Identity threat detection and response
L'Identity threat detection and response (ITDR) est une discipline de cybersécurité qui comprend des outils et des bonnes pratiques pour protéger l'infrastructure de gestion des identités contre les attaques. L'ITDR peut détecter et bloquer les menaces, vérifier les informations d'identification des administrateurs, répondre à diverses attaques et restaurer les opérations normales[1]. Les menaces d'identité courantes incluent l'hameçonnage, les informations d'identification volées, les menaces internes et les rançongiciels[2].
L'ITDR ajoute une couche de sécurité additionnelle aux systèmes de gestion des identités et des accès (IAM). Il permet de sécuriser les comptes, les autorisations et l'infrastructure d'identité elle-même contre les compromission. Alors que les attaquants ciblent directement les outils d’identité, l’ITDR devient plus important en 2023 : selon Gartner, les pratiques d'hygiène IAM établies telles que la gestion des accès privilégiés et la gouvernance des identités ne suffisent plus[1].
L'ITDR peut faire partie d'un modèle de sécurité Zero Trust[3] .
Fonctionnalités
[modifier | modifier le code]L'ITDR améliore la gestion des identités et des accès (IAM) en ajoutant des capacités de détection et de réponse. Il offre une visibilité sur l’utilisation abusive potentielle des informations d’identification et des privilèges. L'ITDR détecte également les lacunes laissées par les systèmes d'IAM et de PAM[4]. L'ITDR nécessite de surveiller les systèmes d'identité pour détecter toute utilisation abusive ou toute compromission. Il utilise des détections à latence plus faible que les systèmes de sécurité généraux. L'ITDR implique une coordination entre les équipes IAM et les équipés de sécurité[1].
L'ITDR utilise le framework MITRE ATT&CK contre les vecteurs d'attaque connus. Il combine des contrôles IAM fondamentaux comme l'authentification multifacteur avec la surveillance. L'ITDR empêche la compromission des comptes d'administrateur et des informations d'identification. Il modernise l'infrastructure grâce à des normes telles qu'OAuth 2.0.
Les organisations adoptent l'ITDR pour compléter leurs outils d'IAM et d'EDR. L'ITDR surveille spécifiquement les systèmes d’identité et les journaux d’activité des utilisateurs pour détecter les attaques. Il peut isoler les systèmes affectés et collecter des données de forensic. Les organisations peuvent commencer par adopter les principes fondamentaux de l'IAM, tels que l'authentification multifacteur et le contrôle d'accès basé sur les rôles[4].
Les outils d'ITDR peuvent détecter des erreurs de configuration dans l'Active Directory. Les stratégies peuvent mettre à jour les pare-feu, les systèmes d'intrusion et les applications de sécurité. L'ITDR s'intègre aux outils SIEM pour la surveillance des menaces et la réponse automatisée. Un plan de réponse aux incidents d'ITDR gère les informations d’identification compromises et l’élévation des privilèges. Les formations de sensibilisation apprennent aux utilisateurs à repérer les attaques basées sur l'identité[4].
Histoire
[modifier | modifier le code]L'ITDR est devenu un segment distinct de la cybersécurité en 2022. Le terme est inventé par la société Gartner[4].
Fournisseurs d'ITDR
[modifier | modifier le code]Selon Gartner, les fournisseurs d'ITDR incluent Authomize, CrowdStrike, Gurucul, Microsoft, Netwrix, Oort, Proofpoint, Semperis, SentinelOne et Silverfort[1].
Différence entre ITDR et EDR
[modifier | modifier le code]Alors que l'EDR détecte les problèmes sur les terminaux, l'ITDR se concentre sur la surveillance et l'analyse de l'activité des utilisateurs et des journaux de gestion des accès afin de découvrir les activités malveillantes[5]. Il rassemble des données provenant de plusieurs sources de gestion des identités et des accès (IAM) dans des environnements sur site et en nuage. Ensemble, elles donnent une image plus complète pour améliorer la détection et la réponse aux attaques sophistiquées impliquant un mouvement latéral et une tromperie d'identité.
Références
[modifier | modifier le code]- Jonathan Nunez, Andrew Davies, « Hype Cycle for Security Operations, 2023 », www.gartner.com, (consulté le )
- (en) Eddy, « Who Is Responsible for Identity Threat Detection and Response? », InformationWeek, (consulté le )
- (en-US) « What identity threat detection and response (ITDR) means in a zero-trust world », VentureBeat, (consulté le )
- (en) « Improve IAM with identity threat detection and response », TechTarget, (consulté le )
- « Qu’est-ce que la gestion des privilèges des terminaux », sur www.oneidentity.com (consulté le )