Sean Deuby | Technologue principal

À mesure que les entreprises adoptent le travail hybride et la numérisation, le point final et l'identité se rapprochent perpétuellement. Les deux professions évoluent et, pour tirer le meilleur parti de cette évolution, les deux parties devront se rapprocher. Dans un récent épisode du podcast Hybrid Identity Protection, je discute de cette évolution avec Paul Lanzi, cofondateur et directeur de l'exploitation de Remediant. Nous expliquons également pourquoi l'intégration entre XDR et l'identité change la donne pour les équipes de sécurité modernes.

"Du point de vue des spécialistes de l'identité, la sécurité des points finaux et des serveurs a toujours été le problème de quelqu'un d'autre. Il n'y a pas eu beaucoup d'interactions avec les équipes chargées de l'identité, mais cela change. L'équipe chargée de la sécurité des points d'accès va bientôt venir vous parler et vous devez être prêt". -Paul Lanzi, cofondateur et directeur de l'exploitation, Remediant

Lecture associée

1. Comprendre l'alphabet de la sécurité des points finaux

Le secteur de la cybersécurité a la réputation, non démentie, d'être truffé d'acronymes jusqu'à l'absurde. Il s'agit d'une véritable soupe alphabétique de technologies, de processus et de systèmes. Les deux acronymes les plus présents à l'heure actuelle sont EDR et XDR.

L'idée de base de l'EDR - abréviation de endpoint detection and response - est assez simple. En devenant plus intelligents, les auteurs de logiciels malveillants ont appris à contourner la détection basée sur les signatures et à concevoir des infections qui se propagent beaucoup plus rapidement que les antivirus ne peuvent le faire. L'EDR est apparu comme une réponse potentielle à ce problème, une solution de sécurité capable d'agir sur l'ensemble d'un environnement pour arrêter les acteurs de la menace et diffuser des données sur les menaces entre les organisations.

XDR, ou détection et réponse étendues, se veut une évolution de l'EDR. Alors que les solutions EDR sont axées sur la sécurité des points d'extrémité, les solutions XDR sont censées exploiter d'autres parties de la pile infosec. Malheureusement, étant donné que la technologie est encore relativement nouvelle, elle est souvent utilisée comme un outil de marketing.

"Selon Peter Firstbrook, un analyste de Gartner qui couvre ce domaine, quelque 80 % des solutions XDR lancées au cours des prochaines années manqueront en fait de capacités XDR de base", explique M. Lanzi. "Il était donc compréhensible qu'il soit un peu critique à l'égard de ces approches purement marketing d'une nouvelle catégorie de produits. Mais il y a quand même quelque chose là-dedans.

2. Les limites de SOAR

Tout comme le XDR est censé être une évolution de l'EDR, l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) est censée être une évolution de la gestion des informations et des événements de sécurité (SIEM). Alors que le SIEM est largement axé sur la détection des événements et l'alerte, le SOAR ajoute, du moins en théorie, des capacités d'atténuation et de réponse. Malheureusement, en raison des immenses ressources techniques et de l'expertise requises pour mettre en œuvre ces capacités, la plupart des entreprises n'ont pas été en mesure de les exploiter.

"Je pense que l'hypothèse est bonne", estime M. Lanzi. "Si vous vous intégrez à une solution pour accéder à ses flux d'événements, pourquoi ne pas ajouter des capacités de réponse ? En réalité, de nombreux SOAR sont utilisés pour collecter des événements et émettre des alertes similaires à celles des SIEM, mais la partie réponse s'est avérée très difficile à mettre en œuvre pour toutes les entreprises, à l'exception des plus grandes."

"C'est en partie ce à quoi XDR tente de s'attaquer", poursuit-il. "La promesse est que vous pouvez prendre ces mesures de réponse dans le cadre de votre pile infosec, mais cela ne nécessitera pas le même degré d'alimentation et d'ingénierie qu'une solution SOAR. Il s'agit d'une intégration en un clic, alors qu'une mise en œuvre nécessite une équipe complète d'ingénieurs en sécurité."

3. L'histoire se répète : l'évolution de XDR et de la gestion de l'identité

Actuellement, l'intégration entre XDR et la gestion des identités n'en est qu'à ses débuts. Supposons, par exemple, que votre entreprise utilise Active Directory et que vous déterminiez que l'appareil d'un employé a été compromis. Pour empêcher les acteurs de la menace d'utiliser les informations d'identification de cet employé pour exécuter une attaque ou se propager latéralement dans le réseau, vous avez la possibilité d'utiliser XDR pour verrouiller complètement le compte de cet employé.

Il ne s'agit pas exactement du contrôle fin auquel les praticiens de l'identité sont habitués, mais selon M. Lanzi, cette fonctionnalité se développera avec le temps, à mesure que les points d'intégration entre les solutions XDR, les annuaires et les magasins d'identité se multiplieront.

