Red Teaming est une simulation d'attaque complexe. Méthodologie et outils

Source: Acunetix



Red Teaming est une simulation complexe d'attaques réelles pour évaluer la cybersécurité des systèmes. L '«équipe rouge» est un groupe de pentesters (spécialistes qui effectuent un test de pénétration). Ils peuvent être embauchés de l'extérieur ou des employés de votre organisation, mais dans tous les cas, leur rôle est le même: imiter les actions des intrus et essayer de pénétrer votre système.



Outre les «équipes rouges» de la cybersécurité, il en existe plusieurs autres. Par exemple, l'équipe bleue travaille avec l'équipe rouge, mais ses activités visent à améliorer la sécurité de l'infrastructure du système de l'intérieur. L'équipe violette est la liaison pour aider les deux autres équipes à développer des stratégies offensives et des défenses. Cependant, le redtiming est l'une des méthodes de gestion de la cybersécurité les moins comprises, et de nombreuses organisations hésitent encore à utiliser cette pratique.

Dans cet article, nous expliquerons en détail ce qui se cache derrière le concept de Red Teaming et comment la mise en œuvre d'une simulation complète d'attaques dans le monde réel peut aider à améliorer la sécurité de votre organisation. Le but de cet article est de montrer comment cette méthode peut améliorer considérablement la sécurité de vos systèmes d'information.

Red Teaming: présentation

Si de nos jours les équipes «rouges» et «bleues» sont principalement associées au domaine des technologies de l'information et de la cybersécurité, ces concepts ont été inventés par les militaires. En général, c'est dans l'armée que j'ai entendu parler pour la première fois de ces concepts. Le travail d'un analyste en cybersécurité dans les années 1980 était très différent de celui d'aujourd'hui: l'accès aux systèmes informatiques cryptés était beaucoup plus restreint qu'il ne l'est aujourd'hui.



Sinon, ma première expérience des jeux de guerre - modélisation, simulation et organisation d'interactions - était très similaire au processus complexe de simulation d'attaque d'aujourd'hui, qui s'est répandu dans la cybersécurité. Comme c'est le cas actuellement, on a beaucoup insisté sur l'utilisation de l'ingénierie sociale pour persuader les employés d'accorder à l'ennemi un accès illégal aux systèmes militaires. Par conséquent, si les techniques techniques de simulation d'attaques ont considérablement progressé depuis les années 1980, il convient de noter que bon nombre des principaux outils de l'approche contradictoire, et en particulier les techniques d'ingénierie sociale, sont largement indépendants de la plate-forme.



La valeur fondamentale des attaques complexes simulées dans le monde réel est également restée inchangée depuis les années 1980. En simulant une attaque sur vos systèmes, vous pouvez trouver plus facilement des vulnérabilités et comprendre comment elles peuvent être exploitées. Alors qu'il était utilisé principalement par les pirates informatiques et les professionnels de la cybersécurité à la recherche de vulnérabilités via des tests de pénétration, il a maintenant des utilisations plus larges dans la cybersécurité et les affaires.



La clé du regroupement est de comprendre qu'en réalité vous ne pouvez pas avoir une idée de la sécurité de vos systèmes tant qu'ils ne sont pas attaqués. Et au lieu de vous exposer à une attaque d'un véritable attaquant, il est beaucoup plus sûr de simuler une telle attaque en utilisant une "commande rouge".

Cas d'utilisation de Red Teaming

Un moyen simple de comprendre les bases de la redirection consiste à consulter quelques exemples. En voici deux:

• Scénario 1: Imaginez qu'un test d'intrusion a été effectué sur un site de service client et que la vérification a réussi. Il semblerait que cela indique que tout est en ordre. Cependant, plus tard, à la suite d'une simulation d'attaque complexe, l'équipe rouge découvre que bien que l'application de service client elle-même soit en ordre, la fonction de chat tiers ne peut pas identifier avec précision les personnes, ce qui permet d'inciter les représentants du service client à changer leur adresse e-mail. dans le compte (à la suite de quoi une nouvelle personne, un attaquant, peut accéder).
• Scénario 2. Pentesting a constaté que tous les VPN et contrôles d'accès à distance étaient sécurisés. Cependant, un représentant de "l'équipe rouge" passe librement devant le comptoir d'enregistrement et sort un ordinateur portable des employés.

Dans les deux cas ci-dessus, l '«équipe rouge» vérifie non seulement la fiabilité de chaque système individuel, mais également l'ensemble du système dans son ensemble pour détecter la présence de faiblesses.

