Avant de parler de Red Teaming, nous parlerons des tests d’intrusion.
Lors d’un test d’intrusion, l’objectif est de rechercher des vulnérabilités sur un périmètre restreint et une période définie pour fournir des recommandations afin de les éliminer.
Pour faire face aux nouveaux enjeux de sécurité, les équipes doivent s’adapter et s’entraîner à la détection et à la réaction des incidents, sur un périmètre et une durée bien plus étendue que ceux des tests d’intrusion. De là est née la notion de RedTeam.
Les tests d’intrusion RedTeam ont pour objectif d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection. Ces moyens peuvent être de forme physique (intrusion dans les locaux de l’entreprise), humaine (tentative de vol d’identifiants via du social engineering) ou informatique (compromission de serveurs / postes de travail / réseau). Cet exercice peut s’étendre de plusieurs semaines, voire de plusieurs mois, en fonction de la taille de l’entreprise.
La RedTeam est donc une équipe de pentesteurs qui réalisent des attaques réalistes et discrètes contre l’entreprise. L’entreprise doit définir, en amont, les ressources critiques et les objectifs à atteindre (une sorte de Capture The Flag grandeur nature !). La RedTeam devra alors employer tous les moyens nécessaires à la réalisation de ces objectifs.
Cela peut aller de la compromission d’un serveur afin d’atteindre les fichiers RH de l’entreprise, d’attaque de type phishing pour compromettre un compte VIP ou de cloner un badge collaborateur pour s’introduire dans les locaux de la société et installer un équipement malveillant (sniffer, keylogger, Rubber Ducky etc.). Tous les coups sont permis … ou presque. En effet les modalités des tests seront, comme les objectifs, définis avec le commanditaire de l’exercice (interdire les attaques DDOS, interdire les attaques de certaines ressources jugées trop sensibles, etc.).
La notion de discrétion est aussi très importante. En effet réaliser plusieurs attaques en quelques heures, ou espacées de plusieurs semaines, permettra d’éviter de passer sous le radar des différentes sondes type IDS/IPS.
La BlueTeam
On parlera rarement de RedTeam sans parler de BlueTeam. La BlueTeam est l’équipe de défense de l’entreprise (généralement les équipes Sécurité et le SOC s’il existe 😊). Leur objectif est d’œuvrer en harmonie afin d’intervenir et de gérer les incidents liés aux cyberattaques.
Dans un exercice RedTeam la période du test d’intrusion étant très grande et sachant que les équipes BlueTeam ne savent pas quand l’attaque sera réalisée, ni sous quelle forme, complique grandement la tâche des défenseurs et rend l’exercice encore plus réaliste (et stressant ).
Quel est l’intérêt pour mon entreprise ?
L’intérêt des exercices BlueTeam/RedTeam n’est pas de lister l’ensemble des vulnérabilités présentes sur un périmètre restreint mais plutôt d’évaluer la capacité de détection et de réponse aux incidents de la BlueTeam.
Ils permettent également d’entraîner les équipes de défense à réagir face à des cyberattaques réfléchies, concrètes, réparties dans le temps et mixant attaques physiques (intrusions physiques des locaux), sociales (social engineering, phishing) et distantes (pentest).
Suite à un exercice BlueTeam/RedTeam les équipes sécurité/SOC pourront se poser les bonnes questions afin d’améliorer le niveau de sécurité de l’entreprise :
Quels journaux d’évènements (log) manquant m’auraient permis d’anticiper cette attaque ?
Quelles règles de corrélation de logs auraient pu améliorer la détection de l’attaque ?
Est-ce que nous collectons suffisamment de log ? Est-ce les plus importants ?
Quel mécanisme de sécurité supplémentaire aurait permis de détecter cette attaque ?
Est-ce qu’il ne serait pas judicieux de changer nos badges d’accès pour une technologie plus sécurisée ?
Etc.
Vivre une expérience de cyberattaque protéiforme, tenter de la contrer et d’y remédier, est le meilleur entraînement que les équipes de défense de l’entreprise puissent bénéficier.
Et la PurpleTeam dans tout ça ?
Oubliez vos idées farfelues comme des attaques par jet d’aubergines ou autres.
La PurpleTeam est en fait un mix de la RedTeam et de la BlueTeam. Il s’agit d’une collaboration étroite entre attaquants et défenseurs où la RedTeam pose des « défis » d’attaques que la BlueTeam se doit de résoudre. A la fin de chaque défis les deux équipes échangent sur l’attaque et les différentes manières de la bloquer.
La PurpleTeam permet d’améliorer le niveau de sécurité de l’entreprise, mais aussi et surtout de perfectionner les aptitudes « Cyberattaque » de la BlueTeam et de l’autre côté d’améliorer la connaissance de la RedTeam vis-à-vis des mécanismes de défense de l’entreprise.
Yoann
Comentarios