"C'est la même chose que ce que nous avons vu dans les actions de réponse aux points d'extrémité, et dans les logiciels antivirus avant cela", explique M. Lanzi. "Dans les premiers temps des solutions antivirus, par exemple, vous pouviez soit supprimer un fichier compromis, soit le laisser seul et le laisser se déchaîner. Cela a fini par évoluer, avec de nouvelles actions comme la mise en quarantaine, la suppression de l'infection et la conservation du fichier, et ainsi de suite - des solutions plus nuancées que le simple matraquage à mort.

"Mon hypothèse est que ce phénomène va s'accélérer de manière significative dans un avenir proche", ajoute-t-il. "Je dirais dans les dix-huit à vingt-quatre prochains mois.

4. Gestion des menaces et domaine hybride

Il existe une grande variabilité dans les fonctionnalités et les options de déploiement des solutions XDR. Cette variance est le fruit d'une conception. Les écosystèmes d'entreprise modernes sont incroyablement divers : certains sont exclusivement sur site, d'autres sont basés sur le cloud, et beaucoup sont hybrides.

Tous ces environnements ont en commun la nécessité de gérer les menaces et la valeur des capacités de réponse à l'identité dans ce domaine.

"Nous avons également vu des logiciels malveillants se propager en utilisant des informations d'identification hybrides compromises", note M. Lanzi. "Il existe de très bons exemples d'organisations dont l'infrastructure sur site a été infectée, mais aussi l'infrastructure hybride. Le problème de la propagation des logiciels malveillants par l'identité existe aussi bien pour le cloud que pour l'infrastructure sur site."

5. Les personnes sont le moteur de l'intégration de la XDR et de l'identité

"Historiquement, les spécialistes de l'identité n'ont pas eu beaucoup de raisons de collaborer avec les professionnels de la sécurité des points d'accès", conclut M. Lanzi. "Cela va changer et c'est une bonne idée d'établir des relations à l'avance. L'autre jour, je discutais avec quelqu'un du fait qu'une grande partie du travail effectué dans les entreprises est due aux réseaux informels qui existent plutôt qu'aux relations hiérarchiques formelles.

En d'autres termes, XDR figure probablement déjà sur la feuille de route de votre équipe chargée de la sécurité des points d'accès. Il est donc essentiel que les spécialistes de l'identité établissent dès maintenant une relation avec vos collègues, et pas seulement pour faciliter la mise en œuvre. En ouvrant les lignes de communication, vous pourrez également vous assurer que toute solution XDR choisie par votre organisation fonctionne efficacement avec votre pile d'identité.

Traditionnellement, il y a une grande séparation entre la gestion des points finaux et la gestion des identités. Mais comme le confirmera toute personne ayant travaillé dans le secteur de la cybersécurité, la tradition ne signifie pas grand-chose. Nous vivons dans un monde où même la technologie la plus avancée peut devenir obsolète en quelques années.

Pour prospérer dans ce monde, nous, praticiens de l'identité, devons accepter le changement et travailler ouvertement avec ceux qui le facilitent.

Mettre en œuvre une solution ITDR de pointe pour compléter la solution XDR

L'utilisation abusive des informations d'identification est l'une des principales méthodes utilisées par les attaquants pour accéder aux systèmes et atteindre leurs objectifs. Parmi les principales priorités des RSSI selon Gartner pour 2022, les solutions de détection et de réponse aux menaces liées à l'identité (ITDR) peuvent renforcer l'XDR grâce à une protection complète des systèmes d'identité. Récemment incluse dans le Hype Cycle de Gartner pour les opérations de sécurité, l'ITDR est une catégorie relativement nouvelle avec un groupe diversifié de fournisseurs et de stratégies. Privilégiez les solutions ITDR qui couvrent l'ensemble du cycle de vie d'une attaque d'identité - avant, pendant et après l'attaque.

Gartner insiste également sur la nécessité de se préparer à l'inattendu. Par exemple, de nouveaux exploits de type "zero-day" contre AD apparaîtront. Il est essentiel d'inclure AD dans la gestion des vulnérabilités et des menaces et dans la planification de la réponse aux incidents de votre organisation, et se fier aux capacités de prévention et de détection n'est tout simplement pas suffisant.

Assurez-vous que votre solution ITDR peut contenir les attaques grâce à l'auto-remédiation, inverser les actions malveillantes et garder une longueur d'avance sur l'adversaire. Dans les pires scénarios, les solutions ITDR qui incluent des capacités de récupération des ransomwares spécifiques à AD et d'analyse médico-légale après l'intrusion amélioreront de manière significative la cyberpréparation.