Indépendamment de la taille ou du secteur d'activité d'une organisation, l'un des moyens les plus efficaces de découvrir les vulnérabilités de l'infrastructure et de prévenir les éventuelles cybermenaces est de s'appuyer sur l'expertise des “blue” et “red teams”.
Les “red team” existent pour attaquer, les “blue team” pour défendre. L'ambition est de renforcer la sécurité d'une organisation en tirant des enseignements du combat qui s'ensuit. Plus récemment, le concept de “purple team” a été introduit dans l'équation. Les “purple team” peuvent être mise en place pour soutenir le processus.
Qu'est-ce qu'une “red team” en cybersécurité ?
Une équipe rouge est généralement indépendante de l'entreprise (cible) et engagée pour tester secrètement ses défenses. L'équipe est composée de hackers éthiques qualifiés dont l'objectif est d'identifier et d'exploiter en toute sécurité les vulnérabilités éventuelles ou des périmètres physiques de la cible.
En imitant des menaces sophistiquées du monde réel, l'exercice est très réaliste. Une équipe rouge déploie des outils et des techniques de piratage de pointe conçus pour infiltrer les systèmes et les locaux. Cela peut aller jusqu'à l'écriture de leurs propres logiciels malveillants et à la conception de nouvelles méthodologies, tout comme le font les pirates malveillants.
Les tests de pénétration traditionnels déploient des techniques bruyantes (généralement détectables) pour identifier les failles de sécurité. En revanche, une équipe rouge est furtive et fera tout son possible pour éviter d'être détectée.
Certaines organisations sont convaincues que leurs systèmes sont difficiles à pénétrer, car elles ont mis en place une série de mesures de sécurité solides. Mais une équipe rouge n'a qu'à trouver le maillon le plus faible pour faire sauter les périmètres.
Les objectifs et les devoirs de l'équipe rouge comprennent :
- Compromettre la sécurité de la cible en extrayant des informations, en infiltrant ses systèmes ou en violant ses périmètres physiques.
- Éviter la détection par l'équipe bleue. De nombreuses attaques se produisent sur une période de temps fugace, ce qui rend extrêmement difficile pour l'équipe bleue de neutraliser la menace avant que le "mal" ne soit fait.
- Exploiter les bogues et les faiblesses de l'infrastructure de la cible. Cela met en évidence les lacunes de la sécurité technique de l'organisation qui doivent être corrigées, ce qui permet d'améliorer son niveau de sécurité.
- Lancer des activités hostiles y compris des tests de pénétration sophistiqués afin d'obtenir une évaluation fiable des capacités défensives de l'équipe bleue.
Les méthodes de l'équipe rouge comprennent :
- La reconnaissance initiale et le renseignement de source ouverte (OSINT) pour recueillir des informations sur la cible.
- Déploiement de serveurs de commande et de contrôle (C&C ou C2) pour établir la communication avec le réseau de la cible.
- Utiliser des leurres pour mettre l'équipe bleue sur une fausse piste.
- Appliquer des techniques d'ingénierie sociale et d'hameçonnage pour manipuler les employés afin qu'ils exposent ou révèlent des informations pour compromettre leurs machines.
- Tests de pénétration physiques et numériques généralement effectués dans le vide.
Qu'est-ce qu'une “blue team” en cybersécurité ?
Une équipe bleue est le personnel de cybersécurité d'une entreprise, généralement au sein d'un centre d'opérations de sécurité (SOC). Le SOC est composé d'analystes hautement qualifiés qui travaillent à la défense et à l'amélioration des défenses de leur organisation 24 heures sur 24.
L'équipe bleue est censée détecter, s'opposer et affaiblir l'équipe rouge. Le scénario d'attaque simulée est conçu pour améliorer leurs compétences en les préparant à des attaques dangereuses dans le monde réel.
De nombreuses menaces actuelles, telles que les logiciels malveillants et les courriels de phishing, seront stoppées net par des outils automatisés sur le périmètre du réseau. Par exemple, les produits de sécurité des points de terminaison et les plateformes de détection des menaces. Le SOC ou l'équipe bleue ajoute une intelligence humaine vitale aux outils et technologies et est à la fois proactif et réactif.
