Qu'est-ce qu'un exercice Red Team / Blue Team ?
Dans le cadre d'un exercice Red Team / Blue Team, la Red Team est composée d'experts en sécurité offensive qui tentent d'attaquer les défenses de cybersécurité d'une entreprise. La Blue Team défend quant à elle l'entreprise contre l'attaque de la Red Team et y répond.
Inspiré des exercices d'entraînement militaires, cet exercice consiste en un face-à-face entre deux équipes de professionnels de la cybersécurité hautement qualifiés : une Red Team qui utilise les techniques employées par les cyberadversaires sur le terrain pour tenter de compromettre l'environnement, et une Blue Team composée de spécialistes de la réponse à incident qui travaillent au sein de l'équipe de sécurité pour identifier, évaluer et neutraliser l'intrusion.
Les simulations Red Team / Blue Team jouent un rôle important dans la protection de l'entreprise contre un large éventail de cyberattaques menées par les cyberadversaires sophistiqués d'aujourd'hui. Ces exercices aident les entreprises à différents égards :
- Identifier les points de vulnérabilité liés aux personnes, aux technologies et aux systèmes
- Identifier les possibilités d'amélioration des processus de réponse à incident à chaque phase de la chaîne de frappe (kill chain)
- Acquérir une expérience pratique de la détection et de la neutralisation d'une attaque ciblée
- Développer des activités de réponse et de correction afin de ramener l'environnement à un état de fonctionnement normal
RAPPORT CROWDSTRIKE SERVICES CYBER FRONT LINES REPORT
Chaque année, l'équipe des Services CrowdStrike affronte une multitude de nouveaux cyberadversaires. Téléchargez le rapport sur son expérience aux avant-postes de la cybersécurité et découvrez l'analyse et les recommandations pratiques de nos experts.
TéléchargerQu'est-ce qu'une Red Team ?
Lors d'une simulation de cybersécurité entre la Red Team et la Blue Team, la Red Team joue le rôle du cyberadversaire et tente d'identifier et d'exploiter les failles potentielles des cyberdéfenses de l'entreprise à l'aide de techniques d'attaque sophistiquées. Cette équipe offensive est généralement composée de professionnels de la sécurité chevronnés ou de cyberpirates éthiques indépendants qui exécutent des tests d'intrusion en imitant les techniques et méthodes d'attaque utilisées sur le terrain par les cyberadversaires.
La Red Team accède généralement au réseau en dérobant les identifiants d'utilisateurs ou en ayant recours à des techniques d'ingénierie sociale. Une fois à l'intérieur du réseau, elle élève ses privilèges et se déplace latéralement parmi les systèmes pour tenter de s'enfoncer le plus profondément possible dans le réseau et d'exfiltrer des données tout en échappant à la détection.
Qu'est-ce qu'une simulation d'attaque et pourquoi votre équipe de sécurité en a-t-elle besoin ?
Une simulation d'attaque consiste à identifier de façon rigoureuse et systématique (mais néanmoins éthique) un chemin d'attaque permettant de percer les défenses de sécurité de l'entreprise au moyen de techniques d'attaque couramment utilisées par les cyberadversaires. Grâce à cette approche offensive, les défenses de l'entreprise ne reposent pas sur les capacités théoriques des outils et systèmes de sécurité, mais sur leurs performances réelles face à des menaces concrètes. La simulation d'attaque est essentielle pour évaluer précisément les capacités et la maturité de l'entreprise en matière de prévention, de détection et de correction.
Qu'est-ce qu'une Blue Team ?
Si la Red Team joue en attaque, la Blue Team joue quant à elle en défense. En général, ce groupe est composé de consultants spécialisés dans la réponse à incident, qui conseillent l'équipe de sécurité informatique sur les améliorations à apporter pour bloquer les cyberattaques et menaces sophistiquées. L'équipe de sécurité informatique est ensuite chargée d'assurer la protection du réseau interne contre divers types de risques.
