5 min de lecture
Cet article de blog fait partie de la série Tout ce que vous devez savoir sur Red Teaming de l'équipe IBM Security Randori. La plateforme Randori combine la gestion de la surface d'attaque (ASM) et le red teaming automatisé et continu (CART) pour améliorer votre posture de sécurité.
« Aucun plan de bataille ne survit au contact avec l'ennemi », a écrit le théoricien militaire Helmuth von Moltke, qui croyait en l'élaboration d'une série d'options pour la bataille plutôt que d'un plan unique. Aujourd’hui, les équipes de cybersécurité continuent d’apprendre cette leçon à leurs dépens. Selon une étude IBM Security X-Force, le temps d'exécution des attaques de ransomware a diminué de 94 % au cours des dernières années, les attaquants agissant plus rapidement. Ce qui leur prenait auparavant des mois ne prend plus que quelques jours.
Pour éliminer les vulnérabilités et améliorer la résilience, les entreprises doivent tester leurs opérations de sécurité avant que les acteurs de la menace ne le fassent. Or, le red teaming est sans doute l'un des meilleurs moyens d'y parvenir.
Le red teaming peut être défini comme le processus consistant à tester votre efficacité en matière de cybersécurité en éliminant les préjugés du défenseur en appliquant une optique antagoniste à votre organisation.
On parle de red teaming lorsque des hackers éthiques sont autorisés par votre organisation à émuler les tactiques, techniques et procédures réelles des pirates informatiques contre vos propres systèmes.
Il s’agit d’un service d’évaluation des risques de sécurité que votre organisation peut utiliser pour identifier et corriger de manière proactive les lacunes et les faiblesses en matière de sécurité informatique.
Une équipe rouge exploite la méthodologie de simulation d’attaque. Elle simule les actions d’attaquants sophistiqués (ou de menaces persistantes avancées) pour déterminer dans quelle mesure les personnes, les processus et les technologies de votre organisation pourraient résister à une attaque visant à atteindre un objectif spécifique.
Les évaluations de vulnérabilité et les tests d'intrusion sont deux autres services de tests de sécurité conçus pour examiner toutes les vulnérabilités connues de votre réseau et rechercher des moyens de les exploiter. En résumé, les évaluations de vulnérabilité et les tests d'intrusion sont utiles pour identifier les failles techniques, tandis que les exercices de red teaming fournissent des informations exploitables sur l’état de votre posture globale de sécurité informatique.
En effectuant des exercices de red teaming, votre organisation peut déterminer dans quelle mesure ses défenses résisteraient à une cyberattaque réelle.
Comme l'explique Eric McIntyre, vice-président du Product and Hacker Operations Center pour IBM Security Randori : « Avec le red teaming, vous pouvez voir la boucle de feedback indiquant jusqu'où un attaquant va pénétrer votre réseau avant que celui-ci ne commence à déclencher certaines de vos défenses. Mais aussi où les attaquants trouvent des failles dans vos défenses et où vous pouvez améliorer celles que vous avez ».
Un moyen efficace de déterminer ce qui fonctionne et ce qui ne fonctionne pas en matière de contrôles, de solutions et même de personnel, c'est de les opposer à un adversaire dédié.
Le red teaming offre un moyen efficace d’évaluer les performances globales de cybersécurité de votre organisation. Il vous donne, à vous et aux autres responsables de la sécurité, une évaluation réaliste du niveau de sécurité de votre organisation. Le red teaming peut aider votre entreprise à :
Obtenez des informations digestes et à fort impact de la part des experts en sécurité d’IBM, qui proposent des stratégies intelligentes et une expertise inestimable pour lutter contre les cybermenaces modernes, directement dans votre boîte de réception.
En savoir plus sur IBM Security Randori Attack Targeted
Le red teaming et les tests d'intrusion (aussi appelés test de pénétration) sont des termes qui sont souvent utilisés de manière interchangeable mais qui sont complètement différents.
L’objectif principal des tests de pénétration est d’identifier les vulnérabilités exploitables et d’accéder à un système. D'autre part, dans un exercice d'équipe rouge, l'objectif est d'accéder à des systèmes ou des données spécifiques en émulant un adversaire réel et en utilisant des tactiques et des techniques tout au long de la chaîne d'attaque, notamment l'escalade des privilèges et l'exfiltration.
Le tableau suivant présente d'autres différences fonctionnelles entre les tests d'intrusion et le red teaming :
Tests de pénétration
Red teaming
Objectif
Identifier les vulnérabilités exploitables et accéder à un système.
Accéder à des systèmes ou à des données spécifiques en émulant un adversaire réel.
