Qu'est-ce que le red teaming ?

Aujourd’hui, les cyberattaques se déplacent plus rapidement que jamais. Selon l' IBM X-Force Threat Intelligence Index, le temps nécessaire pour exécuter des attaques de ransomware a diminué de 94 % au cours des dernières années, passant de 68 jours en 2019 à moins de quatre jours en 2023.

Les opérations de red teaming permettent aux organisations de découvrir, de comprendre et de corriger de manière proactive les risques de sécurité avant que les acteurs malveillants ne puissent les exploiter. Les équipes rouges adoptent une optique antagoniste, ce qui peut les aider à identifier les vulnérabilités de sécurité que les véritables attaquants sont les plus susceptibles d'exploiter.

L'approche proactive et contradictoire du red teaming permet aux équipes de sécurité de renforcer les systèmes de sécurité et de protéger les données sensibles, même face à des cybermenaces accrues.

Le travail de red teaming est un type de piratage éthique dans lequel les experts en sécurité imitent les tactiques, les techniques et les procédures (TTP) de véritables pirates informatiques.

Les pirates éthiques ont les mêmes compétences et utilisent les mêmes outils que les pirates malveillants, mais leur objectif est d'améliorer la sécurité du réseau. Les membres de l'équipe rouge et autres pirates éthiques suivent un code de conduite strict. Ils obtiennent l’autorisation des organisations avant de les pirater, et ils ne causent aucun préjudice réel à un réseau ou à ses utilisateurs.

Au lieu de cela, les équipes rouges utilisent des simulations d’attaque pour comprendre comment des pirates malveillants peuvent causer des dommages réels à un système. Au cours d’un exercice de lecture en équipe, les membres de l’équipe rouge se comportent comme s’ils étaient des adversaires du monde réel. Ils tirent parti de diverses méthodologies de piratage, des outils d’émulation de menaces et d’autres tactiques pour imiter les attaquants sophistiqués et les menaces persistantes avancées.

Ces simulations d’attaques permettent de déterminer dans quelle mesure les systèmes de gestion des risques d’une organisation (personnes, processus et technologies) peuvent résister et répondre à différents types de cyberattaques.

Les exercices de red teaming sont généralement limités dans le temps. Un test peut durer entre quelques semaines et un mois ou plus. Chaque test commence généralement par la recherche du système cible, y compris l'information publique, l'intelligence open source et la reconnaissance active.

Ensuite, l’équipe rouge lance des attaques simulées contre différents points de la surface d’attaque du système, en découvrant différents vecteurs d’attaque. En voici les exemples les plus courants :

• Systèmes d’IA et modèles de machine learning
• Jeux de données qui prennent en charge les applications d’IA et de ML
• Postes de travail et appareils mobiles
• Systèmes cryptographiques
• Systèmes de détection et réponse des terminaux (EDR)
• Systèmes de détection et de réponse étendues (XDR)
• Pare-feux
• Systèmes de détection d’intrusion (IDS)
• Systèmes d’orchestration, d’automatisation et de réponse (SOAR)
• Applications Web et serveurs Web

Lors de ces attaques simulées, les équipes rouges affrontent souvent des équipes bleues, qui agissent comme les défenseurs du système. Les équipes rouges essaient de contourner les défenses de l'équipe bleue en remarquant comment elles s'y prennent. L'équipe rouge enregistre également toutes les vulnérabilités qu'elle découvre et indique ce qu'elle peut y faire. 

Les exercices de red teaming se terminent par une analyse finale, au cours de laquelle l’équipe rouge rencontre les équipes informatiques et de sécurité pour partager ses conclusions et formuler des recommandations sur la résolution des vulnérabilités.

Les activités de l’équipe rouge utilisent les mêmes outils et techniques que ceux utilisés par les pirates du monde réel pour enquêter sur les mesures de sécurité d’une organisation.

Voici quelques outils et techniques courants de red teaming :

• Ingénierie sociale: utilise des tactiques telles que le phishing, le smishing, le vishing, le phishing ciblé et le whale phishing pour obtenir des informations sensibles ou accéder aux systèmes de l'entreprise auprès d'employés sans méfiance.
  
  
• Tests de sécurité physique : les tests des contrôles de sécurité physique d’une organisation, y compris les systèmes de surveillance et les alarmes.
  
  
• Tests d’intrusion applicatifs : teste les applications web pour détecter les problèmes de sécurité résultant d’erreurs de codage, telles que les vulnérabilités d’injection SQL.
  
  
• Reniflage de réseau :surveille le trafic réseau à la recherche d'informations sur un système informatique telles que les détails de configuration et les identifiants des utilisateurs.
  
