Source : Acunetix
Red Teaming est une simulation complexe d'attaques réelles afin d'évaluer la cybersécurité des systèmes. "Red Team" est un groupe (spécialistes réalisant un test d'intrusion dans le système). Ils peuvent être embauchés de l'extérieur ou des employés de votre organisation, mais dans tous les cas, leur rôle est le même - imiter les actions des intrus et tenter de pénétrer votre système.
Outre les « équipes rouges » en matière de cybersécurité, il en existe un certain nombre d'autres. Par exemple, la Blue Team collabore avec la Red Team, mais ses activités visent à améliorer la sécurité de l'infrastructure du système de l'intérieur. L'équipe violette est le lien, aidant les deux autres équipes à développer des stratégies d'attaque et de défense. Cependant, le redtiming est l'une des méthodes les moins comprises de gestion de la cybersécurité, et de nombreuses organisations restent réticentes à adopter cette pratique.
Dans cet article, nous allons vous expliquer en détail ce qui se cache derrière le concept de Red Teaming, et comment la mise en place de pratiques complexes de simulation d'attaques réelles peut contribuer à améliorer la sécurité de votre organisation. Le but de cet article est de montrer comment cette méthode peut augmenter significativement la sécurité de vos systèmes d'information.
Présentation de l'équipe rouge
Bien qu'à notre époque, les équipes "rouges" et "bleues" soient principalement associées au domaine des technologies de l'information et de la cybersécurité, ces concepts ont été forgés par les militaires. En général, c'est dans l'armée que j'ai entendu parler pour la première fois de ces concepts. Travailler comme analyste en cybersécurité dans les années 1980 était très différent d'aujourd'hui : l'accès aux systèmes informatiques cryptés était beaucoup plus restreint qu'il ne l'est aujourd'hui.
Sinon, ma première expérience des jeux de guerre - simulation, simulation et interaction - était très similaire au processus de simulation d'attaque complexe d'aujourd'hui, qui a trouvé sa place dans la cybersécurité. Comme aujourd'hui, une grande attention a été accordée à l'utilisation de méthodes d'ingénierie sociale pour convaincre les employés de donner à «l'ennemi» un accès abusif aux systèmes militaires. Par conséquent, bien que les méthodes techniques de simulation d'attaque aient considérablement progressé depuis les années 80, il convient de noter que bon nombre des principaux outils de l'approche contradictoire, et en particulier les techniques d'ingénierie sociale, sont largement indépendants de la plate-forme.
La valeur fondamentale de l'imitation complexe d'attaques réelles n'a pas non plus changé depuis les années 80. En simulant une attaque sur vos systèmes, il vous est plus facile de découvrir les vulnérabilités et de comprendre comment elles peuvent être exploitées. Et alors que le redteaming était principalement utilisé par les hackers white hat et les professionnels de la cybersécurité à la recherche de vulnérabilités par le biais de tests de pénétration, il est maintenant devenu plus largement utilisé dans la cybersécurité et les entreprises.
La clé du redtiming est de comprendre que vous ne pouvez pas vraiment vous faire une idée de la sécurité de vos systèmes tant qu'ils ne sont pas attaqués. Et au lieu de vous exposer au risque d'être attaqué par de vrais attaquants, il est beaucoup plus sûr de simuler une telle attaque avec une commande rouge.
Red Teaming : cas d'utilisation
Un moyen simple de comprendre les bases du redtiming est de regarder quelques exemples. En voici deux :
- Scénario 1. Imaginez qu'un site de service client ait été testé et testé avec succès. Il semblerait que cela suggère que tout est en ordre. Cependant, plus tard, lors d'une simulation d'attaque complexe, l'équipe rouge découvre que même si l'application de service client elle-même est correcte, la fonction de chat tierce ne peut pas identifier avec précision les personnes, ce qui permet d'inciter les représentants du service client à changer leur adresse e-mail. . dans le compte (à la suite de quoi une nouvelle personne, un attaquant, peut y accéder).
- Scénario 2. À la suite de tests d'intrusion, tous les contrôles VPN et d'accès à distance se sont avérés sécurisés. Cependant, le représentant de "l'équipe rouge" passe librement devant le bureau d'inscription et sort l'ordinateur portable d'un des employés.