Les objectifs et les tâches de l'équipe bleue sont les suivants :
- Comprendre chaque phase d'un incident et réagir de manière appropriée.
- Remarquer les schémas de trafic suspects et identifier les indicateurs de compromission.
- Mettre rapidement fin à toute forme de compromission.
- Identifier les serveurs de commande et de contrôle de l'équipe rouge/des acteurs de la menace et bloquer leur connectivité à la cible.
- Entreprendre des analyses et des tests médico-légaux sur les différents systèmes d'exploitation utilisés par leur organisation, y compris l'utilisation de systèmes tiers.
Les méthodes de l'équipe bleue comprennent :
- L'examen et l'analyse des données des logs.
- L'utilisation d'une plateforme de gestion des informations et des événements de sécurité (SIEM) pour la visibilité et la détection des intrusions en direct et pour le triage des alarmes en temps réel.
- Collecter de nouvelles informations sur les menaces et hiérarchisation des actions appropriées en fonction des risques.
- Analyser le trafic et les flux de données.
Qu'est-ce qu'une "Purple Team" en cybersécurité ?
Une équipe violette n'est pas permanente ; elle a pour fonction transitoire de superviser et d'optimiser l'exercice des équipes rouge et bleue. Elle est généralement constituée d'analystes de sécurité ou de responsables de la sécurité au sein de l'organisation.
Si les équipes rouge et bleue fonctionnent bien, l'équipe violette peut devenir superflue. Il peut s'agir davantage d'un concept que d'une fonction, amenant l'équipe rouge à tester et à cibler des éléments spécifiques des capacités de défense et de détection de l'équipe bleue.
Les objectifs et les tâches de l'équipe violette sont les suivants :
- Travailler aux côtés des équipes rouge et bleue, analyser la façon dont elles travaillent ensemble et recommander les ajustements nécessaires à l'exercice en cours, ou les noter pour l'avenir.
- Avoir une vue d'ensemble et assumer l'état d'esprit et les responsabilités des deux équipes. Par exemple, un membre de l'équipe violette travaillera avec l'équipe bleue pour examiner comment les événements sont détectés. Il passera ensuite à l'équipe rouge pour voir comment les capacités de détection de l'équipe bleue peuvent être détournées.
- L'analyse des résultats et la supervision des actions correctives nécessaires, par exemple la correction des vulnérabilités, la mise en place d'une formation de sensibilisation des employés, etc ;
- En fin de compte, tirer le maximum de valeur de l'exercice en appliquant les enseignements tirés et en assurant des défenses plus solides.
Quels sont les bénéfices d’avoir une purple team ?
- Communication
Comme nous l'avons décrit, l'objectif des équipes rouges et bleues est de renforcer la sécurité d'une organisation. Avec le purple teaming, le premier objectif est une communication claire et régulière entre les équipes rouge et bleue, un flux constant d'informations et un effort symbiotique. Cet exercice, qu'il est recommandé d'effectuer au moins une fois par an et à chaque fois que des changements significatifs ont été apportés, entre les deux équipes, facilite une communication et une collaboration constantes entre les équipes et au sein de chacune d'entre elles, favorisant ainsi une amélioration constante de la culture de cybersécurité de l'organisation.
- Perspective
Souvent, une brèche peut se produire alors que l'attaquant échappe à toutes les défenses, sans que l'équipe bleue n'en prenne conscience ou ne la détecte. En raison de l'évolution constante de la cybersécurité, cela n'indique pas toujours un manque de compétences ou de technologie dans l'équipe bleue, mais plutôt la complexité croissante des méthodes et/ou des vecteurs d'attaque des acteurs de la menace. Ainsi, l'équipe violette permet de développer de meilleurs programmes de réponse aux incidents et processus de détection des vulnérabilités.
- Posture
Le dernier avantage que nous allons aborder est également le plus important, à savoir une meilleure posture de sécurité pour votre organisation. En tirant parti de la communication constante des purple teams, des tests de pénétration annuels, de la gestion des vulnérabilités et du développement d'une infrastructure et de politiques de sécurité améliorées, les organisations mettent toutes les chances de leur côté contre la menace d'une violation des données.