Calendrier
Court : un jour à quelques semaines.
Plus long : plusieurs semaines à plus d'un mois.
Outils
Outils de test d'intrusion disponibles dans le commerce.
Une grande variété d’outils, de tactiques et de techniques, y compris des outils personnalisés et des exploits de vulnérabilités auparavant inconnus.
Connaissance
Les défenseurs savent qu’un test d'intrusion est en cours.
Les défenseurs ne savent pas qu'un exercice de red teaming est en cours.
Vulnérabilités
Vulnérabilités connues.
Vulnérabilités connues et inconnues.
Portée
Les cibles des tests sont précises et prédéfinies. Ils servent par exemple à déterminer si une configuration de pare-feu est efficace ou non.
Les cibles des tests peuvent concerner plusieurs domaines, comme l'exfiltration de données sensibles.
Tests
Le système de sécurité est testé indépendamment dans le cadre d’un test d’intrusion.
Les systèmes sont ciblés simultanément lors d’un exercice de red teaming.
Activité post-violation
Aucune activité post-violation.
L'équipe rouge mène des activités post-violation.
Objectif
Compromettre l'environnement d'une organisation.
Agir comme de vrais pirates et exfiltrer les données pour lancer de nouvelles attaques.
Résultats
Identifier les vulnérabilités exploitables et fournir des recommandations techniques.
Évaluer la posture globale de cybersécurité et fournir des recommandations d’amélioration.
Les équipes rouges sont des professionnels de la sécurité offensive qui testent la sécurité d’une organisation en imitant les outils et les techniques utilisés par les pirates informatiques du monde réel. Son rôle est de tenter de contourner les défenses de l'équipe bleue tout en évitant la détection.
Les équipes bleues sont des équipes de sécurité informatique internes qui défendent une organisation contre les pirates informatiques, y compris les équipes rouges, et travaillent constamment à l'amélioration de la cybersécurité de leur organisation. Leurs tâches quotidiennes incluent la surveillance des systèmes pour détecter les signes d’intrusion, l’enquête sur les alertes et la réponse aux incidents.
Les équipes violettes ne sont pas des équipes à proprement parler, mais plutôt un état d'esprit coopératif qui existe entre les membres de l'équipe rouge et ceux de l'équipe bleue. Bien que les membres de l’équipe rouge et de l’équipe bleue s’efforcent d’améliorer la sécurité de leur organisation, ils ne partagent pas toujours leur point de vue entre eux. Le rôle de l'équipe violette est d'encourager une communication et une collaboration efficaces entre les deux équipes afin de permettre l'amélioration continue des deux équipes et de la cybersécurité de l'organisation.
Les équipes rouges essaieront d'utiliser les mêmes outils et techniques que ceux employés par les pirates du monde réel. Cependant, contrairement aux cybercriminels, les membres de l'équipe rouge ne causent pas de dommages réels. Leur but est de révéler les failles dans les mesures de sécurité d'une organisation.
Voici quelques outils et techniques courants de red teaming :
Le red teaming est l'un des principaux moteurs de résilience, mais il peut également représenter de sérieux défis pour les équipes de sécurité. Deux des plus grands défis sont le coût et la durée nécessaires pour mener un exercice. Aussi, dans une organisation type, les actions de l'équipe rouge ont tendance à avoir lieu au mieux de manière périodique, ce qui ne donne qu'un aperçu de la cybersécurité de votre entreprise à un moment donné. Le problème est que votre posture de sécurité peut être forte au moment du test, mais elle peut ne pas le rester.
Mener des tests continus et automatisés en temps réel est le seul moyen de vraiment évaluer votre organisation du point de vue d’un pirate informatique.
IBM Security Randori propose une solution CART appelée Randori Attack Targeted. Avec ce logiciel, les organisations peuvent évaluer en permanence leur posture de sécurité comme le ferait une équipe rouge interne. Cela permet aux entreprises de tester leurs défenses de manière précise, proactive et, surtout, continue pour renforcer la résilience et voir ce qui fonctionne et ce qui ne fonctionne pas.
IBM Security Randori Attack Targeted est conçu pour fonctionner avec ou sans équipe rouge interne. Soutenu par certains des plus grands experts mondiaux en sécurité offensive, Randori Attack Targeted offre aux responsables de la sécurité un moyen d’avoir une visibilité sur la performance de leurs défenses, permettant même aux entreprises de taille moyenne d’assurer une sécurité de très haut niveau.
Ne manquez pas mon prochain article sur la façon dont le red teaming peut contribuer à améliorer la posture de sécurité de votre entreprise.