  
• Compromission du contenu partagé : ajoute du contenu sur un lecteur réseau ou un autre emplacement de stockage partagé contenant des logiciels malveillants ou d'autres codes dangereux. Lorsqu'il est ouvert par un utilisateur peu méfiant, le code malveillant s'exécute, permettant à l'attaquant de se déplacer latéralement.
  
  
• Forçage brut des identifiants : devine systématiquement les mots de passe en essayant les identifiants des violations précédentes, en testant des listes de mots de passe couramment utilisés ou en utilisant des scripts automatisés.

Le red teaming peut contribuer à renforcer la posture de sécurité de l'organisation et à promouvoir la résilience, mais il peut aussi poser de sérieux problèmes aux équipes de sécurité. Deux des plus grands défis sont le coût et la durée de l'exercice de l'équipe rouge.

Dans une organisation classique, les missions de l'équipe rouge ont tendance à se produire périodiquement dans le meilleur des cas, ce qui ne donne qu'un aperçu de la cybersécurité de l'organisation à un moment donné. Le problème est que la posture de sécurité de l'entreprise peut être solide au moment du test, mais ne pas le rester.

Les solutions de red teaming automatisé continu (CART) permettent aux organisations d’évaluer continuellement et en temps réel leur posture de sécurité. Les solutions CART utilisent l'automatisation pour découvrir les actifs, classer les vulnérabilités par ordre de priorité et mener des attaques à l'aide d'outils et d'exploits développés et maintenus par des experts du secteur.

En automatisant une grande partie du processus, CART peut rendre le Red Teaming plus accessible et permettre aux professionnels de la sécurité de se concentrer sur des tests intéressants et novateurs.

Les exercices de Red Teaming aident les organisations à obtenir le point de vue d’un attaquant sur leurs systèmes. Cette perspective permet à l'organisation de voir dans quelle mesure ses défenses résisteraient à une cyberattaque réelle.

Une attaque simulée oppose les contrôles de sécurité, les solutions et même le personnel à un adversaire dédié, mais non destructeur, afin de déterminer ce qui fonctionne ou non. Le red teaming peut permettre aux responsables de la sécurité d'évaluer concrètement le niveau de sécurité de leur organisation.

Le red teaming peut aider une organisation à :

• Identifiez et évaluez les vulnérabilités de la surface d’attaque (les points où un système peut être pénétré) et les chemins d’attaque (les étapes susceptibles d’être suivies lors du début d’une attaque).
  
  
• Évaluez les performances des investissements actuels en matière de sécurité, notamment les capacités de détection, de prévention et de réponse aux menaces, face aux menaces réelles.
  
  
• Identifiez et préparez-vous à des risques de sécurité jusque-là inconnus ou inattendus.
  
  
•  Donnez la priorité à l'amélioration des systèmes de sécurité.

Les équipes rouges, les équipes bleues et les équipes violettes travaillent ensemble pour améliorer la sécurité informatique. Les équipes rouges mènent des attaques simulées, les équipes bleues jouent un rôle défensif et les équipes violettes facilitent la collaboration entre les deux. 

Le red teaming et les tests d'intrusion, également appelés tests d'intrusion, sont des méthodes distinctes mais qui se chevauchent pour évaluer la sécurité des systèmes. 

Similaires au red teaming, les tests de pénétration utilisent des techniques de piratage pour identifier les vulnérabilités exploitables d'un système. La principale différence réside dans le fait que l'équipe rouge est davantage basée sur des scénarios.

Les exercices de l’équipe rouge se déroulent souvent dans un laps de temps spécifique et opposent généralement une équipe rouge offensive à une équipe bleue défensive. L’objectif est d’imiter le comportement d’un adversaire réel.

Les tests d’intrusion s’apparentent plus à une évaluation de sécurité traditionnelle. Les testeurs d’intrusions utilisent différentes techniques de piratage sur un système ou un actif pour voir lesquels fonctionnent et lesquels ne fonctionnent pas.

Les tests d’intrusion peuvent aider les organisations à identifier les vulnérabilités potentiellement exploitables d’un système. Le red teaming peut aider les organisations à comprendre comment leurs systèmes, y compris les mesures de défense et les contrôles de sécurité, fonctionnent dans un contexte de cyberattaques réelles.

Il convient de noter que les tests d'intrusion et le red teaming ne sont que deux des moyens par lesquels les hackers éthiques peuvent contribuer à améliorer la posture de sécurité des organisations. Les pirates éthiques pourraient également effectuer des évaluations de vulnérabilité, des analyses de logiciels malveillants et d’autres services de sécurité de l’information.