Si de nombreuses entreprises considèrent la prévention comme l'enjeu ultime de la sécurité, la détection et la correction sont tout aussi importantes pour les capacités de défense globales. L'un des indicateurs clés de l'évaluation de ces capacités est le « temps de propagation » dans l'entreprise, c'est-à-dire le délai critique entre le moment où un intrus compromet la première machine et celui où il peut commencer à se déplacer latéralement vers d'autres systèmes du réseau.
CrowdStrike recommande généralement de respecter la « règle 1-10-60 », selon laquelle les entreprises doivent pouvoir détecter une intrusion en moins d'1 minute, évaluer son niveau de risque dans les 10 premières minutes et éjecter le cyberpirate en moins de 60 minutes.
Avantages des exercices Red Team / Blue Team
La mise en œuvre d'une stratégie Red Team / Blue Team permet aux entreprises de tester activement leurs cyberdéfenses et leurs capacités existantes dans un environnement à faible risque. En faisant appel à ces deux groupes, il est possible de faire évoluer en permanence la stratégie de sécurité de l'entreprise en fonction de ses points faibles et vulnérabilités spécifiques, ainsi que des dernières techniques d'attaque utilisées par les cyberadversaires.
Grâce aux exercices Red Team / Blue Team, l'entreprise peut :
- Identifier les erreurs de configuration et les lacunes dans la protection offerte par les solutions de sécurité existantes
- Renforcer la sécurité du réseau afin de détecter les attaques ciblées et de réduire le temps de propagation
- Nourrir une saine concurrence entre les membres de l'équipe de sécurité et favoriser la coopération entre les équipes informatiques et de sécurité
- Sensibiliser ses collaborateurs aux risques liés aux vulnérabilités humaines susceptibles de compromettre la sécurité de l'entreprise
- Développer les compétences et la maturité des fonctions de sécurité de l'entreprise dans un environnement de formation sûr et à faible risque
Qu'est-ce qu'une Purple Team ?
Dans certains cas, les entreprises organisent un exercice Red Team / Blue Team avec des ressources extérieures qui ne coopèrent pas pleinement avec les équipes de sécurité internes. Par exemple, les cyberadversaires engagés pour jouer le rôle de la Red Team peuvent ne pas partager leurs techniques d'attaque avec la Blue Team ou ne pas fournir un rapport complet des points faibles de l'infrastructure de sécurité existante, avec le risque que certaines failles subsistent au terme de l'exercice.
L'expression « Purple Team » est utilisée pour désigner une Red Team et une Blue Team qui travaillent de concert. Ces équipes partagent toutes les informations à leur disposition afin d'améliorer la sécurité globale de l'entreprise.
Chez CrowdStrike, nous pensons que les exercices Red Team / Blue Team ne sont véritablement utiles que si les deux équipes présentent un bilan de mission complet à toutes les parties prenantes après chaque mission et fournissent un rapport détaillé de tous les aspects des activités du projet, notamment les techniques de test, les points d'accès, les vulnérabilités et d'autres informations spécifiques qui aideront l'entreprise à combler adéquatement les failles et à renforcer ses défenses. Aux fins de cet article, nous considérerons les concepts de Purple Team et d'exercices Red Team / Blue Team comme synonymes.
Compétences de la Red Team et de la Blue Team
Compétences de la Red Team
Pour être efficace, une Red Team doit être foncièrement sournoise et adopter l'état d'esprit d'un cyberadversaire sophistiqué afin d'accéder au réseau et de progresser dans l'environnement sans être détectée. Le membre idéal d'une Red Team doit posséder à la fois des compétences techniques pointues et un esprit créatif, et être capable d'exploiter tant les faiblesses du système que la nature humaine. Il est également important que la Red Team connaisse les tactiques, techniques et procédures (TTP) des cybercriminels, ainsi que les outils et cadres d'attaque utilisés par les cyberadversaires en activité.
Par exemple, un adolescent de Floride a récemment utilisé des tactiques d'harponnage (spear phishing) ainsi que des techniques d'ingénierie sociale pour obtenir les identifiants de collaborateurs de Twitter et accéder aux systèmes internes, entraînant la compromission très médiatisée de plus de 100 comptes de personnalités en vue.
