Semperis annonce la sortie de Lightning Identity Runtime Protection (IRP), une nouvelle offre de détection et de réponse aux menaces identitaires (ITDR). Cette solution repose sur des modèles de machine learning développés par des experts en sécurité de l’identité pour détecter des schémas d’attaques répandus et réussis comme la pulvérisation de mots de passe, le bourrage d’identifiant, d’autres attaques par force brute et des anomalies à risque. Première offre de la plateforme SemperisLightning™, IRP apporte un contexte identitaire critique à la détection des schémas d’attaque et des anomalies. Elle permet ainsi aux entreprises de repérer les événements à haut risque et de les résoudre rapidement.

Lightning IRP répond à un problème persistant auquel les cyberdéfenseurs sont confrontés : les modèles connus d’attaques d’identité, comme la pulvérisation de mots de passe, restent particulièrement efficaces, car il est très difficile de détecter et résoudre le volume et le bruit du signal.

L’utilisation d’algorithmes dont l’entrainement se base sur l’expérience réelle de Semperis en matière de réponse aux attaques d’identité et le soutien aux plus grandes entreprises et agences gouvernementales du monde permet à Lightning IRP de détecter les attaques d’identité sophistiquées que les solutions ML traditionnelles ignorent. Lightning IRP permet aux cyberdéfenseurs de se concentrer sur les alertes d’attaques d’identité les plus critiques tout en réduisant le bruit grâce à la superposition d’un tissu de risque d’identité qui récupère des informations de diverses sources, y compris :

– 1. Les données de suivi des modifications de l’annuaire dans les environnements hybrides Active Directory et Entra ID.

– 2. Des centaines d’indicateurs de sécurité inhérents à l’exposition et la compromission, régulièrement mis à jour par l’équipe de recherche sur les menaces liées à l’identité de Semperis.

– 3. Une analyse du chemin d’attaque de niveau 0 pour cartographier les relations à risque avec les groupes privilégiés ayant accès aux données sensibles.

« il est relativement facile de détecter une anomalie », déclare Mickey Bresman, PDG de Semperis. « Le défi consiste à la replacer dans son contexte. En combinant une expertise approfondie en matière de machine learning à notre connaissance de première main sur le fonctionnement des attaques réelles des systèmes d’identité, nous fournissons un contexte significatif qui aide les entreprises à isoler et à traiter les menaces à haut risque. »

« IRP utilise une bibliothèque grandissante d’expositions, de compromissions et de modèles d’attaques en parallèle avec un flux continu de données de sécurité des identités pour offrir une réponse efficace aux menaces du système d’identité nettement plus rapidement », déclare le Dr Igor Baikalov, responsable scientifique chez Semperis. Avant de rejoindre Semperis, il a dirigé le développement de solutions d’intelligence de sécurité et d’analyse des risques au sein de la Bank of America.

« Identity Runtime Protection se concentre sur plusieurs cas d’utilisation, dont les connexions anormales et les anomalies des tickets de service, qui constituent un réel problème depuis des années, car leur détection et leur résolution à grande échelle est complexe », déclare le Dr Baikalov.

Lightning IRP capture, analyse et relie les activités d’authentification avec les renseignements sur les menaces d’identité de Semperis pour détecter des schémas d’attaque connus ou signaler des comportements malveillants. Par exemple :

– Attaques par pulvérisation de mot de passe : surveillance des tentatives d’ouvertures de session pour détecter les schémas indiquant une tentative par pulvérisation de mot de passe.

– Attaques par force brute : surveillance des tentatives de connexion répétées et rapides contre un seul utilisateur afin de détecter les attaques potentielles par force brute.

– Connexions anormales : recherche des anomalies de connexion des utilisateurs indiquant une attaque de connexion anormale sur AD.

– Accès anormal aux ressources : surveillance de l’activité d’un utilisateur et de toutes les interactions avec les services indiquant une attaque contre les services AD.

– Anomalies au niveau des tickets de service : recherche de demandes suspectes concernant les tickets de service qui indiquent une attaque par Kerberoasting sur AD.

« Lightning IRP renfornce nos offres actuelles d’analyse pré-attaque pour fournir des indicateurs d’exposition et de compromission et sur notre capacité à détecter les modifications apparaissant dans Active Directory et dans Entra ID », déclare Darren Mar-Elia, vice-président des produits chez Semperis. « Nous étendons nos capacités de détection de modèles d’attaques en direct et faisons ainsi évoluer la façon dont l’industrie se sert du machine learning pour détecter les cyberattaques. »