Dans les deux cas ci-dessus, "l'équipe rouge" vérifie non seulement la fiabilité de chaque système individuel, mais également l'ensemble du système dans son ensemble pour détecter les faiblesses.
Qui a besoin d'une simulation d'attaque complexe ?
En un mot, presque toutes les entreprises peuvent bénéficier du redtiming. Comme montré , un nombre effroyablement élevé d'organisations croient à tort qu'elles ont un contrôle total sur leurs données. Nous avons constaté, par exemple, qu'en moyenne 22 % des dossiers d'une entreprise sont accessibles à chaque employé et que 87 % des entreprises ont plus de 1000 XNUMX fichiers sensibles obsolètes sur leurs systèmes.
Si votre entreprise n'est pas dans l'industrie de la technologie, il peut sembler que le redtiming ne vous fera pas beaucoup de bien. Mais ce n'est pas. La cybersécurité ne consiste pas seulement à protéger les informations confidentielles.
Les malfaiteurs tentent également de s'emparer des technologies quel que soit le domaine d'activité de l'entreprise. Par exemple, ils peuvent chercher à accéder à votre réseau afin de dissimuler leurs actions pour prendre le contrôle d'un autre système ou réseau ailleurs dans le monde. Avec ce type d'attaque, les attaquants n'ont pas besoin de vos données. Ils veulent infecter vos ordinateurs avec des logiciels malveillants afin de transformer votre système en un groupe de botnets avec leur aide.
Pour les petites entreprises, il peut être difficile de trouver des ressources à racheter. Dans ce cas, il est logique de confier ce processus à un entrepreneur externe.
Équipe rouge : recommandations
Le moment et la fréquence optimaux pour le redtiming dépendent du secteur dans lequel vous travaillez et de la maturité de vos outils de cybersécurité.
En particulier, vous devriez avoir des activités automatisées telles que l'exploration des actifs et l'analyse des vulnérabilités. Votre organisation doit également combiner une technologie automatisée avec une surveillance humaine en effectuant régulièrement des tests d'intrusion complets.
Après avoir terminé plusieurs cycles commerciaux de tests d'intrusion et trouvé des vulnérabilités, vous pouvez procéder à une simulation complexe d'une attaque réelle. A ce stade, le redtiming vous apportera des bénéfices tangibles. Cependant, essayer de le faire avant d'avoir mis en place les bases de la cybersécurité n'apportera pas de résultats tangibles.
Une équipe chapeau blanc est susceptible de pouvoir compromettre un système non préparé si rapidement et facilement que vous obtenez trop peu d'informations pour prendre d'autres mesures. Pour avoir un effet réel, les informations obtenues par la "red team" doivent être comparées aux précédents tests d'intrusion et évaluations de vulnérabilité.
Qu'est-ce qu'un test d'intrusion ?
L'imitation complexe d'une attaque réelle (Red Teaming) est souvent confondue avec , mais les deux méthodes sont légèrement différentes. Plus précisément, les tests d'intrusion ne sont qu'une des méthodes de redtiming.
Le rôle d'un pentester . Le travail des pentesters est divisé en quatre étapes principales : la planification, la découverte d'informations, l'attaque et le signalement. Comme vous pouvez le voir, les pentesters font plus que simplement rechercher des vulnérabilités logicielles. Ils essaient de se mettre à la place des pirates, et une fois qu'ils pénètrent dans votre système, leur véritable travail commence.
Ils découvrent des vulnérabilités puis effectuent de nouvelles attaques en fonction des informations reçues, en se déplaçant dans la hiérarchie des dossiers. C'est ce qui distingue les testeurs d'intrusion de ceux qui sont embauchés uniquement pour trouver des vulnérabilités, à l'aide d'un logiciel d'analyse de ports ou d'une détection de virus. Un pentester expérimenté peut déterminer :
- où les pirates peuvent diriger leur attaque ;
- la façon dont les pirates attaqueront ;
- Comment va se comporter votre défense ?
- l'étendue possible de la violation.
Les tests d'intrusion visent à identifier les faiblesses au niveau de l'application et du réseau, ainsi que les opportunités de surmonter les barrières de sécurité physiques. Alors que les tests automatisés peuvent révéler certains problèmes de cybersécurité, les tests d'intrusion manuels tiennent également compte de la vulnérabilité d'une entreprise aux attaques.
