Le red teaming, une forme de test d'attaque contradictoire proactive, a longtemps été considéré comme une extension des tests d'intrusion, mais c'est un peu un désavantage. Contrairement à un test de pénétration qui a tendance à être limité dans sa portée et dans son contenu, le red teaming est plus pertinent que jamais. emploie les tactiques, les techniques et les procédures (TTP) qu'un véritable attaquant utiliserait lors d'une attaque simulée et est réalisée de manière secrète.
C'est cette capacité “réelle” qui la distingue, l'équipe rouge cherchant à exploiter toutes les failles dans les défenses de l'organisation et à continuer à faire avancer et pivoter l'attaque.
À l'inverse, l'équipe bleue est composée de défenseurs qui tenteront de détecter toute activité offensive. Leur tâche consiste à identifier le point d'entrée, à supprimer l'accès ou à atténuer les mouvements latéraux afin de contrecarrer l'”attaque”. À cet égard, l'exercice de l'équipe rouge peut également être utilisé pour tester la vitesse et l'agilité de l'équipe bleue, ce que l'on appelle aussi le temps moyen de détection (TMD) et le temps moyen de réponse (MTTR). L'équipe violette voit les équipes rouge et bleue collaborer, partager les TTP pour travailler ensemble à l'identification des vulnérabilités et peut être utile pour tester les playbooks, par exemple.
Pour ce qui est de savoir quand effectuer un test en équipe rouge, le consensus général est que l'organisation doit avoir une posture de cybersécurité mature. avec une bonne hygiène de sécurité en place, ce qui signifie des correctifs, une surveillance et des mesures de contrôle d'accès. Il existe de nombreuses raisons pour lesquelles les entreprises se lancent dans un test de red team, qu'il s'agisse de changements significatifs au sein de l'entreprise en termes de transformation, de fusion ou d'acquisition, d'évaluation des risques de l'infrastructure et de sa chaîne d'approvisionnement, de répondre aux exigences en matière d'assurance ou de conformité ou, bien sûr, après coup lorsqu'un incident de sécurité s'est déjà produit, afin de réduire le risque de compromission future. Mais ce qui devient évident, c'est que le besoin de red teaming est de plus en plus important.
Les failles dans l'armure
Les tests basés sur des scénarios n'ont jamais été aussi pertinents grâce à un certain nombre d'évolutions. Tout d'abord, la façon dont nous travaillons a énormément changé, à la fois en termes de main-d'œuvre à distance et de passage à des architectures de réseau distribuées utilisant le cloud. La sécurisation de ces deux éléments est beaucoup plus difficile, exigeant une surveillance rigoureuse des terminaux et des mécanismes de contrôle d'accès basés sur le concept de confiance zéro.
À ce jour, très peu d'organisations ont été en mesure de mettre en œuvre avec succès le Zero Trust en gros et en détail. Gartner prédit que seulement 10 % des grandes organisations la maîtriseront d'ici 2026. Par conséquent, il y a inévitablement des lacunes dans l'infrastructure qu'un attaquant peut exploiter. Les interfaces de programmation d'applications (API), qui offrent un moyen rapide et pratique de créer de nouveaux services, ou l'Internet des objets (IoT), qui fournit à nouveau une connectivité améliorée, ont tous deux été rapidement déployés, par exemple, et Gartner prévient que ce sont des éléments de réseau tels que ceux-ci qui pourraient servir de points de compromission.
En même temps que la technologie a progressé, la sophistication des attaques a également évolué. Nous avons vu l'émergence de ransomware-as-a-service (RaaS), l'abaissement de la barre d'entrée et les attaques organisées par des acteurs nationaux. On observe une diminution du délai entre le début d'une attaque et sa détection, appelé temps de séjour, qui est passé d'une médiane de 10 jours à 8 jours pour toutes les attaques et de 9 jours à 5 pour les attaques par ransomware de 2022 à 2023, selon l'étude de l'. Rapport sur les adversaires actifs pour les leaders de la technologie 2023. de Sophos. Cela est probablement dû à l'amélioration des capacités de détection, mais aussi au fait que les attaquants franchissent plus rapidement les étapes de l'attaque. Ils entrent et sortent avec ce qu'ils sont venus chercher plus rapidement, ce qui indique qu'ils ont affiné leurs TTP.
Menaces futures
Nous sommes aujourd'hui à l'aube d'attaques pilotées par l'IA qui vont encore faire monter les enchères. L'IA générative devrait réduire les coûts des cybercriminels jusqu'à 96 % selon le New Scientist en automatisant les attaques. Elle permettra la rétro-ingénierie du code, le développement rapide de logiciels malveillants et la création de portes dérobées, ainsi que l'élaboration de campagnes d'hameçonnage beaucoup plus convaincantes. Ce dernier point est particulièrement inquiétant quand on sait que la majorité des cyberattaques actuelles (41 %) utilisent l'hameçonnage comme vecteur d'infection, selon le IBM Threat Intelligence Index 2023.
Pour lutter contre ces menaces croissantes et émergentes, l'organisation doit devenir plus proactive dans l'identification des vecteurs d'attaque possibles et dans la hiérarchisation des défenses. Rien n'éclairera ces menaces plus précisément qu'un test de l'équipe rouge, mené pendant une période limitée ou jusqu'à ce que la ou les attaques soient découvertes par l'équipe bleue. Les fournisseurs expérimentés complètent souvent leur boîte à outils avec des solutions open source et personnalisées afin de garantir un effet de levier maximal, il vaut donc la peine de leur demander ce qu'ils ont dans leur arsenal.
La valeur des tests rouges réside dans les rapports qui dévoileront alors jusqu'où l'équipe rouge a pu aller et une ventilation détaillée de chaque phase de l'attaque, de la reconnaissance au développement des charges utiles, à l'exploitation des vulnérabilités, à l'escalade des privilèges et à l'exfiltration potentielle des données. En se plongeant dans ces résultats, l'équipe de sécurité peut mieux comprendre la posture de sécurité, de l'identification des voies d'attaque à la priorisation des vulnérabilités et à la mise en place de contrôles pour atténuer les problèmes. Mais les avantages peuvent également s'étendre à l'ensemble de l'entreprise, par exemple en informant l'éducation et la formation des utilisateurs finaux et en aidant à communiquer les risques au conseil d'administration.
C'est cette capacité à rendre la sécurité réelle et pertinente pour l'entreprise qui rend le red teaming si précieux. Alors que les enjeux augmentent, que les architectures de réseaux et les effectifs des entreprises sont de plus en plus dispersés et que les attaques sont de plus en plus rapides et ciblées, c'est cette forme personnalisée de test de sécurité qui permettra de hiérarchiser et de cibler la défense, contribuant ainsi à améliorer la résilience.
Phil Robinson est consultant principal chez Prism Infosec Image : AndreyPopov
Tu pourrais aussi lire :
Pourquoi les entreprises ignorent-elles la réponse aux incidents ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
