Blocage des utilisateurs en fonction des menaces

Luttez de manière proactive contre les attaques en cours en utilisant des politiques d'accès basées sur les menaces pour bloquer automatiquement les utilisateurs suspects, et en étendant les protections basées sur les adresses IP à une application au niveau de l'utilisateur pendant le processus d'authentification unique (SSO).

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur. Pour plus d'informations, consultez la page « Accéder à IBM Verify ».

A propos de cette tâche

Les pirates procèdent actuellement à l'enregistrement massif de dispositifs d'authentification multifactorielle (OTP par voix ou SMS) pour des utilisateurs situés dans de nombreuses régions, ce qui oblige les clients à désactiver manuellement les comptes compromis identifiés par le service de détection des menaces. Bien que le blocage par adresse IP soit possible, il n'existe aucun moyen automatisé d'empêcher l'accès aux utilisateurs suspects. Un mécanisme de blocage au niveau de l'utilisateur pendant le processus d'authentification unique (SSO) est nécessaire pour combler cette lacune.

Le service Threat Intelligence (TI) a été amélioré pour inclure les données userId issues de la session SSO en cours, ce qui permet de déterminer si l'utilisateur authentifié présente un comportement suspect.

Un nouvel attribut personnalisé est créé pour le flux SSO : ibm:threat_is_suspicious_user. Il s'apparente aux attributs personnalisés existants liés aux menaces et est disponible tout au long du processus d'authentification unique (SSO).

Procédure

  1. Connectez-vous en tant qu'administrateur sur IBM Verify. Cliquez sur l'icône de profil, puis sur « Passer en mode administrateur ».
  2. Sélectionnez Sécurité > Politiques d'accès. Créer ou mettre à jour une politique d'accès existante.
    • ibm:threat_is_suspicious_userDéfinissez les règles de stratégie (SSO) à l'aide de l 'attribut « Custom ». Par exemple :

      Condition : la valeur de ibm:threat_is_suspicious_user est « true »

      Action : bloquer, imposer l'authentification à deux facteurs ou autoriser

  3. Enregistrez et publiez la politique d'accès.
  4. Sélectionnez Applications > Paramètres de l'application > Connexion, puis ajoutez cette stratégie à l'application sélectionnée.

Que faire ensuite

  • Lorsqu'un utilisateur se connecte à IBM Verify et tente d'accéder à l'application, le service Threat Intelligence (TI) évalue si cet utilisateur présente un risque.
  • Si l'utilisateur est jugé suspect, il est alors bloqué ou soumis à une authentification multifactorielle (MFA), selon l'action définie dans la règle de la politique d'accès.
  • Si l'utilisateur ne suscite aucun soupçon, il est autorisé à accéder à l'application.