Get best of the week

5 mythes sur l'équipe rouge



Le terme Red Teaming a été entendu par tous ceux qui sont impliqués directement ou indirectement dans la sécurité de l'information. Mais tout le monde ne comprend pas bien de quoi il s'agit: pourquoi avons-nous besoin d'une évaluation de l'efficacité de l'équipe de réponse aux incidents? Quelle est cette forme d'entraînement pour l'équipe défensive? Souvent, Red Teaming est proposé pour des tests de pénétration complets: ils fournissent des tests de pénétration classiques, quoique avancés, à un prix plusieurs fois plus élevé. Certaines grandes entreprises recherchent leurs propres spécialistes du Red Teaming et, très probablement, ne comprennent pas non plus complètement quelles tâches elles vont résoudre avec leur aide. Qu'est-ce que Red Teaming en tant que service et qu'est-ce qui n'est pas Red Teaming? À ce sujet ci-dessous.

Référence historique


Comme beaucoup d'autres choses dans notre vie quotidienne (ruban adhésif, micro-ondes, conserves, etc.), le terme Red Teaming vient du complexe militaro-industriel. Pendant la guerre du Vietnam, les pilotes militaires américains ont pratiqué les techniques de combat aérien et ont appris leurs propres erreurs, augmentant ainsi leur niveau de compétence sans réelle perte de pilotes et d'avions. Mais le nom "équipe rouge", très probablement, est apparu lors de la confrontation avec l'Union soviétique. Historiquement, l'attaque "rouge" et la défense "bleue".


Les gardes de Budapest ont également aimé ce terme;)

Qu'est-ce que Red Teaming?


Mythe # 1. Red Teaming est un test de pénétration ou d'audit complet.


Il existe trois principaux types de travaux pour vérifier le niveau de sécurité d'une entreprise.

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
La simulation des actions des attaquants par une équipe d'attaquants entraîne l'automatisme de la réponse aux incidents et donne aux défenseurs une connaissance de la situation des outils et des tactiques des attaquants.

Red Teaming se concentre sur les opérations de sécurité intégrées qui incluent les personnes, les processus et les technologies. Red Teaming se concentre directement sur la formation de l'équipe défensive et sur l'évaluation de la manière dont le service de sécurité peut contrer les actions réelles de l'adversaire. Les failles et vulnérabilités techniques dans ce cas sont secondaires - la question clé est de savoir comment, avec leur aide, l'intrus peut influencer les activités de l'organisation.

Au cœur du Red Teaming se trouve le scénario de l'ennemi. Les scénarios distinguent Red Teaming des tests de pénétration et déterminent également l'avancement du projet. Les scénarios vous permettent de simuler les actions d'un adversaire spécifique (un groupe APT spécifique) ou de simuler les actions d'un attaquant présumé.

Red Teaming utilise des méthodes et des techniques de sécurité offensives, mais de par sa nature, il fait partie de la sécurité défensive et fait partie du SOC, donc il ne peut exister sans la Blue Team.

Une équipe attaquante est un groupe indépendant de professionnels qui examine la sécurité d'une organisation depuis la position d'un adversaire. L’équipe trouve des moyens alternatifs d’atteindre ses objectifs et met les défenseurs de l’organisation au défi de tester leur état de préparation aux menaces réelles. L'indépendance aide les attaquants à évaluer avec précision et impartialité les niveaux de sécurité tout en évitant de nombreux biais.

Mythe numéro 2. Une organisation peut avoir son propre Team Red interne


Pour conserver son indépendance, l'équipe attaquante doit être externe. Et le manque de connaissances sur le système attaqué et sa protection (à l'exception des informations obtenues à un stade précoce du projet) permettra une meilleure préparation et élaboration de la bonne stratégie de mise en œuvre du projet. Le Red Teaming interne ne peut être que sous une forme limitée, et il est préférable de l'appeler le terme "Purple Teaming" (un mélange de couleurs rouges et bleues) ou Threat Hunt. Il s'agit d'un groupe de spécialistes au sein de l'entreprise qui peut effectuer diverses attaques sur l'infrastructure et en même temps mettre en place des contrôles pour détecter de telles attaques. Mais le groupe externe devrait évaluer l'efficacité.

