confirmez l’identité des demandeurs via un certain type de demande d’authentification
• Restreindre les types d’informations et de services auxquels l’utilisateur peut accéder
• Terminer la session et bloquer l’accès supplémentaire

Il convient de noter que si la technologie IAM ne peut pas abandonner la session à tout moment, la technologie XDR peut déclencher une action de réponse automatisée à un pare-feu pour faire exactement cela. Le point clé est que la sécurité des sessions est plus que la simple mesure du contexte utilisateur / API au point d’authentification; c’est le faire continuellement. La limitation de l’accès à la gestion est qu’elle ne peut recueillir que des informations heuristiques d’instantané à chaque point de demande. L’ITDR offre un ensemble précieux de mesures de surveillance d’accès continu, mais sur la façon d’atteindre ce niveau de sécurité, il s’agit d’une étape remarquable pour préparer IAM à reconnaître les menaces et à réagir en permanence.

Obtenez le rapport ITDR

Accès adaptatif à la sécurité

Pour qu’une infrastructure de sécurité adaptative soit efficace, la sécurité doit aller au-delà des politiques de risque normatives et s’appuyer davantage sur le contexte et l’analyse du comportement des utilisateurs plus profonds. Les groupes de sécurité peuvent constater que l’utilisation d’une approche hybride dans laquelle ils appliquent par défaut les politiques d’accès normatives. Cette approche signifie également que celles-ci ont moins de poids individuellement car les informations comportementales sont accumulées à des niveaux de confiance élevés pour un utilisateur spécifique. Pour s’adapter à divers scénarios, les organisations peuvent avoir besoin d’un mélange de méthodes d’authentification fortes et passives pour appliquer le meilleur ajustement en fonction de la situation et du risque, c’est-à-dire à quel point les informations sont sensibles et le contexte de l’accès.

Accès adaptatif à la convivialité

L’un des principaux défis de l’élargissement du contrôle d’accès au-delà de l’heuristique la plus simple est la capacité de maximiser la convivialité tout en limitant une vérification de sécurité plus élevée pour des situations à risque plus élevé. Ou, en d’autres termes, les politiques d’accès à la concentration sur la convivialité et la productivité tout en réservant des intrusions perturbatrices comme des étapes d’authentification supplémentaires ou en rétablissant les niveaux d’autorisation aux moments où les niveaux de risque (ou dans le monde du gestionnaire d’accès, les scores des risques) atteignent un point de déclenchement défini. Ainsi, alors qu’un niveau supérieur d’intelligence contextuelle est l’élément vital de la gestion de l’accès adaptatif, un faible accès aux frictions est ce qui la rend précieuse pour l’entreprise.

Bien que l’IAM l’heuristique ne soit pas dans la même ligue qu’une implémentation ITDR, il offre des mesures de base qui sont simples à mettre en œuvre, mais trop d’équipes informatiques et de sécurité n’ont pas configurées. La réalité est qu’ils peuvent grandement contribuer à la protection contre les attaques extérieures. Vous trouverez ci-dessous la plupart des mesures disponibles tirées de la documentation du gestionnaire d’accès. Veuillez vérifier le documentation directement pour des informations et des scénarios supplémentaires. Il y a quelques paramètres supplémentaires non inclus car ils sont plus complexes à utiliser:

Adresse IP – Utilisez cette règle pour définir une condition pour suivre les tentatives de connexion à partir d’une adresse IP, d’une gamme d’adresses IP, d’une plage de sous-réseau IP ou d’une liste d’adresses IP d’un fournisseur externe. Par exemple, si vous savez que les tentatives de connexion à partir d’une gamme spécifique d’adresses IP sont plus risquées, vous pouvez définir une règle pour surveiller ces tentatives de connexion. Lorsqu’une demande provient de la plage d’adresses IP spécifiée, vous pouvez provoquer une authentification supplémentaire.

Cookie – Utilisez cette règle si vous souhaitez suivre les tentatives de connexion à partir d’une application basée sur un navigateur qui a une valeur ou un nom de cookie spécifique. Par exemple: vous avez une application financière et un utilisateur accès à cette application a des cookies stockés sur le navigateur. L’utilisateur obtient un accès sans authentification supplémentaire si le cookie a une valeur ou un nom spécifique. Si l’utilisateur accès à l’application n’a pas de cookies stockés, vous pouvez demander une authentification supplémentaire pour valider l’utilisateur.

En-tête HTTP – Utilisez cette règle pour suivre l’en-tête HTTP des demandes en fonction du nom ou de la valeur contenue dans l’en-tête HTTP. Par exemple, si vous souhaitez suivre les demandes HTTP contenant des informations d’en-tête HTTP personnalisées, vous pouvez définir l’action à effectuer lors de l’évaluation de cette règle.

Dernière connexion de l’utilisateur—Ce règle crée un cookie dans le navigateur après une authentification à pas réussie. La connexion ultérieure vérifie ce cookie. Utilisez cette règle pour définir la durée de validité du cookie. Après l’heure spécifiée, l’utilisateur est invité à une authentification supplémentaire. Par exemple, vous pouvez utiliser cette règle pour évaluer si un utilisateur se connecte à l’utilisation d’un appareil qui a été utilisé plus tôt pour la connexion. Vous pouvez définir le niveau de risque et demander une authentification supplémentaire si nécessaire.

Profil utilisateur– Utilisez cette règle pour définir une condition en fonction de l’attribut LDAP de l’utilisateur. Par exemple, vous pouvez définir une règle pour refuser l’accès si l’ID de l’employé de l’utilisateur correspond à une chaîne spécifique. Vous pouvez utiliser cette fonctionnalité pour identifier les utilisateurs de puissance qui présentent un risque plus élevé pour l’organisation si leurs informations d’identification sont compromises.

Temps de connexion de l’utilisateur—Utilisez cette règle pour définir une condition basée sur les tentatives de l’utilisateur de se connecter à un moment précis. Par exemple, si le modèle de connexion habituel d’un employé se situe entre 9 h et 17 h, vous pouvez définir une règle qui prend des mesures si le modèle de connexion diffère du modèle observé.

Empreinte digitale de l’appareil– Parce que l’ID ne peut pas être transféré ou copié, il est plus fiable que d’utiliser un cookie de navigateur comme indicateur qu’un appareil a déjà été utilisé par un utilisateur vérifié. Selon la façon dont vous configurez Access Manager, vous pouvez également utiliser cette métrique pour contrôler l’accès en fonction de la question de savoir si l’appareil est ou non un appareil géré par travail.

Géolocalisation—Utilisez cette règle pour suivre les tentatives de connexion en fonction de l’emplacement géographique d’un utilisateur. Vous pouvez suivre les détails allant d’une large zone, comme un pays, à une zone plus petite, comme une région.

Tracker de géo-vitesse – Utilisez cette règle pour vérifier l’heure et l’emplacement actuels d’un utilisateur par rapport à l’heure et à l’emplacement de la dernière connexion. Access Manager ne prend en charge que le pays comme l’emplacement de cette règle. Les détails de connexion précédents sont choisis dans la base de données historique. Par exemple, un utilisateur s’est connecté à 14 heures IST à Bangalore et essaie de redémarrer à 17 h 00 de Hong Kong. Atteindre Hong Kong en trois heures de Bangalore n’est pas possible. Pour atténuer ces tentatives de connexion malveillantes, vous pouvez configurer une stratégie en utilisant cette règle pour demander une authentification supplémentaire ou refuser complètement l’accès, selon la plus logique pour la ressource.

Géofencing– Si vous avez une authentification avancée OpenText et que vous utilisez le client mobile, vous pouvez également utiliser le géofencing pour contrôler l’expérience d’authentification et d’accès.

Bien que l’heuristique ci-dessus puisse être efficace dans la sécurité d’accès adaptatif en fonction du contexte de la demande, il existe un risque d’aller trop loin en définissant trop de règles en fonction de divers critères pour différents types de services. À un moment donné, vous pouvez avoir tellement de règles d’accès définies que vous n’êtes pas en mesure de calculer ses résultats efficaces lorsqu’un utilisateur accède aux ressources protégées. C’est l’avantage des analyses passives basées sur le comportement disponible dans les environnements ITDR. Il vous permet de maintenir vos règles prescrites au minimum, car vous dépendez des passives pour vous protéger de vos angles morts de sécurité.

Le gain de l’adaptation aujourd’hui

Même lorsque les organisations peuvent effectuer leur transaction à ITDR, il reste encore beaucoup de valeur à renforcer les capacités IAM adaptatives disponibles dans les solutions modernes. Quel que soit le niveau de réponses passivement motivées qu’elle peut intégrer à son infrastructure, les règles IAM normatives sont toujours parmi les meilleures façons d’appliquer les politiques commerciales et organisationnelles axées sur la gestion des risques. Ils vous permettent également de réduire les frottements d’accès et sont conçus pour optimiser la productivité et la satisfaction des utilisateurs.