Blocage des utilisateurs en fonction des menaces
Luttez de manière proactive contre les attaques en cours en utilisant des politiques d'accès basées sur les menaces pour bloquer automatiquement les utilisateurs suspects, et en étendant les protections basées sur les adresses IP à une application au niveau de l'utilisateur pendant le processus d'authentification unique (SSO).
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur. Pour plus d'informations, consultez la page « Accéder à IBM Verify ».
A propos de cette tâche
Les pirates procèdent actuellement à l'enregistrement massif de dispositifs d'authentification multifactorielle (OTP par voix ou SMS) pour des utilisateurs situés dans de nombreuses régions, ce qui oblige les clients à désactiver manuellement les comptes compromis identifiés par le service de détection des menaces. Bien que le blocage par adresse IP soit possible, il n'existe aucun moyen automatisé d'empêcher l'accès aux utilisateurs suspects. Un mécanisme de blocage au niveau de l'utilisateur pendant le processus d'authentification unique (SSO) est nécessaire pour combler cette lacune.
Le service Threat Intelligence (TI) a été amélioré pour inclure les données userId issues de la session SSO en cours, ce qui permet de déterminer si l'utilisateur authentifié présente un comportement suspect.
Un nouvel attribut personnalisé est créé pour le flux SSO : ibm:threat_is_suspicious_user. Il s'apparente aux attributs personnalisés existants liés aux menaces et est disponible tout au long du processus d'authentification unique (SSO).
Procédure
Que faire ensuite
- Lorsqu'un utilisateur se connecte à IBM Verify et tente d'accéder à l'application, le service Threat Intelligence (TI) évalue si cet utilisateur présente un risque.
- Si l'utilisateur est jugé suspect, il est alors bloqué ou soumis à une authentification multifactorielle (MFA), selon l'action définie dans la règle de la politique d'accès.
- Si l'utilisateur ne suscite aucun soupçon, il est autorisé à accéder à l'application.