Équipe Rouge vs. tests de pénétration
Sans aucun doute, les tests d'intrusion sont importants, mais ce n'est qu'une partie d'une série d'activités de redtiming. Les activités de la "red team" ont des objectifs beaucoup plus larges que celles des pentesters, qui cherchent souvent simplement à accéder au réseau. L'équipe rouge implique souvent plus de personnes, de ressources et de temps, car l'équipe rouge creuse profondément pour comprendre pleinement le véritable niveau de risque et de vulnérabilité de la technologie et des actifs humains et physiques de l'organisation.
De plus, il existe d'autres différences. Le redtiming est généralement utilisé par les organisations disposant de mesures de cybersécurité plus matures et avancées (bien que ce ne soit pas toujours le cas dans la pratique).
Ce sont généralement des entreprises qui ont déjà effectué des tests d'intrusion et corrigé la plupart des vulnérabilités trouvées et qui recherchent maintenant quelqu'un qui peut essayer à nouveau d'accéder à des informations sensibles ou de briser la protection de quelque manière que ce soit.
C'est pourquoi redtiming s'appuie sur une équipe d'experts en sécurité concentrés sur un objectif précis. Ils ciblent les vulnérabilités internes et utilisent des techniques d'ingénierie sociale électroniques et physiques sur les employés de l'organisation. Contrairement aux pentesters, les équipes rouges prennent leur temps lors de leurs attaques, voulant éviter la détection comme le ferait un vrai cybercriminel.
Avantages de l'équipe rouge
La simulation complexe d'attaques réelles présente de nombreux avantages, mais surtout, cette approche vous permet d'obtenir une image complète du niveau de cybersécurité d'une organisation. Un processus d'attaque simulé typique de bout en bout comprendrait des tests d'intrusion (réseau, application, téléphone mobile et autre appareil), l'ingénierie sociale (en direct sur site, appels téléphoniques, e-mails ou SMS et chat) et une intrusion physique. (casser les serrures, détecter les zones mortes des caméras de sécurité, contourner les systèmes d'alerte). S'il existe des vulnérabilités dans l'un de ces aspects de votre système, elles seront détectées.
Une fois les vulnérabilités trouvées, elles peuvent être corrigées. Une procédure de simulation d'attaque efficace ne s'arrête pas à la découverte de vulnérabilités. Une fois les failles de sécurité clairement identifiées, vous devrez travailler à les corriger et à les retester. En fait, le vrai travail commence généralement après une intrusion de l'équipe rouge, lorsque vous analysez l'attaque et tentez d'atténuer les vulnérabilités trouvées.
En plus de ces deux principaux avantages, le redtiming en offre également un certain nombre d'autres. Ainsi, "l'équipe rouge" peut :
- identifier les risques et les vulnérabilités aux attaques dans les principaux actifs d'information de l'entreprise ;
- simuler les méthodes, tactiques et procédures de véritables attaquants dans un environnement à risque limité et maîtrisé ;
- Évaluer la capacité de votre organisation à détecter, répondre et prévenir les menaces complexes et ciblées ;
- Encourager une collaboration étroite avec les services de sécurité et les équipes bleues pour fournir une atténuation significative et organiser des ateliers pratiques complets suite aux vulnérabilités découvertes.
Comment fonctionne Red Team ?
Une excellente façon de comprendre comment fonctionne le redtiming est de regarder comment cela fonctionne habituellement. Le processus habituel de simulation d'attaque complexe se compose de plusieurs étapes :
- L'organisation est d'accord avec "l'équipe rouge" (interne ou externe) sur le but de l'attaque. Par exemple, un tel objectif pourrait être de récupérer des informations sensibles à partir d'un serveur particulier.
- Ensuite, "l'équipe rouge" effectue une reconnaissance de la cible. Le résultat est un diagramme des systèmes cibles, y compris les services réseau, les applications Web et les portails internes des employés. .
- Après cela, les vulnérabilités sont recherchées dans le système cible, qui sont généralement mises en œuvre à l'aide d'attaques de phishing ou XSS. .
- Une fois les jetons d'accès obtenus, l'équipe rouge les utilise pour enquêter sur d'autres vulnérabilités. .
