Red Teaming : de quoi parle-t-on ?
Avant de parler de Red Teaming, il est intéressant d’évoquer le test d’intrusion, ainsi que l’évolution des méthodes d’attaques qui conduisent les équipes de sécurité à réinventer leurs techniques de défense.
Lors de la réalisation d’un pentest, on va rechercher les vulnérabilités sur un périmètre souvent contraint ; que ce soit une faille de sécurité au sein d’une application, ou encore un défaut de configuration du domaine Windows, l’idée est de remonter des vulnérabilités et de fournir des recommandations sur un périmètre précis au commanditaire, dans un temps maîtrisé, avec une prédictibilité importante sur les actions de l’auditeur.
Lorsque nous avons créé l’offre Red Teaming, il y a environ 3 ans, c’était avant tout pour répondre aux nouveaux enjeux de sécurité des entreprises. Avec l’évolution des TTP (techniques, outils et procédures), en particulier le schéma APT (Advanced Persistent Threat), et la montée en compétence des cybercriminels, les équipes de sécurité des entreprises doivent s’adapter et s’entraîner à la détection et à la réaction aux incidents sur un périmètre et une durée bien plus étendus.
L’approche Red Teaming est fondée sur l’idée que nul n’est à l’abri de subir une attaque utilisant des méthodes d’attaques ciblées et qu’une évaluation doit se faire en considérant des paramètres réalistes, sans introduire un prisme réducteur dès le démarrage : minimiser les contraintes sur la méthode, sur le périmètre, sur le temps. C’est l’objectif qui prime ; La sécurité d’une entreprise doit aussi considérer une logique Assume-breach, selon laquelle le système d’information est déjà compromis ou le sera inévitablement.
Lorsque l’on réalise un Red Teaming, on commence par identifier les actifs les plus sensibles de l’entreprise ayant un impact fort sur celle-ci et qu’il est donc impératif de protéger (ce que l’on appelle les Trophées). Puis, notre Red Team tente d’atteindre ces derniers via différents scénarios de compromission, en étant le plus discret possible et en s’efforçant de ne pas se faire détecter par les équipes de défense du client (la Blue Team).
L’idée ici n’est pas de lister l’ensemble des vulnérabilités présentes sur un périmètre bien défini, comme dans le cadre d’un pentest, mais plutôt d’évaluer la capacité de détection et de réponse sur incidents de la Blue Team, et d’entraîner cette dernière à réagir face à des cyberattaques concrètes, diluées dans le temps et mixant attaque physique, sociale et logique.
Nous sommes convaincus que connaître et vivre l’impact simulé d’une cyberattaque, puis tenter d’y remédier, est le meilleur entraînement que les équipes de défense d’une organisation puissent avoir.
Pour en savoir plus sur nos offres, n’hésitez pas à vous inscrire à notre newsletter bimensuelle.
Le client peut-il définir une limite à ne pas franchir dans le cadre d’un Red Teaming ?
Bien sûr. Au même titre que pour un test d’intrusion traditionnel, cette approche peut soulever des craintes au regard des scénarios de compromission et des données sensibles à récupérer. Nous fixons donc dès le début des échanges avec le client des limites à ne pas dépasser.
Quatre règles d’or principales sont suivies à la lettre par notre Red Team : nous ne provoquons pas de perturbation de l’activité de nos clients au-delà de ce qu’il a accepté au préalable, nous ne réduisons pas le niveau de sécurité en place, nous n’accédons pas aux données personnelles des collaborateurs de l’entreprise visée, et enfin nous n’appliquons pas d’action irréversible. L’exercice vise à tester réellement le processus de réponse à incident, et la capacité de détection.
Par exemple, si un trophée concerne les données sensibles, selon les règles d’engagement elles peuvent être exfiltrées de manière sécurisée ou simplement consultées. Si l’exfiltration de données stratégiques n’est pas souhaitée, des marqueurs peuvent être déposés pour illustrer et valider un scénario de compromission.
Quelle est la valeur d’un Red Teaming pour la sécurité d’une entreprise ?
Le Red Teaming s’adresse à des entreprises matures souhaitant challenger leurs équipes de défense, ou ayant besoin d’un changement d’approche dans leur évaluation. Notre démarche tire sa force de la complémentarité de nos différents pôles.
Des exercices de Purple Teaming sont réalisés en interne entre nos activités de défense (SOC, CERT), et Red Team. Chacun tire profit des expertises en attaque, défense et accompagnement des différentes équipes, afin d’améliorer en permanence les schémas de détection, et l’efficacité des techniques d’intrusion et d’évasion.
De plus, le CERT-Intrinsec est en mesure de fournir des TTP (Tactiques, outils et procédures) issus de l’observation d’activités malveillantes réelles, ou de missions de veille alignées avec la matrice Mitre, et qui donnent des informations techniques pour la réalisation de scénarios d’attaque.
D’autre part, notre cellule de Cyber Threat Intelligence apporte des informations sur des fuites de données sensibles concrètes, qui pourraient impacter un client du service de Red Teaming et que l’on pourrait exploiter dans la réalisation d’un scénario de compromission. Enfin, grâce à la cartographie et au monitoring de la Cyber Threat Intelligence, nous pouvons remonter rapidement au client des données sensibles le concernant (identifiants de connexion, URLs serveur…) et exploiter une conjoncture particulière sur la durée de la mission.
Retours d’expérience Red Teaming : Récupération des actifs sensibles
de 3 entreprises via des scénarios de compromission
Si vous souhaitez en savoir plus sur nos scénarios de compromission dans le cadre d’un Red Teaming, n’hésitez pas à consulter notre article Retours d’expérience, ou bien à nous contacter directement : contact@intrinsec.com
Quelles sont les approches Red Team proposées par Intrinsec ?
Le Red Teaming est un service sur mesure, qui se construit en fonction des enjeux du client. Nous proposons donc différentes approches :
L’approche Full Red Team : nous partons uniquement du nom du client et des trophées à récupérer.
L’approche Assume Breach : le client nous donne un accès initial (accès aux locaux, exécution d’un programme), puis nous tentons de récupérer les trophées via cet accès.
L’approche Story Line : nous récupérons des trophées via les scénarios de compromission les plus redoutés du client (spear phishing, intrusion physique…)
L’approche Serious Game : ce mode est très intéressant et stimulant pour entraîner les équipes de défense. C’est une approche ludique entre la Red Team et les équipes opérationnelles côté clients (la Blue Team), pour laquelle cette dernière a connaissance de l’exercice à venir. L’objectif de la Blue Team est de détecter notre intrusion, reconstruire le scénario d’attaque et revenir à l’état initial. Si la Blue Team a du mal à débloquer une situation, nous lui fournissons des indices (comme des adresses IP, des IOC…).
Notre objectif n’est pas de mettre les équipes de sécurité dans l’embarras, mais au contraire de se positionner en tant que partenaire et de les aider à améliorer leur sécurité de manière continue.
Cette approche peut être gamifiée dans une logique de CTF (Capture the flag : mode de jeu par équipe), de concours dans le temps en fonction des succès des uns ou des autres.
N’hésitez pas à contacter notre équipe si vous avez des questions, ou si vous avez besoin de renseignements complémentaires à : contact@intrinsec.com