Le service ProSOC Identity Threat Detection and Response lancé par le fournisseur de services de détection et de réponse managés (Managed Detection & Response, MDR) Proficio est destiné à protéger les entreprises contre les attaques basées sur l'identité et l'abus des identifiants. Le fournisseur affirme que son offre Open XDR (Extended Detection & Response) est la seule du secteur à prendre en charge la détection et la réponse aux menaces liées à l'identité, et fonctionnant sans agents ou capteurs propriétaires avec les outils de sécurité existants. Ce lancement intervient alors que les menaces liées à l'identité représentent l'un des principaux risques de cybersécurité auquel sont confrontées les entreprises.

Visibilité accrue, réponse rapide et risque réduit

Dans un communiqué de presse, Proficio a déclaré que la technologie avancée de son service tirait profit des investigations menées par les équipes de cybersécurité pour détecter les menaces contre l'infrastructure de gestion des identités et des accès (IAM). « Le fait que la plupart des attaques de ransomwares et des attaques de la chaîne d'approvisionnement soient basées sur des compromissions d'identité préoccupe nos clients au plus haut point », a déclaré Brad Taylor, CEO de Proficio. « La réponse manuelle aux incidents telle qu'elle est pratiquée dans les approches traditionnelles de surveillance de la sécurité est souvent trop lente pour réagir à ces attaques et à ces compromissions », a-t-il ajouté.

Selon Proficio, son service agnostique des fournisseurs présente plusieurs avantages en termes de détection et de réponse aux menaces d'identité, notamment :

- Une visibilité accrue : Afin de détecter plus précisément les attaques et les compromissions basées sur l'identité, le service ProSOC Identity Threat Detection and Response s'appuie sur les cas d'usage des menaces d'identité, les règles de corrélation croisée, les modèles d'apprentissage machine, la télémétrie des dispositifs de sécurité et l'intelligence sur les menaces. Les clients reçoivent des alertes hiérarchisées, alignées sur le référentiel de comportements de cyberattaque fourni par le framework MITRE ATT&CK, et peuvent visualiser l'activité des menaces liées à l'identité dans le portail ProView de Proficio.

- Une réponse rapide : Active Defense prend en charge des fonctions automatisées et semi-automatisées, si bien qu'en cas d'incidents, les intervenants peuvent effectuer une double validation de la menace avant de suspendre un compte.

- Réduction du risque de ransomware : La plateforme permet d'empêcher les attaquants de voler des identifiants disposant de privilèges pour propager le ransomware dans les applications d'entreprise et les instances cloud.

« En cas de détection d'une menace ciblant des données haute-fidélité, la solution de réponse automatisée Active Defense, est capable de suspendre ou de réinitialiser rapidement un compte utilisateur pour une ou plusieurs applications », a précisé Profico. ProSOC Identity Threat Detection and Response est proposé en option, comme extension du service MDR de Proficio.

Menaces basées sur l'identité : un risque important pour les entreprises

Les menaces basées sur l'identité représentent un risque majeur pour les entreprises. Les tentatives de vol d'identifiants sont de plus en plus fréquentes. Les attaquants essayent aussi de gagner plus de privilèges et de se déplacer latéralement dans l'infrastructure de l'entreprise ciblée. Le rapport CyberArk 2022 Identity Security Threat Landscape indique également que cette augmentation des identités des humains et des machines accroît fortement le risque de cybersécurité liée à l'identité auquel sont exposées les entreprises. Parmi les entreprises évaluées pour son rapport, le fournisseur CyberArk a trouvé 30 identités numériques pour chaque membre du personnel, 68 % des identités non humaines/logiques ayant accès à des données sensibles qui, si elles ne sont pas gérées et sécurisées, représentent des risques de cybersécurité importants.

Henrique Teixeira, directeur de la recherche chez Gartner a déclaré dans une interview que, comme le montre le rapport de Verizon intitulé « Verizon Data Breach Investigations Report 2021 », 61 % de toutes les intrusions utilisent comme vecteur d'attaque primaire des identifiants volés par ingénierie sociale ou piratés par force brute. « Les attaquants les plus sophistiqués ciblent désormais activement l'infrastructure IAM elle-même. Par exemple, la brèche de SolarWinds a utilisé des privilèges d'admin pour accéder au compte administrateur global de l'entreprise ou au certificat de signature de jeton SAML de confiance pour générer des jetons SAML en vue d'un mouvement latéral », a-t-il expliqué.

Andras Cser, vice-président et analyste principal de Forrester Resarch, ajoute que, comme la plupart des entreprises s'appuient désormais sur diverses identités numériques et les gèrent, des capacités de détection et de réponse plus robustes sont nécessaires pour faire face aux menaces liées à l'identité. « La protection de l'identité et du contexte de l'identité est très importante », a-t-il ajouté. « L'abandon des mots de passe est probablement la meilleure chose à faire et le recours à une authentification adaptative autour des appareils est un autre élément clef à prendre en compte », a encore déclaré l'analyste de Forrester.