- Lorsque d'autres vulnérabilités seront découvertes, "l'équipe rouge" cherchera à augmenter son niveau d'accès au niveau nécessaire pour atteindre l'objectif. .
- Lors de l'accès aux données ou à l'actif cible, la tâche d'attaque est considérée comme terminée.
En fait, un spécialiste expérimenté de l'équipe rouge utilisera un grand nombre de méthodes différentes pour franchir chacune de ces étapes. Cependant, l'essentiel à retenir de l'exemple ci-dessus est que de petites vulnérabilités dans des systèmes individuels peuvent se transformer en pannes catastrophiques si elles sont enchaînées.
Que faut-il considérer lorsqu'on se réfère à "l'équipe rouge" ?
Pour tirer le meilleur parti du redtiming, vous devez vous préparer soigneusement. Les systèmes et processus utilisés par chaque organisation sont différents, et le niveau de qualité du redtiming est atteint lorsqu'il vise à trouver des vulnérabilités dans vos systèmes. Pour cette raison, il est important de considérer un certain nombre de facteurs :
Tu sais ce que tu cherches
Tout d'abord, il est important de comprendre quels systèmes et processus vous souhaitez vérifier. Peut-être savez-vous que vous voulez tester une application Web, mais vous ne comprenez pas très bien ce que cela signifie vraiment et quels autres systèmes sont intégrés à vos applications Web. Par conséquent, il est important que vous ayez une bonne compréhension de vos propres systèmes et que vous corrigiez toutes les vulnérabilités évidentes avant de commencer une simulation complexe d'une attaque réelle.
Connaissez votre réseau
Ceci est lié à la recommandation précédente, mais concerne davantage les caractéristiques techniques de votre réseau. Mieux vous pourrez quantifier votre environnement de test, plus votre équipe rouge sera précise et spécifique.
Connaissez votre budget
Le redtiming peut être effectué à différents niveaux, mais simuler l'ensemble des attaques sur votre réseau, y compris l'ingénierie sociale et l'intrusion physique, peut s'avérer coûteux. Pour cette raison, il est important de comprendre combien vous pouvez dépenser pour un tel chèque et, par conséquent, de définir sa portée.
Connaissez votre niveau de risque
Certaines organisations peuvent tolérer un niveau de risque assez élevé dans le cadre de leurs procédures commerciales standard. D'autres devront limiter leur niveau de risque dans une bien plus grande mesure, surtout si l'entreprise opère dans un secteur hautement réglementé. Par conséquent, lorsque vous effectuez un redtiming, il est important de vous concentrer sur les risques qui présentent réellement un danger pour votre entreprise.
Équipe rouge : outils et tactiques
Si elle est correctement implémentée, "l'équipe rouge" mènera une attaque à grande échelle sur vos réseaux en utilisant tous les outils et méthodes utilisés par les pirates. Cela inclut entre autres :
- Test de pénétration des applications - vise à identifier les faiblesses au niveau de l'application, telles que la falsification de requêtes intersites, les failles de saisie de données, la gestion de session faible, et bien d'autres.
- Test de pénétration du réseau - vise à identifier les faiblesses au niveau du réseau et du système, y compris les erreurs de configuration, les vulnérabilités du réseau sans fil, les services non autorisés, etc.
- Test de pénétration physique — vérifier l'efficacité, ainsi que les forces et les faiblesses des contrôles de sécurité physique dans la vie réelle.
- ingénierie sociale - vise à exploiter les faiblesses des personnes et de la nature humaine, en testant la susceptibilité des personnes à la tromperie, à la persuasion et à la manipulation par le biais d'e-mails de phishing, d'appels téléphoniques et de SMS, ainsi que de contacts physiques sur place.
Tous les éléments ci-dessus sont des composants de redtiming. Il s'agit d'une simulation d'attaque complète et en couches conçue pour déterminer dans quelle mesure votre personnel, vos réseaux, vos applications et vos contrôles de sécurité physiques peuvent résister à une attaque d'un véritable attaquant.
Développement continu des méthodes de Red Teaming
La nature de la simulation complexe d'attaques réelles, dans laquelle les équipes rouges tentent de trouver de nouvelles vulnérabilités de sécurité et les équipes bleues essaient de les corriger, conduit au développement constant de méthodes pour de telles vérifications. Pour cette raison, il est difficile de compiler une liste à jour des techniques modernes de redtiming, car elles deviennent rapidement obsolètes.
