Les forums de discussion se sont enflammés et Twitter était en ébullition lors de la récente conférence sur la protection de l'identité hybride 2021, au cours de laquelle la communauté de l'identité et de la sécurité s'est réunie pour relever les défis actuels et se préparer à l'avenir de l'identité.
La conférence en ligne qui s'est tenue les 1er et 2 décembre a attiré un mélange de professionnels de la gestion des identités et des accès (IAM), de praticiens des opérations informatiques et de responsables de la sécurité du monde entier. Bien qu'il s'agisse d'une rencontre virtuelle, la conversation est restée animée tout au long de l'événement, avec des amis, des collègues et des nouveaux venus qui ont participé à des sessions de réseautage, à des conversations sur Twitter et à un concours de chansons/trivia étonnamment compétitif, animé par un DJ qui était un passionné de musique impressionnant.
Si vous avez manqué la conférence HIP 2021, vous pouvez revivre les sessions grâce au flux vidéo, qui sera disponible jusqu'au 31 décembre. (L'évaluation franche par Chris Roberts des "idées fausses, des promesses vides et des egos surgonflés" du secteur de la cybersécurité est un bon point de départ).
Voici quelques enseignements tirés de la conférence.
1. Nous allons nous passer de mot de passe (un jour)
La question n'est pas de savoir si, mais comment et quand. À l'instar d'ADoption des voitures électriques, l'abandon des mots de passe s'accélère rapidement, car l'escalade des cyberattaques a rendu ce mode d'authentification obsolète intenable.
"Le problème des mots de passe n'est pas le mot de passe : C'est nous", a déclaré l'orateur principal Jim Routh, ancien RSSI de Mass Mutual, CVS et Aetna, lors de sa session sur l'authentification comportementale. "Nous avons changé. Nous sommes des consommateurs numériques et nous ne pouvons pas nous souvenir de tous les mots de passe uniques et complexes de nos 150 actifs numériques (en moyenne). Que faisons-nous alors ? La plupart d'entre nous utilisent les mêmes mots de passe. Et il y a environ 5 ans, les criminels l'ont compris".
Des obstacles subsistent, mais dans sa session documentant les progrès d'Accenture (une entreprise de 650 000 employés !) vers l'authentification sans mot de passe, Joe Kaplan (directeur associé d'Accenture) a systématiquement exposé ses succès et les leçons tirées de ses efforts pour se débarrasser complètement des mots de passe d'ici à 2022. Consultez sa session " Taking a Large Organization Passwordless", qui établit une feuille de route pour les organisations souhaitant suivre une voie similaire. Si vous souhaitez vous familiariser avec la technologie sans mot de passe sous-jacente de Microsoft, consultez la session "Windows Hello for Business Hybrid Access" avec Sander Berkouwer (directeur technique de SCCT). Denis Ontiveros a examiné l'identité future sous l'angle de l'économie comportementale dans son entretien avec Sean Deuby, "Scaling Identity for the Future".
John Craddock a clôturé la conférence par une présentation enthousiaste des références vérifiables (VC) utilisant le service Microsoft Azure AD Verifiable Credentials. Avec Guido Grillenmeier (technologue en chef de Semperis), il a présenté une démonstration de VC qui a permis aux participants de l'essayer eux-mêmes en temps réel.
2. Vous pouvez protéger AD contre les tactiques d'attaque les plus courantes
Aujourd'hui, les organisations doivent relever le défi de combler les lacunes de sécurité dans Active Directory. La conférence HIP 2021 a proposé plusieurs sessions pratiques qui ont donné aux participants des lignes directrices immédiatement utiles.
Darren Mar-Elia, vice-président des produits chez Semperis, a passé en revue les méthodes d'attaque les plus courantes contre AD lors de sa présentation intitulée "Practical Tips for Protecting Active Directory" (Conseils pratiques pour la protection d'Active Directory), en soulignant qu'AD n'a pas été conçu pour le paysage actuel des menaces. "Il est complexe et difficile à protéger, et de nouvelles voies d'attaque sont constamment découvertes.