Qui a besoin d'une simulation d'attaque complexe?

En un mot, pratiquement toutes les entreprises peuvent bénéficier de la redirection. Comme le montre notre rapport mondial sur les risques liés aux données 2019 , un nombre décourageant d'organisations croient à tort qu'elles ont un contrôle total sur leurs données. Nous avons constaté, par exemple, qu'en moyenne, 22% des dossiers d'entreprise sont disponibles pour chaque employé et que 87% des entreprises ont plus de 1 000 fichiers confidentiels périmés sur leurs systèmes.



Si votre entreprise n'est pas dans le secteur de la technologie, il peut sembler que la redirection ne vous fera pas beaucoup de bien. Mais ce n'est pas le cas. La cybersécurité ne consiste pas seulement à protéger les informations confidentielles.



Les attaquants tentent également de s'approprier la technologie quel que soit le secteur d'activité de l'entreprise. Par exemple, ils peuvent chercher à accéder à votre réseau afin de cacher leurs actions pour prendre le contrôle d'un autre système ou réseau ailleurs dans le monde. Dans ce type d'attaque, vos données ne sont pas nécessaires aux attaquants. Ils veulent infecter vos ordinateurs avec des logiciels malveillants afin de les utiliser pour transformer votre système en un groupe de botnets.



Pour les petites entreprises, il peut être difficile de trouver les ressources pour effectuer la redirection. Dans ce cas, il est logique d'externaliser le processus à un entrepreneur externe.

Recommandations Red Teaming

Le moment optimal et la fréquence de redirection dépendent du secteur dans lequel vous travaillez et de la sophistication de vos outils de cybersécurité.



En particulier, vous devez avoir des activités automatisées telles que l'exploration d'actifs et l'analyse de vulnérabilité. Votre organisation doit également combiner la technologie automatisée avec le contrôle humain en effectuant régulièrement des tests de pénétration robustes.

Après avoir effectué plusieurs cycles commerciaux de tests de pénétration et de recherche de vulnérabilités, vous pouvez lancer une simulation complète d'une attaque réelle. À ce stade, la redirection vous apportera des avantages tangibles. Cependant, essayer de le faire avant de mettre en place les fondements de la cybersécurité ne sera pas rentable.



Une équipe de hackers blancs sera probablement en mesure de compromettre un système non préparé si rapidement et facilement que vous avez trop peu d'informations pour prendre d'autres mesures. Pour obtenir un impact réel, les informations obtenues par «l'équipe rouge» doivent être comparées aux tests de pénétration et évaluations de vulnérabilité antérieurs.

Qu'est-ce que le test de pénétration?

La simulation complexe d'une attaque réelle (Red Teaming) est souvent confondue avec les tests de pénétration (pentest) , mais les deux méthodes sont légèrement différentes. Plus précisément, les tests de pénétration ne sont qu'une des méthodes de redirection.



Le rôle du pentester est assez bien défini . Le travail des pentesters est divisé en quatre phases principales: la planification, la découverte d'informations, l'attaque et le reporting. Comme vous pouvez le constater, les testeurs d'intrusion font plus que rechercher les vulnérabilités logicielles. Ils essaient de se mettre à la place des hackers, et une fois qu'ils sont entrés dans votre système, leur vrai travail commence.



Ils découvrent des vulnérabilités, puis lancent de nouvelles attaques en fonction des informations qu'ils reçoivent, en naviguant dans la hiérarchie des dossiers. C'est ainsi que les professionnels des tests d'intrusion diffèrent de ceux qui sont embauchés uniquement pour rechercher des vulnérabilités à l'aide d'un logiciel d'analyse de port ou de détection de virus. Un pentester expérimenté peut déterminer:

• où les pirates peuvent diriger leur attaque;
• la façon dont les pirates vont attaquer;
• comment se comportera votre défense;
• l'ampleur possible de la violation.

Les tests de pénétration visent à identifier les failles au niveau de l'application et du réseau, ainsi que les opportunités de surmonter les barrières de sécurité physique. Alors que les tests automatisés peuvent révéler certains problèmes de cybersécurité, les tests d'intrusion manuels prennent également en compte la vulnérabilité de l'entreprise aux attaques.

Red Teaming vs. tests de pénétration

Les tests de pénétration sont certes importants, mais ce n'est qu'une partie de toute une série d'activités de redtiming. Les activités de «l'équipe rouge» ont des objectifs beaucoup plus larges que ceux des pentesters, qui cherchent souvent simplement à accéder au réseau. La réduction implique souvent plus de personnel, de ressources et de temps, car l'équipe rouge cherche à comprendre pleinement le niveau réel de risque et de vulnérabilité dans la technologie et les actifs humains et physiques d'une organisation.



De plus, il existe d'autres différences. Le redteaming est généralement utilisé par les organisations disposant de mesures de cybersécurité plus matures et avancées (bien qu'en pratique ce ne soit pas toujours le cas).



Habituellement, ce sont des entreprises qui ont déjà effectué des tests de pénétration et corrigé la plupart des vulnérabilités trouvées, et qui recherchent maintenant quelqu'un qui peut à nouveau essayer d'accéder à des informations confidentielles ou briser la sécurité de quelque manière que ce soit.

C'est pourquoi redtiming s'appuie sur une équipe d'experts en sécurité focalisée sur un objectif précis. Ils ciblent les vulnérabilités internes et utilisent des techniques d'ingénierie sociale électronique et physique sur les employés de l'organisation. Contrairement aux pentesters, les équipes rouges prennent leur temps lors de leurs attaques, voulant éviter d'être détectées, comme le ferait un véritable cybercriminel.

Avantages de Red Teaming

La simulation complète d'attaques dans le monde réel présente de nombreux avantages, mais surtout, cette approche fournit une image complète du niveau de cybersécurité d'une organisation. Un processus typique de simulation d'attaque de bout en bout comprendrait des tests de pénétration (réseau, application, téléphone mobile et autre appareil), l'ingénierie sociale (communication en direct sur site, appels téléphoniques, e-mails ou SMS et chat) et l'intrusion physique ( crocheter les serrures, détecter les zones mortes des caméras de sécurité, contourner les systèmes d'alerte). S'il existe des vulnérabilités dans l'un de ces aspects de votre système, elles seront détectées.



Une fois les vulnérabilités détectées, elles peuvent être corrigées. Une procédure de simulation d'attaque efficace ne s'arrête pas lorsque des vulnérabilités sont découvertes. Une fois les failles de sécurité clairement identifiées, vous voudrez travailler à les corriger et à les tester à nouveau. En fait, le vrai travail commence généralement après l'intrusion de la Red Team, lorsque vous effectuez une analyse médico-légale de l'attaque et essayez de réduire les vulnérabilités découvertes.



En plus de ces deux avantages principaux, la redirection en offre également plusieurs autres. Ainsi, "l'équipe rouge" peut:

• identifier les risques et les vulnérabilités aux attaques dans les actifs d'informations clés de l'entreprise;
• simuler les méthodes, tactiques et procédures de vrais attaquants dans un environnement à risque limité et maîtrisé;
• Évaluez la capacité de votre organisation à détecter, répondre et prévenir les menaces ciblées complexes
• stimuler une interaction étroite avec les services de sécurité de l'information et les «équipes bleues» pour assurer une atténuation significative et organiser des ateliers pratiques complets basés sur les vulnérabilités découvertes.

Comment fonctionne Red Teaming?

Un excellent moyen de comprendre le fonctionnement de la redirection est de voir comment cela se produit habituellement. Un processus de simulation d'attaque complexe typique comprend plusieurs étapes:

• L'organisation conviendra avec «l'équipe rouge» (interne ou externe) du but de l'attaque. Par exemple, un tel objectif peut être de récupérer des informations confidentielles à partir d'un serveur spécifique.
• « » . , , - . .
• , XSS-. .
• , « » . .
• « » . .
• .

En fait, un praticien expérimenté de l'équipe rouge utilisera une myriade de méthodes différentes pour effectuer chacune de ces étapes. Cependant, le principal à retenir de l'exemple ci-dessus est que de petites vulnérabilités sur des systèmes individuels peuvent dégénérer en défaillances catastrophiques lorsqu'elles sont enchaînées.

Que faut-il considérer quand on parle de "l'équipe rouge"?

Pour tirer le meilleur parti de votre redirection, vous devez vous préparer soigneusement. Les systèmes et processus utilisés par chaque organisation sont différents, et un niveau de qualité de redirection est atteint lorsqu'il vise à trouver des vulnérabilités dans vos systèmes. Pour cette raison, il est important de considérer un certain nombre de facteurs:

Tu sais ce que tu cherches

Tout d'abord, il est important de comprendre quels systèmes et processus vous souhaitez tester. Vous savez peut-être que vous souhaitez tester une application Web, mais vous ne savez pas très bien ce que cela signifie réellement et quels autres systèmes sont intégrés à vos applications Web. Par conséquent, il est important que vous ayez une bonne compréhension de vos propres systèmes et corrigez les vulnérabilités évidentes avant de vous lancer dans une simulation complète d'une attaque réelle.

