La croissance de la fréquence et de la gravité des cyberattaques a amené les organisations à repenser leurs stratégies de sécurité. Les principales menaces de sécurité récentes, telles que les attaques de rançongiciels de grande envergure et les vulnérabilités Log4Shell révélées en 2021, ont conduit à une plus grande concentration sur la protection de l'identité, car les adversaires s'appuient sur des informations d'identification valides pour se déplacer latéralement sur les réseaux cibles.
Les cyberassureurs savent que les organisations qui achètent des polices d'assurance cyber doivent être prêtes à détecter, atténuer et répondre aux attaques modernes à mesure que les adversaires font évoluer leurs tactiques, techniques et procédures (TTP). Ces menaces en constante évolution ont eu un impact significatif sur la cyberassurance. Une solide stratégie de protection de l'identité peut renforcer la posture de sécurité de l'entreprise et accélérer le rythme des initiatives de cyberassurance.
Impact des rançongiciels sur les primes d'assurance
Selon l'enquête CrowdStrike Global Security Attitude Survey 2021, 66 % des organisations ont subi au moins une attaque de ransomware en 2021, et comme le montre le rapport CrowdStrike 2022 sur les menaces mondiales, les fuites de données liées aux ransomwares ont augmenté de 82 % entre 2020 et 2021. les ransomwares ont une incidence directe sur les primes et la couverture de la cyber-assurance : l'indice mondial du marché de l'assurance de Marsh indique que les primes de cyber-assurance au deuxième trimestre 2021 ont augmenté de 56 % aux États-Unis, en raison de la fréquence et de la gravité des demandes de ransomware.
Pensez du point de vue d'un cyberassureur
Lors de l'achat d'une cyber-assurance, les organisations sont souvent préoccupées par l'impact commercial, la perte de revenus et d'autres coûts liés aux temps d'arrêt après une attaque, en plus de déterminer la cause première de ces temps d'arrêt. Il est essentiel pour eux d'évaluer leur position globale en matière de risque. Les cyberassureurs travaillent en étroite collaboration avec les entreprises pour créer une vision globale des risques systémiques et dynamiques, qui influencent directement leur prime et leur limite de couverture.
Active Directory (AD), souvent le maillon le plus faible de la cyberdéfense, est un exemple de ce risque. Étant donné que la majorité des attaques de ransomwares exploitent les informations d'identification des utilisateurs, les organisations doivent renforcer leur posture de sécurité des identités d'une manière qui fonctionne à l'unisson avec leur stratégie de protection des terminaux. De nombreuses étapes, telles que la mise en œuvre de l'authentification multifacteur (MFA) et la gestion des comptes privilégiés, sont également des exigences à respecter lors de l'achat de polices d'assurance cyber.
Une défense renforcée contre les attaques axées sur l'identité
Les attaques modernes telles que les ransomwares et les récents incidents Log4j et noPac se composent principalement de deux parties :
Notez que les adversaires ciblant les organisations avec des menaces modernes telles que les rançongiciels ne suivent pas nécessairement la chaîne de destruction des cybercriminels de manière linéaire. Autrement dit, ils ne peuvent pas toujours s'infiltrer dans l'organisation par le biais de tentatives de phishing, puis en exécutant un code d'exploitation sur des terminaux vulnérables. (Lorsqu'ils le font, les modules CrowdStrike Falcon® Endpoint Protection protègent en détectant et en empêchant l'exécution de code.) L'adversaire pourrait plutôt infiltrer une organisation à partir d'un point de terminaison non protégé par la technologie CrowdStrike, puis utiliser une identité compromise valide pour accéder aux ressources et se déplacer latéralement.
Quelle que soit la manière dont les adversaires choisissent d'entrer dans l'organisation, ils peuvent éventuellement tirer parti des identités de la main-d'œuvre pour se déplacer sur le réseau, en tirant parti des informations d'identification compromises et de la faible posture de sécurité AD.
Rôle de MFA dans la protection de l'identité
L'authentification MFA est devenue une méthode cruciale pour contrôler l'accès aux applications et aux ressources critiques ; encore plus avec une main-d'œuvre distante plus importante dans tous les secteurs verticaux. Pour se protéger contre les ransomwares et se conformer à la posture de sécurité de base, la plupart des assureurs exigent des organisations qu'elles appliquent l'authentification MFA aux identités. Les assureurs peuvent refuser de faire affaire avec des organisations qui n'appliquent pas l'AMF ou ne déploient pas de technologie de sécurité des points finaux comme un antivirus de nouvelle génération ou la détection et la réponse aux points finaux (EDR).