Orin Thomas, Microsoft Principal Hybrid Cloud Advocate, a attiré l'attention sur les erreurs de configuration AD les plus courantes, car les experts AD se font de plus en plus rares. Sean Deuby et Alexandra Weaver ont fait une plongée en profondeur (ou, plutôt, sont montés sur leurs caisses de savon - littéralement) au sujet de la sécurité des comptes AD. Ran Harel et Tammy Mindel ont quant à eux présenté lesprincipales vulnérabilités de l'infrastructure AD héritée et la façon dont les attaquants les perçoivent. Si votre organisation a été attaquée, le consultant en sécurité Jorge De Almeida Pinto propose des conseils pour "Ressusciter Active Directory après une attaque de ransomware".
3. La diversité est importante dans le domaine de la cybersécurité
L'une des sessions qui a suscité le plus d'activité dans le journal de discussion a été la discussion au coin du feu avec Simon Hodgkinson (ancien RSSI chez bp) et Emma Leith (RSSI européen chez Santander) sur la manière de favoriser la diversité et l'inclusion dans le secteur de la cybersécurité. Découvrez cette discussion animée et suivez la conversation sur le chat (qui est toujours disponible avec l'enregistrement de la session), où les participants et les orateurs ont réfléchi à des moyens d'accueillir des perspectives et des contributions différentes.
4. L'union des équipes chargées de l'identité et de la sécurité renforce le dispositif de sécurité
La sécurisation d'AD a traditionnellement été reléguée aux opérations informatiques. Mais avec la recrudescence des attaques liées à l'identité, de nombreuses organisations se restructurent pour réunir les équipes informatiques/identité et les équipes de sécurité sous l'égide du CISO, ou simplement pour favoriser une meilleure communication entre ces deux groupes. La collaboration entre les équipes d'exploitation informatique et de sécurité est essentielle pour renforcer les défenses contre les attaques, selon les panélistes de la session "Unir les équipes d'identité et de sécurité contre les adversaires" avec Jim Doggett (CISO de Semperis), Asad Ali (technologue chez Thames), Paul Lanzi (cofondateur et COO de Remediant), et Gil Kirkpatrick (architecte en chef de Semperis). Paul Lanzi a également présenté une session intitulée "XDR Is Coming for Your Identity" sur la façon dont les outils de cybersécurité évoluent pour répondre aux besoins des équipes chargées de l'identité et de la sécurité.
5. L'informatique en nuage comporte des risques de sécurité inhérents
Trois sessions ont abordé le défi de la sécurisation des systèmes d'identité dans le nuage. Thomas Naunheim, architecte cloud chez glueckkanja-gab AG, a parlé de la protection des identités privilégiées et des pipelines DevOps dans Microsoft Azure. Jose Barajas, directeur technique chez AttackIQ, a souligné que "vous êtes dans le nuage que vous le sachiez ou non" dans sa session sur la façon dont le paysage des menaces change avec le passage à un environnement en nuage. Roelf Zomerman, architecte de solutions cloud chez Microsoft, a parlé des implications en matière de sécurité de l'utilisation d'Azure Active Directory Connect pour fournir des identités à AD sur site à partir d'Azure AD dans sa session "It's Raining Identities : L'impact d'Azure AD dans les migrations AD".
6. Les professionnels de l'identité et de la sécurité sont des connaisseurs en matière de musique et de cinéma
#HIP2021 a clôturé la première journée avec un DJ talentueux et un passionné de musique qui a dirigé un groupe hyper-compétitif de professionnels de l'identité et de la sécurité dans un concours de questions sur la musique et les films. Le niveau de connaissance de la musique des années 80 (en plus de la sécurité de l'identité) de cette foule était impressionnant.
Si vous avez manqué l'une ou l'autre des séances, vous pouvez vous y replonger dès maintenant et jusqu'au 31 décembre pour les rediffuser. N'oubliez pas de suivre @HIPConf sur Twitter et LinkedIn pour obtenir des nouvelles sur nos événements de 2022 - peut-être nous verrons-nous en personne l'année prochaine.