Buts


Comme toute activité, Red Teaming a un but. Les objectifs des attaquants peuvent être différents (l'essentiel est qu'ils ne violent pas la loi et les secrets commerciaux), par exemple:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


Il n'y a pas de gagnants ou de perdants au Red Teaming. Les attaquants n'ont pas pour objectif de capturer tranquillement et tranquillement le serveur ou le réseau de l'organisation. Au stade initial, l'équipe attaquante agira en silence, mais dès qu'elle se rapprochera de la cible «sans lien de dépendance», elle commencera à «faire du bruit» afin d'attirer l'attention des défenseurs. S'ils détectent et bloquent les attaquants à un stade précoce, ils ne seront pas en mesure de découvrir comment l'ennemi peut continuer. Mais s'il n'y a pas de gagnants et de perdants, comment déterminer le succès?

Succès


Le succès de Red Teaming n'est pas déterminé par la façon dont l'équipe attaquante capture le réseau. Le projet Red Teaming réussit lorsque l'équipe attaquante atteint ses objectifs et que l'équipe de défense est en mesure d'apprendre et d'améliorer le niveau de sécurité de l'organisation.

Le succès peut également être déterminé en répondant aux questions suivantes:

  • Combien de temps l'équipe de défense détecte-t-elle les attaquants?
  • Les outils disponibles détectent-ils les attaquants?
  • L'équipe de défense suit-elle son TTP lorsque les actions de l'équipe attaquante déclenchent une alarme?
  • L'équipe de défense peut-elle détecter les canaux de communication avec le centre de commandement attaquant (C2)?
  • Les défenseurs peuvent-ils compiler un profil d'attaquant basé sur des indicateurs de compromis (IOC) sur le réseau et les hôtes?

Je t'ai eu!


Comment déterminer que le projet Red Teaming est en phase d'achèvement (et qu'il est temps de rédiger un rapport)? Cet élément est discuté et approuvé au début. En général, il existe plusieurs options:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • L'équipe du défenseur a découvert les actions de l'équipe attaquante. Il y a un piège ici. Si l'équipe du défenseur a détecté à un stade précoce une attaque, par exemple une attaque de phishing ou l'installation d'un canal de communication avec le centre de commandement (C2), et a crié «oui, vous l'avez!», Elle a réagi correctement - le but a été atteint. Dans ce cas, il vaut la peine de discuter à l'avance de la possibilité pour les défenseurs d'observer les actions ultérieures des attaquants. Ici, vous pouvez déjà surveiller jusqu'à un certain point et ainsi vérifier quels contrôles de sécurité sont déclenchés et lesquels ne le sont pas et nécessitent des paramètres supplémentaires. Les défenseurs pourront à tout moment déconnecter les canaux de communication et dire «pris!», Mais avant cela, ils auront le temps de se familiariser avec les nouvelles techniques.

Avantage


Quels sont les principaux avantages de Red Teaming? La possibilité de changer l'angle de vue de la sécurité des informations dans l'entreprise:

  • voir l'état réel de la sécurité et ses points faibles (avant qu'une personne particulièrement «douée» ne le fasse de l'extérieur);
  • identifier les lacunes dans les processus, les procédures et les techniques (et les éliminer, bien sûr);
  • savoir si le service SI fait bien son travail, sans les conséquences d'un incident réel;
  • mieux comprendre les tactiques, les méthodes et les procédures de l'ennemi et dépenser le budget pour la sécurité de l'information plus efficacement;
  • sensibiliser le personnel, les gestionnaires et le personnel du SI.

Si le projet Red Teaming n'améliore pas le niveau de sécurité, il est inutile de le mener.

Mythe n ° 4. Seules les organisations de sécurité matures peuvent avoir besoin de Red Teaming.


Red Teaming peut être utilisé par des organisations ayant n'importe quel niveau de maturité de la sécurité des informations. Une condition préalable est une équipe de défenseurs et de processus pour répondre aux incidents et aux menaces.

Red and Teaming aidera les organisations d'entrée de gamme et à mi-maturité à évaluer leur capacité à résister à un adversaire expérimenté: comprendre quelle voie se développer, quels contrôles de sécurité mettre en œuvre. Et aussi développer l'automatisme pour la bonne réponse aux incidents.