Par conséquent, la plupart des redteamers passeront au moins une partie de leur temps à se renseigner sur les nouvelles vulnérabilités et à les exploiter, en utilisant les nombreuses ressources fournies par la communauté red team. Voici les plus populaires de ces communautés :
- est un service d'abonnement qui propose des cours vidéo en ligne axés principalement sur les tests d'intrusion, ainsi que des cours sur la criminalistique du système d'exploitation, les tâches d'ingénierie sociale et le langage d'assemblage de la sécurité de l'information.
- est un "opérateur de cybersécurité offensif" qui blogue régulièrement sur les méthodes de simulation complexe d'attaques réelles et est une bonne source de nouvelles approches.
- Twitter est également une bonne source si vous recherchez des informations à jour sur le redtiming. Vous pouvez le trouver avec des hashtags и .
- est un autre spécialiste expérimenté du redtiming qui produit un bulletin d'information et , fils et écrit beaucoup sur les tendances actuelles de l'équipe rouge. Parmi ses articles récents : и .
- est un bulletin d'information sur la sécurité Web parrainé par PortSwigger Web Security. C'est une bonne ressource pour en savoir plus sur les derniers développements et nouvelles dans le domaine du redtiming - hacks, fuites de données, exploits, vulnérabilités des applications Web et nouvelles technologies de sécurité.
- est un hacker chapeau blanc et un testeur de pénétration qui couvre régulièrement les nouvelles tactiques de l'équipe rouge dans son .
- Les laboratoires MWR sont une bonne source, bien qu'extrêmement technique, d'informations sur le redtiming. Ils postent utile pour les équipes rouges et leurs contient des conseils pour résoudre les problèmes auxquels sont confrontés les testeurs de sécurité.
- - Avocat et "hacker blanc". Son fil Twitter contient des techniques utiles pour les "équipes rouges", telles que l'écriture d'injections SQL et la création de jetons OAuth.
- (ATT & CK) est une base de connaissances organisée sur le comportement des attaquants. Il suit les phases du cycle de vie des attaquants et les plates-formes qu'ils ciblent.
- est un guide pour les pirates qui, bien qu'assez ancien, couvre bon nombre des techniques fondamentales qui sont toujours au cœur de l'imitation complexe d'attaques réelles. L'auteur Peter Kim a également , dans lequel il propose des conseils de piratage et d'autres informations.
- SANS Institute est un autre fournisseur majeur de matériel de formation à la cybersécurité. Leur Axé sur la criminalistique numérique et la réponse aux incidents, il contient les dernières nouvelles sur les cours SANS et les conseils de praticiens experts.
- Certaines des nouvelles les plus intéressantes sur le redtiming sont publiées dans . Il existe des articles axés sur la technologie, tels que la comparaison de Red Teaming avec des tests de pénétration, ainsi que des articles analytiques tels que The Red Team Specialist Manifesto.
- Enfin, Awesome Red Teaming est une communauté GitHub qui propose ressources dédiées au Red Teaming. Il couvre pratiquement tous les aspects techniques des activités d'une équipe rouge, depuis l'obtention d'un accès initial, l'exécution d'activités malveillantes, jusqu'à la collecte et l'extraction de données.
"L'équipe bleue" - qu'est-ce que c'est?
Avec autant d'équipes multicolores, il peut être difficile de déterminer le type dont votre organisation a besoin.
Une alternative à l'équipe rouge, et plus précisément un autre type d'équipe qui peut être utilisé en conjonction avec l'équipe rouge, est l'équipe bleue. La Blue Team évalue également la sécurité du réseau et identifie toute vulnérabilité potentielle de l'infrastructure. Cependant, elle a un objectif différent. Des équipes de ce type sont nécessaires pour trouver des moyens de protéger, modifier et regrouper les mécanismes de défense afin de rendre la réponse aux incidents beaucoup plus efficace.
Comme l'équipe rouge, l'équipe bleue doit avoir la même connaissance des tactiques, techniques et procédures de l'attaquant afin de créer des stratégies de réponse basées sur celles-ci. Cependant, les tâches de l'équipe bleue ne se limitent pas à la simple défense contre les attaques. Il participe également au renforcement de l'ensemble de l'infrastructure de sécurité, en utilisant, par exemple, un système de détection d'intrusion (IDS) qui fournit une analyse continue des activités inhabituelles et suspectes.