Connaissez votre réseau

Ceci est lié à la recommandation précédente, mais plus aux spécifications techniques de votre réseau. Mieux vous pourrez quantifier l'environnement de test, plus votre Red Team sera précise et spécifique.

Connaissez votre budget

Les red-timings peuvent être effectués à différents niveaux, mais la simulation de la gamme complète des attaques sur votre réseau, y compris l'ingénierie sociale et l'intrusion physique, peut être coûteuse. Pour cette raison, il est important de comprendre combien vous pouvez dépenser pour un tel chèque et, en conséquence, d'en définir la portée.

Connaissez votre niveau de risque

Certaines organisations peuvent tolérer un niveau de risque assez élevé dans le cadre de leurs procédures commerciales standard. D'autres devront limiter leur niveau de risque dans une bien plus grande mesure, surtout si l'entreprise opère dans un secteur hautement réglementé. Par conséquent, il est important de se concentrer sur les risques qui constituent vraiment une menace pour votre entreprise lorsque vous effectuez une mise en garde.

Red Teaming: outils et tactiques

Si elle est correctement mise en œuvre, l'équipe rouge lancera une attaque à grande échelle sur vos réseaux en utilisant tous les outils et techniques utilisés par les pirates. Cela comprend, entre autres:

• Test de pénétration des applications - Vise à identifier les failles au niveau de l'application telles que la falsification de demandes intersites, les failles de saisie de données, la gestion de session faible et bien d'autres.
• Test de pénétration du réseau - Destiné à identifier les failles au niveau du réseau et du système, y compris les erreurs de configuration, les vulnérabilités sans fil, les services non autorisés, etc.
• Test de pénétration physique - Test de l'efficacité et des forces et faiblesses des contrôles de sécurité physique dans la vie réelle.
• Ingénierie sociale - vise à exploiter les faiblesses des personnes et de la nature humaine, en testant la vulnérabilité des gens à la tromperie, à la persuasion et à la manipulation par le biais d'e-mails de phishing, d'appels téléphoniques et de messages texte, et de contacts physiques sur place.

Tous les éléments ci-dessus sont des composants de la redirection. Il s'agit d'une simulation d'attaque complète à plusieurs niveaux conçue pour déterminer dans quelle mesure votre personnel, vos réseaux, vos applications et vos contrôles de sécurité physique peuvent résister à une attaque d'un véritable attaquant.

Développement continu des méthodes de Red Teaming

La nature des simulations complexes d'attaques du monde réel, dans lesquelles les équipes rouges tentent de trouver de nouvelles vulnérabilités de sécurité et les équipes bleues tentent de les corriger, conduit au développement constant de méthodes pour de telles vérifications. Pour cette raison, il est difficile de compiler une liste à jour des techniques modernes de redtiming car elles deviennent rapidement obsolètes.



Par conséquent, la plupart des ressuscités passeront au moins une partie de leur temps à rechercher de nouvelles vulnérabilités et à les exploiter, en utilisant les nombreuses ressources fournies par la communauté Red Teams. Les plus populaires de ces communautés sont:

• Pentester Academy — , -, , , , , .
• (Vincent Yiu) — « », .
• Twitter — , . #redteam #redteaming.
• (Daniel Miessler) — , , - « ». : « , » « , , ».
• Daily Swig -— -, PortSwigger Web Security. , — , , , - .
• (Florian Hansemann) — « » , « » .
• MWR labs — , . , Twitter , .
• (Emad Shanab) — « ». Twitter , « », SQL- OAuth.
• Mitre's Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) — . , .
• The Hacker Playbook — , , , , . (Peter Kim) Twitter, .
• SANS Institute — . Twitter-, , SANS -.
• Red Team Journal. , , Red Teaming , , « ».
• , Awesome Red Teaming — GitHub, , Red Teaming. « », , .

« » — ?

Avec autant d'équipes multicolores, il peut être difficile de déterminer le type dont votre organisation a besoin.



Une des alternatives à l'équipe rouge, ou plutôt à un autre type d'équipe qui peut être utilisé en conjonction avec l'équipe rouge, est l'équipe bleue. Blue Team évalue également la sécurité du réseau et identifie les vulnérabilités potentielles de l'infrastructure. Cependant, il a un but différent. Des équipes de ce type sont nécessaires pour trouver des moyens de protéger, de modifier et de regrouper les défenses afin de rendre la réponse aux incidents beaucoup plus efficace.