Pour une organisation avec un niveau de sécurité mature, ce sera la formation et le développement de ses compétences. Mais en plus de cela, ils pourront voir de nouvelles techniques et tactiques qu'ils n'ont pas encore rencontrées.

Structure organisationnelle


Les équipes suivantes participent au projet:

  • Red Team (Red Team) - attaquant. Spécialistes qui simulent des attaques contre une organisation.
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

Souvent, l'équipe blanche est confondue avec l'équipe violette.

Mythe numéro 5. Le coût très élevé du projet Red Teaming


Le prix est peut-être le problème le plus important qui intéresse tout client. Le coût exorbitant de Red Teaming est un stratagème de marketing. Un nom incompréhensible, une nouvelle tendance dans l'industrie de la sécurité de l'information - tout cela conduit souvent à une inflation déraisonnable du prix d'un service.

Le coût du Red Teaming est calculé en fonction de la durée du projet, qui à son tour dépend du scénario choisi. Plus le script est complexe, plus il y a de travail.
La durée du projet Red Teaming est due au fait que l'équipe attaquante doit agir secrètement afin de ne pas se révéler à l'avance. La durée moyenne d'un projet est d'environ 12 semaines. A titre de comparaison: les tests de pénétration complets, comprenant le périmètre externe, l'infrastructure interne, l'ingénierie sociale et l'analyse des réseaux sans fil, durent en moyenne 7 semaines (ils peuvent être réalisés plus rapidement si le contractant effectue les étapes en parallèle).

Même avant le début de la partie principale, l'équipe attaquante effectue une reconnaissance passive et une collecte de données, préparant l'infrastructure et finalisant ou développant leurs propres outils en fonction des informations reçues. Et à la fin du projet, une consultation supplémentaire des employés du client est organisée. Tous ces coûts de main-d'œuvre sont pris en compte dans le coût total.

Il s'ensuit assez logiquement que le prix du Red Teaming sera plus élevé que les tests de pénétration complets. Mais en même temps, bien sûr, il ne dépassera pas son coût décuplé.

Achèvement des travaux


Le rapport est une forme de preuve de travail. Cependant, sa principale valeur est qu'il peut (et doit) être analysé et utilisé pour améliorer la sécurité de l'entreprise. Par conséquent, sa qualité est extrêmement importante.

Le rapport Red Teaming peut être très différent des rapports de test de pénétration et d'analyse de sécurité. Comme le travail est largement axé sur le script, le rapport est basé sur un historique des actions.

Le rapport contiendra les informations suivantes:

  • Conclusion de haut niveau sur l'état de sécurité et la volonté des défenseurs de faire face à des menaces réelles
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

A l'issue du projet, plusieurs rencontres sont possibles avec des représentants des deux parties. L'une consiste à guider l'organisation, en mettant l'accent sur l'image globale du projet. Les résultats de l'équipe rouge peuvent affecter le travail futur de l'organisation: exiger un financement pour éliminer les lacunes constatées ou pour modifier le tableau des effectifs. Si les résultats du Red Teaming seront utilisés pour améliorer la sécurité de l'organisation (sinon, un tel travail n'a pas de sens), alors la sensibilisation et l'intérêt de la direction sont très importants.

Une autre réunion est technique. Il s'agit d'un échange d'informations bidirectionnel entre les attaquants, les défenseurs et le coordinateur du projet côté client. Comprend un examen détaillé de haute technologie des actions de l'équipe attaquante et défensive prises pendant le projet. Permet aux deux parties de poser des questions dans le contexte des attaques mises en œuvre et d'y répondre, de recevoir des recommandations d'amélioration et des idées de nouvelles méthodologies. Cela permet d'améliorer la capacité des défenseurs et des équipes offensives. Ces réunions font partie du projet et leurs avantages peuvent être inestimables.

Conclusion


Le sujet de Red Teaming est très vaste et ne peut pas être entièrement pris en compte dans un seul article. Néanmoins, de ce qui précède, nous pouvons tirer quelques brèves conclusions de base:

  • Les principaux avantages de Red Teaming sont la formation et le partage des connaissances.
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles