Comment automatiser la réponse aux compromissions d'identifiants

Lorsque les entreprises mettent en œuvre solutions d'automatisation de la sécurité à faible code, Ils ont ainsi l'opportunité de gagner en maturité en tant qu'équipe de sécurité en étendant leur champ d'action au-delà du centre des opérations de sécurité (SOC). Cela signifie qu'ils automatisent des cas d'utilisation allant au-delà des cas d'utilisation de base de l'orchestration, de l'automatisation et de la réponse de sécurité (SOAR), comme hameçonnage. Une fois que les équipes de sécurité se sont débarrassées des tâches à fort volume, elles peuvent automatiser les processus de sécurité liés à des domaines tels que l'identité, la gestion des risques, le réseau, la confidentialité, le DevOps et bien plus encore.

Un client de Swimlane, que nous appellerons Bank Mega, a amélioré sa gestion des risques en automatisant la réponse aux compromissions d'identifiants afin de prévenir la fraude. Ce cas d'usage a été initié suite à la détection d'une tentative de fraude par virement bancaire. En automatisant entièrement l'investigation et la réponse aux compromissions d'identifiants, Bank Mega a considérablement réduit le temps de traitement, amélioré sa gestion des risques et permis à ses analystes de gagner du temps. Rien qu'avec l'automatisation de la gestion des compromissions d'identifiants et du phishing, des clients comme Bank Mega économisent généralement l'équivalent d'un employé à temps plein.

L'événement de fraude par virement bancaire

Un client de Bank Mega a signalé avoir reçu une facture provenant du système de messagerie de Bank Mega, lui demandant de rediriger un paiement. Heureusement, il a compris qu'il s'agissait d'une tentative d'hameçonnage et n'a donc pas payé. Il a ensuite contacté Bank Mega en leur fournissant une évaluation de sécurité fournisseur mise à jour et plus détaillée. Cette évaluation avait été envoyée à l'aide d'identifiants retrouvés sur un site du Dark Web.

Automatisation de la sécurité à faible code pour la surveillance des identifiants

Bank Mega savait qu'elle avait besoin d'une solution gérable pour se protéger, ainsi que ses clients, contre d'éventuelles fraudes aux virements bancaires de ce type. Afin de renforcer sa sécurité, elle a souscrit à un service de surveillance des compromissions d'identifiants, via Futur enregistré, qu'ils ont intégrés à couloir de nage, leur outil d'automatisation de la sécurité à faible code.

Démo de Swimlane et Future enregistrée

Ce Démo de Swimlane et Recorded Future Notre cofondateur et directeur de la stratégie, Cody Cornell, et notre directeur de l'architecture des solutions, Bryon Page, expliquent en 5 étapes simples comment fonctionne ce cas d'utilisation.

1. Domaine récupéré

La banque Mega a eu recours à l'effet de levier Le plugin API de Future et la sécurité low-code de Swimlane ont été enregistrés. Plateforme d'automatisation pour analyser les identités et les domaines spécifiques nécessitant une surveillance. Désormais, les analyses de tentatives de vol d'identifiants sont effectuées automatiquement toutes les 24 heures. Swimlane Stack classe les résultats comme ayant un niveau de risque faible, moyen, élevé ou critique en fonction de l'identité détectée.

2. Enquête d'identité

Swimlane enrichit notamment les renseignements sur les menaces liées aux identifiants compromis de Recorded Future en interrogeant le système de gestion des ressources humaines (SGRH) de Bank Mega afin de déterminer si les identifiants compromis appartiennent à un utilisateur actif ou à un ancien employé. Si Swimlane identifie un utilisateur actif, il interroge le fournisseur de gestion des identités et des accès (IAM) de Bank Mega pour déterminer les systèmes et applications auxquels l'utilisateur a accès. Cette information est déterminée par le rôle de l'utilisateur : administrateur système, RH, juriste, contributeur individuel, etc. Ces résultats illustrent la manière dont Swimlane évalue la criticité d'une compromission d'identifiants.

3. Validation du hachage du mot de passe

Parallèlement, Swimlane effectue d'autres requêtes pour vérifier la validité des identifiants compromis. Pour ce faire, il analyse les hachages extraits de diverses sources, comme le Dark Web ou des listes de collections, afin de déterminer leur validité.

4. Notification Slack envoyée

Dans les cas où la faille de sécurité concerne un employé et que ses identifiants sont validés, Bank Mega préfère ne pas attendre l'intervention d'un analyste. Elle utilise donc Swimlane pour envoyer automatiquement à l'utilisateur un message sur Slack l'informant que ses identifiants seront réinitialisés sous 30 minutes. Ces messages peuvent également être envoyés par e-mail ou SMS.

5. Réinitialisation du mot de passe

Ensuite, comme indiqué dans la notification Slack, Swimlane réinitialise le mot de passe dans 30 minutes. Cette action met fin au processus et résout définitivement le problème de compromission des identifiants.

Des résultats qui réduisent les risques pour les tiers

La vidéo de démonstration illustre l'intérêt de surveiller les identifiants des employés de Bank Mega. De plus en plus de clients appliquent cette méthode pour surveiller les identifiants de leurs prestataires de services ou partenaires. Ces partenaires ont généralement accès aux environnements d'entreprise, tels que les portails fournisseurs et partenaires. En ajoutant leurs partenaires à leur liste de surveillance, les entreprises peuvent réduire considérablement les risques liés à l'interconnexion de leurs systèmes.

Contactez-nous ici pour en savoir plus sur la façon dont Swimlane et Recorded Future fonctionnent ensemble pour automatiser vos cas d'utilisation en matière de renseignement sur les menaces.

Intégration en vedette : Module d’intelligence d’identité future enregistré

Surveillance, évaluation et réponse aux fuites d'identifiants

En savoir plus