Voici quelques-unes des étapes suivies par "l'équipe bleue":
- audit de sécurité, en particulier audit DNS;
- analyse des journaux et de la mémoire ;
- analyse de paquets de données réseau ;
- analyse des données sur les risques ;
- analyse de l'empreinte numérique ;
- ingénierie inverse;
- tests DDoS ;
- élaboration de scénarios de mise en œuvre des risques.
Différences entre les équipes rouges et bleues
Une question courante pour de nombreuses organisations est de savoir quelle équipe doit-elle utiliser, rouge ou bleue. Ce problème s'accompagne aussi souvent d'une animosité amicale entre des personnes qui travaillent "de part et d'autre des barricades". En réalité, aucune commande n'a de sens sans l'autre. La bonne réponse à cette question est donc que les deux équipes sont importantes.
L'équipe rouge attaque et est utilisée pour tester l'état de préparation de l'équipe bleue à défendre. Parfois, l'équipe rouge peut trouver des vulnérabilités que l'équipe bleue a complètement ignorées, auquel cas l'équipe rouge doit montrer comment ces vulnérabilités peuvent être corrigées.
Il est vital que les deux équipes travaillent ensemble contre les cybercriminels pour renforcer la sécurité de l'information.
Pour cette raison, cela n'a aucun sens de ne choisir qu'un seul camp ou d'investir dans un seul type d'équipe. Il est important de se rappeler que l'objectif des deux parties est de prévenir la cybercriminalité.
En d'autres termes, les entreprises doivent établir une coopération mutuelle entre les deux équipes afin de fournir un audit complet - avec des journaux de toutes les attaques et vérifications effectuées, des enregistrements des fonctionnalités détectées.
L'"équipe rouge" fournit des informations sur les opérations qu'elle a effectuées lors de l'attaque simulée, tandis que l'équipe bleue fournit des informations sur les actions qu'elle a entreprises pour combler les lacunes et corriger les vulnérabilités trouvées.
L'importance des deux équipes ne peut être sous-estimée. Sans leurs audits de sécurité continus, leurs tests d'intrusion et leurs améliorations d'infrastructure, les entreprises ne seraient pas au courant de l'état de leur propre sécurité. Au moins jusqu'à ce que les données soient divulguées et qu'il devienne douloureusement clair que les mesures de sécurité n'étaient pas suffisantes.
Qu'est-ce qu'une équipe violette ?
La "Purple Team" est née des tentatives d'unir les équipes rouge et bleue. L'équipe violette est plus un concept qu'un type d'équipe distinct. Il est préférable de le voir comme une combinaison d'équipes rouges et bleues. Elle engage les deux équipes, les aidant à travailler ensemble.
La Purple Team peut aider les équipes de sécurité à améliorer la détection des vulnérabilités, la découverte des menaces et la surveillance du réseau en modélisant avec précision les scénarios de menace courants et en aidant à créer de nouvelles méthodes de détection et de prévention des menaces.
Certaines organisations emploient une équipe violette pour des activités ciblées ponctuelles qui définissent clairement les objectifs de sécurité, les échéanciers et les résultats clés. Cela comprend la reconnaissance des faiblesses en attaque et en défense, ainsi que l'identification des futurs besoins en matière de formation et de technologie.
Une approche alternative qui prend de l'ampleur consiste à considérer la Purple Team comme un modèle visionnaire qui fonctionne dans toute l'organisation pour aider à créer et à améliorer continuellement une culture de la cybersécurité.
Conclusion
Red Teaming, ou simulation d'attaque complexe, est une technique puissante pour tester les vulnérabilités de sécurité d'une organisation, mais doit être utilisée avec précaution. En particulier, pour l'utiliser, vous devez disposer d'assez Sinon, il risque de ne pas justifier les espoirs placés en lui.
Le redtiming peut révéler des vulnérabilités de votre système dont vous ignoriez même l'existence et aider à les corriger. En adoptant une approche contradictoire entre les équipes bleues et rouges, vous pouvez simuler ce qu'un vrai hacker ferait s'il voulait voler vos données ou endommager vos actifs.
Source: habr.com