Configurés selon des objectifs prédéfinis, les exercices offensifs exploitent stratégiquement les vulnérabilités et les erreurs de configuration pour évaluer les capacités de détection et de réponse de votre environnement. Ils hiérarchisent les menaces auxquels sont exposés les actifs clés, à partir du contexte des chemins d’attaque et en fonction de la valeur de la réalisation de chaque objectif.
Les exercices peuvent viser les objectifs prédéfinis suivants :
- Compromettre un compte d’administrateur de domaine privilégié
- Compromettre le système qui contient des informations sur un client et extraire des données
- Accéder à un réseau segmenté critique
- Passer d’un environnement à l’autre pour accéder à une autre division critique
- Accéder à des informations sensibles
Un exercice offensif comprend plusieurs phases, qui sont décrites ci-dessous, afin de couvrir à la fois les périmètres externes et internes. Chaque phase reproduit non seulement le comportement des attaquants, mais aussi leurs tactiques, techniques et procédures (TTP).
1. Reconnaissance
Cette phase comporte en fait deux volets : la reconnaissance et le recensement. La reconnaissance consiste à rassembler toutes les informations pertinentes sur la cible et à déterminer la taille de la surface d’attaque dans le but de planifier les étapes suivantes. Le recensement concerne toutes les actions qui permettent d’identifier les ports et les services accessibles sur la surface d’attaque.
2. Intrusion initiale
Cette phase met en œuvre diverses techniques d’exploitation des vulnérabilités et d’hameçonnage visant à compromettre le réseau de l’organisation en obtenant l’accès à un système interne. Dans certains cas, des tests physiques peuvent être utilisés.
3. Persistance
La troisième phase consiste à maintenir l’accès au réseau.
4. Déplacement latéral
Il s’agit d’une phase critique en matière de détection des intrusions. L’auteur de la simulation tente alors de passer du système initialement compromis à d’autres systèmes du même environnement. Cette phase comprend également une étape de reconnaissance interne qui permettra d’acquérir une meilleure compréhension globale du réseau ciblé, ce qui génère généralement un bruit important qui pourra être détecté si des contrôles appropriés sont en place. L’exercice offensif vise uniquement les systèmes qui pourraient permettre de se rapprocher des objectifs prédéfinis.
5. Réalisation des objectifs prédéfinis
Alors que la phase de déplacement latéral simulé a permis d’accéder à d’autres systèmes clés pouvant eux-mêmes donner accès à des données précieuses, cette phase se concentresur la collecte de preuves et la démonstration de l’impact du chemin d’attaque enlien avec l’objectif prédéfini.
6. Nettoyage
Une fois le chemin d’attaque établi, l’opérateur de l’équipe offensive veille à ce que tous les artéfacts laissés par l’attaque soient supprimés.