Nouvelle étude Semperis sur les ransomwares : Les organisations mondiales doivent se préparer aux cyberattaques des fêtes de fin d'année
Détection de schémas d'attaque par ML

Détecter et prévenir les attaques basées sur l'identité

Utilisez la détection d'attaques basée sur la ML avec une attention particulière portée aux risques liés à l'identité pour couper court au bruit et accélérer la réponse aux incidents pour les attaques les plus répandues et les plus réussies.

Demander une démonstration

Lightning IRP apporte un contexte d'identité critique à la détection des schémas d'attaque et des anomalies.

De nombreuses cyberattaques passent inaperçues jusqu'à ce que le mal soit fait. Les techniques d'attaque d'identité éprouvées, comme la pulvérisation de mots de passe, continuent de connaître un grand succès en raison de la difficulté à détecter et à répondre au volume de signal et au bruit. Lightning Identity Runtime Protection (IRP) utilise des modèles d'apprentissage automatique développés par des experts en sécurité de l'identité pour détecter des modèles d'attaques répandus et réussis tels que la pulvérisation de mots de passe, le bourrage d'informations d'identification, d'autres attaques par force brute et des anomalies risquées.

31%
des vecteurs d'attaque initiaux sont des attaques par force brute
90 jours
temps moyen de détection d'une attaque par force brute
1/3
de toutes les compromissions de comptes sont des attaques par pulvérisation de mot de passe
86%
des cyberattaques impliquent le vol d'informations d'identification

Attraper les attaques que les solutions traditionnelles de ML ne parviennent pas à détecter

En utilisant des algorithmes entraînés basés sur l'expérience réelle de Semperis en matière de réponse aux attaques d'identité dans la nature et de soutien aux plus grandes entreprises et agences gouvernementales du monde, Lightning IRP détecte les attaques d'identité sophistiquées que les solutions traditionnelles de ML ne détectent pas. Lightning IRP se concentre sur les alertes d'attaques d'identité les plus critiques et réduit le bruit en superposant un tissu de risques d'identité, qui tire des informations de sources multiples.

DONNÉES D'IDENTITÉ

Données de suivi des modifications de l'annuaire dans les environnements hybrides Active Directory et Entra ID

INDICATEURS DE SÉCURITÉ

Des centaines d'IOE et d'IOC, régulièrement mis à jour par l'équipe de recherche sur les menaces pesant sur l'identité de Semperis.

PISTES D'ATTAQUE

Analyse du chemin d'attaque de niveau 0 pour cartographier les relations à risque avec les groupes privilégiés ayant accès aux données sensibles.

Détection de schémas d'attaque basée sur la ML et élaborée par des experts en sécurité de l'identité

Lightning IRP capture, analyse et met en corrélation les activités d'authentification avec les renseignements sur les menaces liées à l'identité de Semperis afin de détecter les schémas d'attaque connus et de signaler les comportements malveillants.

  • Attaques par pulvérisation de mot de passe : Surveille les tentatives de connexion afin de détecter les schémas indiquant une attaque par pulvérisation de mot de passe.
  • Attaques par force brute : Surveille les tentatives de connexion répétées et rapides contre un seul utilisateur afin de détecter d'éventuelles attaques par force brute.
  • Connexions anormales : Recherche les anomalies de connexion des utilisateurs qui indiquent une connexion AD anormale.
  • Accès anormal aux ressources : Surveille l'activité d'un utilisateur et toute interaction avec des services qui indiquent une attaque contre les services AD.
  • Anomalies des tickets de service : Recherche des exigences suspectes en matière de tickets de service qui indiquent une attaque de Kerberoasting sur AD.
En savoir plus
Semperis Lightning Identity Runtime Protection (IRP) : détection des schémas d'attaque

Gagner du temps et réduire les risques en détectant et en répondant aux attaques d'identité à haut risque

Lightning IRP utilise des modèles d'apprentissage automatique développés par des experts en sécurité des identités pour détecter des schémas d'attaque répandus et réussis - tels que les attaques par force brute et les anomalies de connexion au système d'identité - et incorpore ces résultats dans un score global de posture de sécurité.

En savoir plus
Notre mission fait écho auprès des leaders du secteur

Détecter une anomalie est relativement facile. Le défi consiste à la replacer dans son contexte. Nous avons combiné une expertise approfondie en matière d'apprentissage automatique avec notre connaissance de première main du fonctionnement des attaques réelles des systèmes d'identité afin de fournir un contexte significatif qui aide les organisations à isoler et à traiter les menaces à haut risque.

Mickey Bresman PDG de Semperis

L'IRP utilise une bibliothèque croissante d'expositions, de compromissions et de modèles d'attaques en parallèle avec un flux continu de données de sécurité de l'identité pour accélérer de manière significative une réponse efficace aux menaces du système d'identité. Identity Runtime Protection se concentre sur plusieurs cas d'utilisation, notamment les connexions anormales et les anomalies des tickets de service, qui posent problème depuis des années parce qu'il est difficile de les détecter et d'y répondre à grande échelle.

Igor Baikalov Scientifique en chef de Semperis

Lightning IRP s'appuie sur nos offres actuelles d'analyse pré-attaque pour les indicateurs d'exposition et de compromission et notre capacité à voir les changements qui se produisent dans Active Directory sur site et Entra ID. Nous étendons nos capacités de détection de modèles d'attaques en direct, changeant ainsi la façon dont l'industrie applique l'apprentissage automatique pour détecter les cyberattaques.