Comme l'équipe rouge, le bleu doit avoir la même connaissance des tactiques, techniques et procédures des attaquants afin de créer des stratégies de réponse basées sur celles-ci. Cependant, les responsabilités de Blue Team ne se limitent pas à se défendre contre les attaques. Il participe également au renforcement de l'ensemble de l'infrastructure de sécurité en utilisant, par exemple, un système de détection d'intrusion (IDS), qui fournit une analyse continue des activités inhabituelles et suspectes.



Voici quelques-unes des étapes suivies par l'équipe bleue:

• audit de sécurité, en particulier audit DNS;
• analyse des journaux et de la mémoire;
• analyse de paquets de données de réseau;
• analyse des données sur les risques;
• analyse de l'empreinte numérique;
• ingénierie inverse;
• Tests DDoS;
• élaboration de scénarios de mise en œuvre des risques.

Différences entre les équipes rouges et bleues

Une question courante pour de nombreuses organisations est de savoir quelle équipe elles doivent utiliser - rouge ou bleue. Cette question s'accompagne aussi souvent d'une hostilité amicale entre des personnes qui travaillent «de part et d'autre des barricades». En réalité, aucune commande n'a de sens sans l'autre. La bonne réponse à cette question est donc que les deux équipes sont importantes.



L '«équipe rouge» attaque et sert à tester l'état de préparation de «l'équipe bleue» pour la défense. Parfois, l'équipe rouge peut trouver des vulnérabilités que l'équipe bleue a complètement manquées, auquel cas l'équipe rouge doit montrer comment ces vulnérabilités peuvent être corrigées.



Il est essentiel que les deux équipes travaillent ensemble contre les cybercriminels pour renforcer la sécurité de l'information.



Pour cette raison, il n'est pas logique de choisir un seul camp ou d'investir dans un seul type d'équipe. Il est important de se rappeler que l'objectif des deux parties est de prévenir la cybercriminalité.

En d'autres termes, les entreprises doivent établir une coopération mutuelle entre les deux équipes pour fournir un audit complet - avec des journaux de toutes les attaques et vérifications effectuées, des enregistrements des fonctionnalités découvertes.



L '«équipe rouge» fournit des informations sur les opérations qu'elle a effectuées pendant l'attaque simulée, et l'équipe bleue sur les actions qu'elle a entreprises pour combler les lacunes et corriger les vulnérabilités trouvées.



L'importance des deux équipes ne peut être sous-estimée. Sans leurs audits de sécurité continus, leurs tests d'intrusion et leurs améliorations d'infrastructure, les entreprises ne seraient pas au courant de leur propre état de sécurité. Au moins jusqu'à ce qu'une fuite de données se produise et qu'il devienne douloureusement clair que les mesures de sécurité n'étaient pas suffisantes.

Qu'est-ce que la Purple Team?

L'équipe violette est le résultat de tentatives de combiner les équipes rouges et bleues. L'équipe violette est un concept plutôt qu'un type d'équipe distinct. Il est mieux vu comme une combinaison des équipes rouges et bleues. Elle engage les deux équipes, les aidant à travailler ensemble.



Team Purple peut aider les équipes de sécurité à améliorer la détection des vulnérabilités, l'analyse des menaces et la surveillance du réseau en modélisant avec précision les scénarios de menaces courants et en aidant à créer de nouvelles méthodes de détection et de prévention des menaces.



Certaines organisations emploient l '«équipe violette» pour des activités ciblées ponctuelles qui définissent clairement les objectifs de sécurité, les échéanciers et les résultats clés. Cela comprend la reconnaissance des lacunes dans l'attaque et la défense, et la définition des futurs besoins en matière de formation et de technologie.



Une approche alternative qui gagne maintenant du terrain est de voir la Purple Team comme un modèle conceptuel qui fonctionne dans toute l'organisation pour favoriser une culture de cybersécurité et d'amélioration continue.

Conclusion

Red Teaming, ou Comprehensive Attack Simulation, est une méthode puissante pour tester les vulnérabilités de sécurité d'une organisation, mais elle doit être utilisée avec prudence. En particulier, pour l'utiliser, vous devez disposer de moyens de protection de la sécurité de l'information suffisamment développés , sinon il risque de ne pas répondre aux attentes qui lui sont imposées.

Red-temping peut révéler des vulnérabilités dans votre système que vous n'auriez jamais imaginées et aider à les corriger. En adoptant une approche antagoniste entre les équipes bleue et rouge, vous pouvez simuler les actions d'un véritable hacker s'il voulait voler vos données ou endommager vos actifs.