Indications de risque

IBM® Verify Adaptive Access utilise les indicateurs de risque suivants pour gérer l'authentification adaptative continue.

Anomalie comportementale

Le système détecte s'il existe une différence par rapport aux modèles de comportement habituels de l'utilisateur ou de l'organisation. Par exemple, une anomalie dans le temps de connexion de l'utilisateur, en fonction de l'historique de connexion de l'utilisateur et des heures d'activité de l'organisation de l'utilisateur.

Nouvel appareil

Le système détecte si l'appareil est nouveau dans le compte. Un certain nombre d'indicateurs d'appareil sont examinés au cours de l'évaluation. Une modification importante sur un appareil, telle que le type de navigateur, y compris les navigateurs installés ou intégrés dans des applications natives sur des appareils mobiles, peut indiquer un nouvel appareil. En outre, les caractéristiques de l'appareil, telles que le type et les dimensions de l'écran, peuvent indiquer un nouvel appareil. Si l'appareil n'est pas nouveau et est fréquemment utilisé dans le compte, le comportement est considéré comme normal et le système n'émet pas d'alerte.

Appareil à risque

Le système détecte si la version du navigateur utilisée dans la session est risquée. Une version de navigateur peut être risquée car elle
  • Ancien
  • est sur un périphérique de fraudeur connu
  • a des attributs d'unité espion
  • a d'autres conditions similaires
Pour tenter une fraude, un agresseur peut utiliser une ancienne version du navigateur qui est différente du navigateur de l'utilisateur légitime. Ces navigateurs, notamment les anciennes versions d'Internet Explorer, sont moins sécurisés et plus à risque que les versions plus récentes du navigateur.

Connexion à risque

Le système détecte si la connexion de la session est terminée avec le service d'hébergement, tel que CyberGhost ou Hola.

Pour tenter une fraude, l'agresseur peut utiliser le service d'hébergement pour rester anonyme et éviter de montrer son adresse IP et son emplacement réels. Cet attribut est basé sur un calcul des adresses IP suspectes connues. Plus le nombre de sessions marquées comme frauduleuses est élevé, plus cette logique devient précieuse.

Nouvel emplacement

Le système détecte si l'emplacement de l'utilisateur est nouveau dans le compte. Il détecte également si cet emplacement n'est pas un changement d'emplacement fréquent dans le compte. Si l'emplacement est nouveau ou n'est pas un emplacement fréquent dans le compte, le système envoie une alerte. Si l'emplacement n'est pas nouveau et fréquemment utilisé dans le compte, le comportement est considéré comme normal et le système n'émet pas d'alerte.

Statut de l'authentification multi-facteur de l'appareil

Le système définit le statut d'authentification de l'unité en cours dans la portée du compte, en fonction des informations reçues dans les connexions en cours et précédentes. Cette zone peut contenir l'une des valeurs suivantes :
Nouveau (nouveau)
Première observation de l'appareil dans le compte.
MFA en attente (en attente d'authentification)
Le système n'a pas identifié de résultat MFA de l'unité dans ce compte.
MFA terminé (authentifié)
L'unité a déjà réussi un challenge MFA.

Indication RAT

Le système a identifié la présence d'un outil d'accès à distance (RAT) dans la session en cours.