Une façon d'appliquer la vérification d'identité consiste à déclencher MFA chaque fois qu'un utilisateur tente d'accéder à une ressource ou à une application. Cela peut cependant créer une fatigue MFA, ce qui non seulement peut réduire la productivité de l'utilisateur, mais crée également potentiellement un scénario de risque dans lequel l'utilisateur autorise par inadvertance l'accès à une tentative de connexion malveillante.
Les clients de CrowdStrike Falcon Identity Protection bénéficient d'une meilleure expérience utilisateur et d'une sécurité améliorée grâce à la MFA basée sur les risques : la confiance de l'utilisateur est évaluée en temps réel pour déterminer s'il faut autoriser l'accès à des ressources spécifiques avant même que la demande d'authentification n'atteigne l'AD. Avec des lignes de base et des risques dynamiques liés à chaque identité et à son comportement, les activités malveillantes - telles que les mouvements latéraux, les comportements à risque, l'utilisation inhabituelle des points finaux, l'élévation des privilèges et les tentatives de connexion RDP malveillantes - sont détectées et contestées en temps réel sans nécessiter d'analyses de journaux fastidieuses ou de point solutions.
Passer d'une gestion étroite des accès à privilèges à une protection plus large des identités
La surface d'attaque d'identité peut être influencée par un seul compte non privilégié, vous ne devez donc pas limiter les efforts de sécurité aux seuls comptes privilégiés. Bien que la gestion des comptes privilégiés (PAM) soit considérée comme un élément essentiel de la cyberassurance par certains fournisseurs, il est important de comprendre que les solutions PAM traditionnelles offrent une visibilité uniquement sur les comptes privilégiés. En plus d'exiger une planification minutieuse pour déployer et configurer une solution PAM, les organisations doivent tenir compte de la probabilité que les serveurs de saut puissent être contournés et que les coffres-forts de mots de passe puissent être compromis.
Considérez PAM comme une solution « opérationnelle » pour « gérer » les comptes privilégiés. Par exemple, les solutions PAM n'empêchent pas l'utilisation abusive d'informations d'identification valides, elles gèrent uniquement l'utilisation de comptes privilégiés. Cependant, un compte privilégié de PAM pourrait toujours être utilisé par un adversaire qualifié pour passer inaperçu dans un environnement client.
| Function | PAM | CrowdStrike Falcon Identity Protection |
| ID store visibility | Limited to privileged accounts | All accounts across AD and Azure AD directories |
| Risk posture assessment | Incomplete or limited to privileged accounts | All human, service and privileged identities |
| Deployment | Requires careful planning (jump servers, session brokers and many more) | Rapid deployment and scalability with a cloud-delivered, single lightweight agent architecture |
| User experience (UX) | High user friction (password vaulting, session brokers) | Frictionless MFA/conditional access based on dynamic risk |
| Behavior, deviations monitoring | Limited to only privileged accounts | All accounts |
| Misuse of valid credentials | Not available | Full visibility: detection and prevention |
| Attack path visibility | Limited | Full visibility into the lifecycle of an attack across reconnaissance, lateral movement and persistence |
Falcon Identity Protection classe et évalue automatiquement les privilèges de toutes les identités - pensez-y comme une sécurité d'accès privilégié de nouvelle génération - avec une visibilité et un contrôle de la sécurité de tous les comptes liés à AD, Azure AD et aux SSO comme Okta, Ping et Active Directory Federation Services ( ADFS). Grâce à la segmentation des identités et à la visibilité sur le comportement et les risques de tous les utilisateurs, les organisations peuvent restreindre l'accès aux ressources de grande valeur et empêcher la progression des attaques de ransomwares, se conformant ainsi à certaines des exigences critiques en matière de cyberassurance en adoptant une stratégie de protection de l'identité plus large. Falcon Identity Protection peut également compléter votre solution PAM en permettant une visibilité, une analyse et une protection holistiques pour vos identités privilégiées et vos comptes de service, ainsi que l'application d'une MFA basée sur les risques, améliorant ainsi l'expérience utilisateur pour vos administrateurs.
