Indications de risque
IBM® Verify Adaptive Access utilise les indicateurs de risque suivants pour gérer l'authentification adaptative continue.
Anomalie comportementale
Le système détecte s'il existe une différence par rapport aux modèles de comportement habituels de l'utilisateur ou de l'organisation. Par exemple, une anomalie dans le temps de connexion de l'utilisateur, en fonction de l'historique de connexion de l'utilisateur et des heures d'activité de l'organisation de l'utilisateur.
Nouvel appareil
Le système détecte si l'appareil est nouveau dans le compte. Un certain nombre d'indicateurs d'appareil sont examinés au cours de l'évaluation. Une modification importante sur un appareil, telle que le type de navigateur, y compris les navigateurs installés ou intégrés dans des applications natives sur des appareils mobiles, peut indiquer un nouvel appareil. En outre, les caractéristiques de l'appareil, telles que le type et les dimensions de l'écran, peuvent indiquer un nouvel appareil. Si l'appareil n'est pas nouveau et est fréquemment utilisé dans le compte, le comportement est considéré comme normal et le système n'émet pas d'alerte.
Appareil à risque
- Ancien
- est sur un périphérique de fraudeur connu
- a des attributs d'unité espion
- a d'autres conditions similaires
Connexion à risque
Le système détecte si la connexion de la session est terminée avec le service d'hébergement, tel que CyberGhost ou Hola.
Pour tenter une fraude, l'agresseur peut utiliser le service d'hébergement pour rester anonyme et éviter de montrer son adresse IP et son emplacement réels. Cet attribut est basé sur un calcul des adresses IP suspectes connues. Plus le nombre de sessions marquées comme frauduleuses est élevé, plus cette logique devient précieuse.
Nouvel emplacement
Le système détecte si l'emplacement de l'utilisateur est nouveau dans le compte. Il détecte également si cet emplacement n'est pas un changement d'emplacement fréquent dans le compte. Si l'emplacement est nouveau ou n'est pas un emplacement fréquent dans le compte, le système envoie une alerte. Si l'emplacement n'est pas nouveau et fréquemment utilisé dans le compte, le comportement est considéré comme normal et le système n'émet pas d'alerte.
Statut de l'authentification multi-facteur de l'appareil
- Nouveau (nouveau)
- Première observation de l'appareil dans le compte.
- MFA en attente (en attente d'authentification)
- Le système n'a pas identifié de résultat MFA de l'unité dans ce compte.
- MFA terminé (authentifié)
- L'unité a déjà réussi un challenge MFA.
Indication RAT
Le système a identifié la présence d'un outil d'accès à distance (RAT) dans la session en cours.