Darren Mar-Elia Semperis VP of Products
Urgence

Purple Knight est le premier utilitaire que j'utilise qui creuse aussi profondément dans Active Directory. Il fonctionne si bien que je n'ai pas eu besoin de trouver autre chose.

En savoir plus Micah Clark Responsable informatique, Central Utah Emergency Communications

Questions fréquemment posées sur la détection de modèles d'attaques par ML

Qu'est-ce qui différencie l'approche de Semperis en matière de détection des schémas d'attaque ?

Lightning IRP combine l'expertise approfondie de notre équipe dans la construction de modèles d'apprentissage automatique pour le renseignement sur les menaces et notre expérience de la réponse aux incidents dans le monde réel pour détecter les modèles d'attaques d'identité les plus répandus et les plus problématiques. Lightning IRP concentre les défenseurs sur les alertes d'attaques d'identité les plus critiques et réduit le bruit en superposant un tissu de risques d'identité qui tire des informations de sources multiples :

  1. Données de suivi des modifications de l'annuaire dans les environnements hybrides Active Directory et Entra ID
  2. Des centaines d'indicateurs de sécurité d'exposition et de compromission, régulièrement mis à jour par l'équipe de recherche sur les menaces liées à l'identité de Semperis.
  3. Analyse du chemin d'attaque de niveau 0 pour déterminer les relations à risque avec des groupes privilégiés ayant accès à des données sensibles.
Quels sont les schémas d'attaque visés par l'IRP Lightning ?

Lightning Identity Runtime Protection (IRP) se concentre sur certaines des attaques les plus répandues et les plus problématiques, notamment :

  • Attaques par pulvérisation de mot de passe : Surveille les tentatives de connexion afin de détecter les schémas indiquant une attaque par pulvérisation de mot de passe.
  • Attaques par force brute : Surveille les tentatives de connexion répétées et rapides contre un seul utilisateur afin de détecter d'éventuelles attaques par force brute.
  • Connexions anormales : Recherche les anomalies de connexion des utilisateurs qui indiquent une connexion AD anormale.
  • Accès anormal aux ressources : Surveille l'activité d'un utilisateur et toute interaction avec des services qui indiquent une attaque contre les services AD.
  • Anomalies des tickets de service : Recherche des exigences suspectes en matière de tickets de service qui indiquent une attaque de Kerberoasting sur AD.

 

Les attaques par pulvérisation de mot de passe et par force brute existent depuis des années, alors pourquoi constituent-elles encore un problème ?

Les techniques d'attaque éprouvées telles que les attaques par pulvérisation de mot de passe et les attaques par force brute fonctionnent toujours car le volume de bruit qu'elles génèrent les rend difficiles à détecter. Environ 31 % des vecteurs d'attaque initiaux sont des attaques par force brute, et près d'un tiers de toutes les compromissions de comptes sont des attaques par pulvérisation de mot de passe. 

Dans une attaque par pulvérisation de mot de passe, un adversaire tente à plusieurs reprises de se connecter à un grand nombre de comptes cibles à l'aide d'un ensemble limité de mots de passe jusqu'à ce qu'il parvienne à percer le système d'authentification cible et à obtenir l'accès au compte et au système. Dans une attaque par force brute, un attaquant tente à plusieurs reprises de se connecter en utilisant différents mots de passe jusqu'à ce qu'il parvienne à percer le système d'authentification de la cible et à obtenir l'accès au compte et au système.

Dans les deux cas, ces techniques génèrent un volume important de données, ce qui rend l'analyse longue et fastidieuse.

Pourquoi est-il important de détecter les comportements anormaux pour prévenir les attaques d'identité ?

Un comportement anormal peut signaler une attaque imminente. Par exemple, une connexion anormale peut signaler un accès non autorisé au système d'identité. Les anomalies des tickets de service signalent les demandes suspectes de tickets de service qui pourraient indiquer une tentative d'abus du mécanisme de ticket d'Active Directory dans le cadre d'une cyberattaque, telle que le Kerberoasting. Ces demandes anormales comprennent la demande d'un ticket pour des services rarement utilisés ou la demande d'un ticket avec un algorithme cryptographique dégradé.

Gagner du temps dans la détection et la réponse aux attaques basées sur l'identité

En savoir plus
Notre mission fait écho auprès des leaders du secteur

Découvrez d'autres solutions de sécurité et de récupération AD

Réduction de la trajectoire d'attaque du Tier 0

Sauvegarde et récupération AD

Consolidation et migration AD

Plus de ressources

En savoir plus sur la manière de prévenir, de détecter et de répondre aux attaques basées sur l'identité.

Voici Silver SAML: Golden SAML dans le cloud

Voici Silver SAML: Golden SAML dans le cloud

  • Blog
Défense contre les attaques par injection LDAP : Sécurité AD 101

Défense contre les attaques par injection LDAP : Sécurité AD 101

  • Blog
Semperis DSP: Renforcer la protection d'AD et d'Entra ID contre les cyber-menaces

Semperis DSP: Renforcer la protection d'AD et d'Entra ID contre les cyber-menaces

  • Blog
Attaques de l'Active Directory : 5 méthodes courantes d'attaque de l'AD

Attaques de l'Active Directory : 5 méthodes courantes d'attaque de l'AD

  • Blog
Voir l'intégralité