Renseignements sur l'identité

le 09 juillet, 2024

L'identification et la sécurité des identités ne sont pas un sujet nouveau, mais elles ont fait l'objet d'une attention croissante ces deux dernières années. Les acteurs malveillants se contentent désormais de se connecter plutôt que de pirater les systèmes, car les méthodes de stockage des données et d'authentification ont évolué, et ils se sont adaptés à ces changements.

Votre équipe de sécurité peut grandement bénéficier d'une approche plus rapide pour atténuer les attaques basées sur l'identité. Pour en savoir plus, poursuivez votre lecture et consultez le récapitulatif de notre podcast Leaky Weekly, dans lequel le chercheur en sécurité Nick Ascoli et l'expert en sécurité des identités Mike Iaconiani abordent des points intéressants et leurs questions à ce sujet. Rapport 2025 de Microsoft sur la défense numérique.

Renseignements sur l'identité : un bref aperçu

Qu’est-ce que l’intelligence identitaire ?

Le renseignement sur l'identité peut être considéré comme un sous-ensemble du renseignement sur les cybermenaces, axé sur la détection des identifiants des utilisateurs d'une organisation. Dans le cadre d'un programme de renseignement sur les menaces robuste, les organisations doivent veiller à collecter les types de données de renseignement sur l'identité suivants :

  • Des identifiants divulgués sont vendus sur des forums du dark web et dans des chaînes Telegram illicites.
  • Des mots de passe compromis lors de fuites de données massives
  • Les journaux du logiciel malveillant Infostealer contiennent des identifiants
  • Courtier d'accès initial (IAB) ventes contenant des identifiants compromis que les cybercriminels peuvent utiliser pour obtenir un accès non autorisé
  • Identifiants ou clés API codés en dur dans le code source stocké dans les dépôts GitHub

Quels sont les défis auxquels les organisations sont confrontées en matière d'intelligence d'identité ?

Le problème est que la plupart des organisations peinent à collecter et à exploiter les renseignements sur l'identité, car : 

  • Les données existent en dehors des limites de l'entreprise, ce qui rend leur localisation et leur suppression difficiles.
  • L'extraction de données précieuses à partir de chaînes Telegram illicites et du web clair, du web profond et du dark web est souvent une tâche manuelle et fastidieuse qui requiert l'expérience d'un analyste de sécurité maîtrisant des outils spécialisés. 
  • Les analystes en sécurité ne possèdent pas les compétences linguistiques nécessaires pour traduire les messages publiés sur les forums et les chaînes de télévision dans des langues étrangères, comme le russe, l'arabe, l'espagnol ou le français.
  • Les données manquent de contexte, les analystes de sécurité doivent donc corréler manuellement les informations d'identité avec les outils de sécurité internes pour en tirer des enseignements.
  • Collecte et analyse des renseignements sur l'identité Cela devient prohibitif et inefficace lorsque les équipes de sécurité doivent utiliser plusieurs outils pour collecter et examiner différents types de données.

Quel est le lien entre le renseignement sur l'identité et la gestion de l'exposition aux menaces (TEM) ?

L'intelligence identitaire renforce la capacité d'une organisation à… Gestion et exposition continue aux menaces (CTEM) surveillance par activation :

  • Détection d’Anomalies: analyse des identités numériques et des activités des utilisateurs afin d'identifier les écarts par rapport aux comportements habituels, signalant d'éventuelles attaques basées sur l'identité.
  • Nettoyage des comptes vulnérables: signaler les comptes susceptibles d'être compromis ou de présenter un risque afin que les équipes de sécurité puissent prendre des mesures préventives.
  • Blocage des accès à haut risque: Atténuer les risques liés aux tentatives d'accès non autorisé afin de combler le fossé entre les méthodes d'authentification telles que l'authentification multifacteurs (MFA) et la gestion sécurisée des accès

Pourquoi le renseignement sur l'identité est-il important dans le paysage actuel de la cybersécurité ?

Dans les écosystèmes d'applications complexes et hautement interconnectés, les acteurs malveillants déploient de plus en plus d'attaques basées sur des identifiants, telles que :

  • Pulvérisation de mot de passe: essayer des mots de passe couramment utilisés sur différents comptes utilisateurs, en espérant que l'un d'eux permette d'accéder
  • Attaques par force brute: cibler un seul identifiant utilisateur, puis essayer plusieurs mots de passe, en espérant que l'un d'eux fonctionne
  • Bourrage de Credential: utiliser des identifiants compromis ou divulgués pour accéder à une ressource

Le renseignement sur l'identité permet de mieux comprendre les comptes compromis afin d'atténuer les risques liés à :

  • FraudeLes cybercriminels se font passer pour des clients légitimes afin de réaliser des transactions frauduleuses, comme des achats ou des transferts de fonds.
  • Prise de contrôle de compteDes acteurs malveillants utilisent des identifiants légitimes pour prendre le contrôle du compte d'un individu, ce qui leur permet de se dissimuler sous l'identité d'un utilisateur connu tout en accédant à des données ou des ressources sensibles. 
  • Attaques APILes acteurs malveillants utilisent des clés API volées pour compromettre les points de communication entre applications. 