Prérequis des membres de la Red Team :
- Connaissance approfondie des systèmes et protocoles informatiques, ainsi que des techniques, outils et mesures de sécurité
- Solides compétences en développement logiciel afin de mettre au point des outils personnalisés permettant de contourner les mécanismes et mesures de sécurité courants
- Expérience en matière de tests d'intrusion permettant d'exploiter les vulnérabilités courantes et d'éviter les activités qui sont souvent surveillées ou facilement détectées
- Compétences en ingénierie sociale permettant au membre de l'équipe de manipuler les utilisateurs pour les inciter à partager des informations ou des identifiants
Compétences de la Blue Team
Si, d'un point de vue technique, la Blue Team se concentre sur la défense, la nature de sa tâche est essentiellement proactive. Idéalement, cette équipe doit identifier et neutraliser les risques et les menaces avant qu'ils n'infligent des dommages à l'entreprise. Toutefois, la sophistication croissante des attaques et des cyberadversaires rend cette tâche pratiquement impossible, même pour les professionnels de la cybersécurité les plus qualifiés.
Le travail de la Blue Team consiste à parts égales en de la prévention, de la détection et de la correction. La Blue Team doit faire montre des compétences courantes suivantes :
- Compréhension approfondie de la stratégie de sécurité de l'entreprise vis-à-vis des personnes, des outils et des technologies
- Compétences analytiques pour identifier avec précision les menaces les plus dangereuses et prioriser les réponses en conséquence
- Techniques de renforcement de la sécurité pour réduire la surface d'attaque, notamment s'agissant du système DNS (Domain Name System), afin de prévenir les attaques de phishing et d'autres techniques d'intrusion via le Web
- Connaissance approfondie des outils et systèmes de détection existants de l'entreprise ainsi que de leurs mécanismes d'alerte
Collaboration entre la Red Team et la Blue Team
Scénarios des exercices Red Team / Blue Team
Les exercices Red Team / Blue Team constituent un aspect essentiel d'une stratégie de sécurité robuste et efficace. Ces exercices sont conçus pour permettre à l'entreprise d'identifier les points faibles des personnes, processus et technologies au sein du périmètre du réseau, ainsi que les failles de sécurité telles que les portes dérobées et autres vulnérabilités d'accès potentiellement présentes dans l'architecture de sécurité. Ces informations permettront aux clients de renforcer leurs défenses et de former ou entraîner leurs équipes de sécurité à répondre plus efficacement aux menaces.
Comme de nombreuses compromissions peuvent échapper à la détection pendant des mois, voire des années, il est important d'effectuer régulièrement des exercices Red Team / Blue Team. Des études indiquent que les cyberadversaires s'implantent en moyenne pendant 197 jours dans un environnement réseau avant d'être détectés et éjectés. Les enjeux sont considérables pour les entreprises dans la mesure où les cyberattaquants peuvent profiter de cette période pour installer des portes dérobées ou modifier le réseau afin de créer de nouveaux points d'accès susceptibles d'être exploités ultérieurement.
L'une des différences importantes dans la façon dont CrowdStrike aborde les exercices Red Team / Blue Team réside dans sa stratégie globale. Nous utilisons les simulations d'attaque pour disséminer des données dans l'environnement afin que la Blue Team puisse évaluer le risque associé à chaque incident et réagir en conséquence. Ainsi, nous ne traitons pas cet exercice comme un jeu de guerre traditionnel : au lieu de tenter de bloquer chaque action de la Red Team, nos clients évaluent et priorisent le plus efficacement possible les événements révélés par les données comme représentant la plus grande menace.
Exemples d'exercices de simulation d'attaques
La Red Team utilise toute une série de techniques et d'outils pour exploiter les failles de l'architecture de sécurité. Par exemple, lorsqu'il joue le rôle d'un cyberattaquant, un membre de la Red Team peut infecter l'hôte avec un logiciel malveillant afin de désactiver les contrôles de sécurité, ou utiliser des techniques d'ingénierie sociale pour voler des identifiants d'accès.
Les activités de simulation d'attaques suivent généralement le cadre ATT&CK du MITRE, une base de connaissances des tactiques, techniques et méthodes des cyberadversaires basée sur des expériences et événements réels et accessible au monde entier. Ce cadre sert de base au développement de capacités de prévention, de détection et de réponse pouvant être personnalisées en fonction des besoins spécifiques de chaque entreprise et de l'évolution du paysage des menaces.
