Dans mon dernier billet, j’ai souligné l’importance d’intégrer des exercices de simulation d’adversaire (purple team) à votre programme de cybersécurité, dans un contexte où les attaques sont de plus en plus sophistiquées et les ressources des pirates informatiques, quasi illimitées. La simulation d’adversaire est une forme hybride qui se situe entre l’exercice défensif (blue team) et l’exercice offensif (red team).
Il ne s’agit pas ici de supériorité d’un type d’exercice par rapport à un autre, mais simplement de différence dans l’approche. Dans ce billet, je me vais me concentrer sur mon domaine de spécialisation et d’intérêt personnel, les exercices offensifs.
Commençons par nous poser quelques questions.
- Vos solutions de cybersécurité sont-elles configurées pour vous alerter en temps voulu, vous et votre équipe de sécurité, en cas de cyberattaque sophistiquée visant votre réseau?
- Avez-vous vérifié si l’attaquant pouvait exploiter les vulnérabilités et les erreurs de configuration pour compromettre votre environnement?
- Peut-être plus important encore, êtes-vous en mesure de détecter qu’une attaque est en cours dans votre environnement?
Les exercices offensifs visent précisément à répondre à ces questions.
Penser offensif
Configurés selon des objectifs prédéfinis, les exercices offensifs exploitent stratégiquement les vulnérabilités et les erreurs de configuration pour évaluer les capacités de détection et de réponse de votre environnement. Ils hiérarchisent les menaces auxquels sont exposés les actifs clés, à partir du contexte des chemins d’attaque et en fonction de la valeur de la réalisation de chaque objectif.
Les exercices peuvent viser les objectifs prédéfinis suivants :
- Compromettre un compte d’administrateur de domaine privilégié
- Compromettre le système qui contient des informations sur un client et extraire des données
- Accéder à un réseau segmenté critique
- Passer d’un environnement à l’autre pour accéder à une autre division critique
- Accéder à des informations sensibles
Un exercice offensif comprend plusieurs phases, qui sont décrites ci-dessous, afin de couvrir à la fois les périmètres externes et internes. Chaque phase reproduit non seulement le comportement des attaquants, mais aussi leurs tactiques, techniques et procédures (TTP).
1. Reconnaissance
Cette phase comporte en fait deux volets : la reconnaissance et le recensement. La reconnaissance consiste à rassembler toutes les informations pertinentes sur la cible et à déterminer la taille de la surface d’attaque dans le but de planifier les étapes suivantes. Le recensement concerne toutes les actions qui permettent d’identifier les ports et les services accessibles sur la surface d’attaque.
2. Intrusion initiale
Cette phase met en œuvre diverses techniques d’exploitation des vulnérabilités et d’hameçonnage visant à compromettre le réseau de l’organisation en obtenant l’accès à un système interne. Dans certains cas, des tests physiques peuvent être utilisés.
3. Persistance
La troisième phase consiste à maintenir l’accès au réseau.
4. Déplacement latéral
Il s’agit d’une phase critique en matière de détection des intrusions. L’auteur de la simulation tente alors de passer du système initialement compromis à d’autres systèmes du même environnement. Cette phase comprend également une étape de reconnaissance interne qui permettra d’acquérir une meilleure compréhension globale du réseau ciblé, ce qui génère généralement un bruit important qui pourra être détecté si des contrôles appropriés sont en place. L’exercice offensif vise uniquement les systèmes qui pourraient permettre de se rapprocher des objectifs prédéfinis.
5. Réalisation des objectifs prédéfinis
Alors que la phase de déplacement latéral simulé a permis d’accéder à d’autres systèmes clés pouvant eux-mêmes donner accès à des données précieuses, cette phase se concentresur la collecte de preuves et la démonstration de l’impact du chemin d’attaque enlien avec l’objectif prédéfini.
6. Nettoyage
Une fois le chemin d’attaque établi, l’opérateur de l’équipe offensive veille à ce que tous les artéfacts laissés par l’attaque soient supprimés.
Résultats recherchés
En raison de leur complexité, les exercices offensifs s’étalent sur plusieurs semaines. N’oubliez pas que l’équipe offensive imite les TTP utilisées par les véritables auteurs de menaces : son objectif est de NE PAS être détectée. Au cours de l’exercice, chaque phase peut déclencher différents contrôles de sécurité et permettre à votre organisation de détecter l’attaque en cours.
Au début, une approche furtive et sophistiquée est utilisée. À la fin de l’exercice, le niveau de sophistication est réduit afin d’établir un seuil de détection qui deviendra le point de départ pour proposer des améliorations au système de détection. Nous vous fournirons ensuite un rapport de suivi avec des conseils clairs sur les mesures à prendre pour combler les lacunes relevées durant la tenue de l’exercice.
L’exécution en temps réel et l’aspect pratique des exercices offensifs facilitent le repérage des lacunes dans vos protocoles de détection actuels, ainsi que des vulnérabilités et des erreurs de configuration qui pourraient être utilisées pour compromettre plus facilement votre environnement. Une fois l’exercice terminé, vous aurez une meilleure compréhension de ce que vos capacités de détection et de réponse peuvent et ne peuvent pas faire, et cette connaissance fera toute la différence.
Loin d’être superflus, les exercices offensifs sont indispensables et doivent être effectués en continu. À quelle fréquence votre organisation les planifie-t-elle? Si vous avez besoin d’aide, nous avons les compétences et l’expérience nécessaires pour vous guider. Cliquez ici pour en savoir plus.