Quels sont les avantages de l'intelligence identitaire ?

Dans le cadre des efforts déployés par les organisations pour atténuer les risques, le renseignement sur l'identité offre les avantages suivants :

  • Préparation renforcée au modèle de confiance zéro: Identifie les connexions potentiellement risquées afin que les organisations puissent supprimer les identités inutilisées et vulnérables, ouvrant la voie à un cadre de confiance zéro solide.
  • Impact réduit des compromis: Détecte les identifiants compromis afin que les équipes de sécurité puissent prendre des mesures proactives, comme exiger des utilisateurs qu'ils réinitialisent leurs mots de passe, imposer l'authentification multifacteur ou bloquer l'accès.
  • Approche de sécurité intégréeComble le fossé entre l'authentification et l'accès, renforçant ainsi la protection contre les cybermenaces actuelles et émergentes.

Quelles sont les meilleures pratiques pour la mise en œuvre de l'intelligence d'identité ?

Lors de la mise en œuvre de l'intelligence d'identité, les organisations peuvent suivre les bonnes pratiques suggérées :

  • Surveillez les forums et les chaînes des acteurs malveillants.L’écosystème cybercriminel fait commerce d’identifiants, notamment ceux obtenus lors de fuites de données massives ou permettant un accès initial non autorisé.
  • Répertoires de codes de numérisationLes développeurs peuvent accidentellement divulguer des identifiants ou des clés API en les incluant dans le code source, ce qui crée un risque supplémentaire si d'autres développeurs les intègrent à leurs projets. 
  • Automatiser les processusRéduisez les coûts en automatisant les activités clés et en utilisant intelligence artificielle (IA) pour aider à contextualiser les événements et à traduire les messages publiés sur les forums par les acteurs malveillants. 
  • Intégration avec les alertes de sécuritéIntégrer des données d'identité pour des alertes en temps réel de haute précision, réduisant ainsi les délais de détection, d'enquête et de réponse. 
  • Augmenter la gestion des identités et des accès (IAM): Combinez l'intelligence d'identité avec la surveillance IAM pour les comptes à haut risque, comme les identifiants d'administrateur, qui présentent un risque plus élevé de violation de données.

Comprendre les capacités de Flare en matière d'intelligence d'identité 

Comment Flare répond-il aux besoins en matière de renseignement sur l'identité ?

La plateforme de Flare surveille en permanence le web clair, le web profond et le dark web, ainsi que les canaux Telegram illicites, afin d'identifier les informations clients et employés divulguées (plus de 20 milliards d'identifiants divulgués), notamment :

  • Des noms
  • ID utilisateur
  • Les adresses de courriel
  • Mots de passe
  • Cookies de session actifs 
  • Questions de sécurité 

Grâce à une meilleure compréhension des données d'identité à risque, les organisations peuvent atténuer les risques à mesure que les acteurs malveillants déploient davantage de prises de contrôle de comptes et d'attaques basées sur les identifiants. 

Pourquoi Flare est-il important pour opérationnaliser l'intelligence identitaire ?

Face à l'augmentation du volume et de la sophistication des violations de données, les organisations doivent identifier proactivement les fuites de données sensibles avant que les acteurs malveillants ne puissent exploiter les données volées. La plateforme Flare s'intègre aux flux de travail des équipes de sécurité, notamment à leur outil de gestion des incidents et des événements de sécurité (SIEM). En corrélant les informations de sécurité avec les renseignements sur l'identité des utilisateurs, les équipes de sécurité peuvent détecter et réagir plus rapidement aux fuites de données sensibles. 

Quels sont les principaux avantages de Flare en matière de renseignement sur l'identité ?

  • Visibilité sur les problèmes de couverture empêchant une organisation de détecter les fuites de données sur une surface d'attaque de plus en plus étendue. 
  • Surveillance proactive et continue par divers moyens, y compris les identifiants codés en dur dans le code source ou publiés sur des sites comme Pastebin.
  • Réduire l'impact des risques d'erreur humaine, comme les mots de passe faibles utilisés dans les applications personnelles et professionnelles. 

Transformez le chaos des identifiants en clarté avec Flare

Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.

Grâce à la gestion de l'exposition des identités, les équipes de sécurité peuvent surveiller en permanence les expositions d'identité et agir rapidement pour atténuer les menaces :

Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des informations exploitables et une remédiation automatisée en cas d'exposition à haut risque. Découvrez par vous-même la gestion de l'exposition des identités grâce à une essai gratuit.

Partager l'article