Exemples d'activités de simulation d'attaque :
- Test d'intrusion, dans le cadre duquel un membre de la Red Team tente d'accéder au système à l'aide de diverses techniques réellement utilisées par les cyberadversaires
- Tactiques d'ingénierie sociale, qui visent à manipuler les collaborateurs ou d'autres membres du réseau pour qu'ils partagent, divulguent ou créent des identifiants réseau
- Interception des communications afin de cartographier le réseau ou d'obtenir plus d'informations sur l'environnement dans le but de contourner les techniques de sécurité courantes
- Clonage des cartes d'accès d'un administrateur pour accéder aux zones à accès restreint
Exemples d'exercices de défense
Représentant la ligne de défense de l'entreprise, la Blue Team utilise les outils, protocoles, systèmes et autres ressources de sécurité pour protéger l'entreprise et identifier les failles dans ses capacités de détection. L'environnement de la Blue Team doit refléter le dispositif de sécurité actuel de l'entreprise, qui est susceptible de comporter des outils mal configurés, des logiciels non corrigés ou d'autres risques connus ou inconnus.
Exemples d'exercices de défense :
- Exécution d'une recherche DNS
- Analyse numérique visant à établir une ligne de base des activités réseau afin de repérer plus facilement les activités inhabituelles ou suspectes
- Audit, configuration et surveillance des logiciels de sécurité dans l'ensemble de l'environnement
- Vérification de la configuration et de la mise à jour des dispositifs de sécurité du périmètre, tels que les pare-feux, les antivirus et les logiciels antimalware
- Mise en œuvre du principe du moindre privilège, ce qui signifie que l'entreprise accorde le niveau d'accès le plus bas possible à chaque utilisateur ou terminal afin de limiter les déplacements latéraux sur le réseau en cas de compromission
- Mise en œuvre de la microsegmentation, une technique de sécurité qui consiste à diviser les périmètres en petites zones pour maintenir un accès séparé à chaque partie du réseau
Comment constituer une Red Team et une Blue Team efficaces
En quoi les Services CrowdStrike® offrent-ils la solution idéale ?
Les cyberadversaires font constamment évoluer leurs TTP d'attaque, si bien que les compromissions peuvent échapper à la détection pendant des semaines, voire des mois. Par ailleurs, les entreprises peinent à détecter les attaques sophistiquées en raison de l'inefficacité des contrôles de sécurité et des failles dans leurs défenses de cybersécurité. Les équipes de sécurité doivent s'assurer qu'elles sont prêtes à faire face à une attaque ciblée. En effet, ce n'est pas parce que l'entreprise peut résister à un type d'attaque particulier que l'équipe dispose des outils et de la visibilité nécessaires pour résister à une attaque plus sophistiquée.
L'exercice de simulation de cyberadversaires de CrowdStrike est conçu pour donner à votre entreprise l'expérience d'une attaque ciblée sophistiquée menée par des cybercriminels réels, sans les dommages ou les coûts associés à une compromission réelle. L'équipe des Services CrowdStrike s'appuie sur des TTP utilisées par les cybercriminels et déduites des renseignements de cyberveille recueillis par les experts de CrowdStrike lors d'interventions sur le terrain, ainsi que via la plateforme CrowdStrike Falcon®, qui identifie des billions d'événements et des millions d'indicateurs chaque semaine. Les Services CrowdStrike élaborent une campagne d'attaque ciblée spécifique à votre entreprise, qui se concentre sur les utilisateurs présentant de l'intérêt pour les cyberadversaires, comme le feraient ceux-ci. L'équipe adopte une approche objective axée sur les objectifs de l'attaque et s'attache à faire la démonstration de l'accès aux informations critiques de votre entreprise afin de montrer l'impact d'une compromission à vos dirigeants sans infliger les dommages d'une véritable compromission. Cet exercice vous aidera à répondre à la question suivante : « Sommes-nous prêts à essuyer une attaque ciblée ? ».