Evaluation Red Team : Quand une attaque réussie est nécessaire

1
117

Toute attaque réussie au sein d’une organisation est cause d’inquiétude, des employés en bas de l’échelle au CEO. Mais une attaque réussie par une Red Team est souhaitable car les équipes Red Team aident les entreprises à comprendre leurs points faibles avant que les attaquants ne soient capables de les exploiter.

Tribune par David Grout,FireEye – Et elles le font en agissant comme des attaquants, mais de manière responsable et sous la conduite de l’organisation qui a fait appel à elles. Les entreprises s’adressent à des Red Teams pour réaliser une évaluation contrôlée de leur environnement, souvent en ayant en tête des objectifs ou des cibles spécifiques.

Beaucoup de gens connaissent probablement déjà les tests de pénétration, une évaluation de sécurité généralement à large spectre dont l’objectif final est de découvrir un nombre aussi élevé que possible de failles de sécurité et d’erreurs de configuration au cours d’une période donnée. Ces vulnérabilités doivent alors être “exploitées” afin que le risques associés pour l’entreprise puissent être determinés. Un test de pénétration a rempli sa mission lorsqu’il a atteint un objectif spécifique, tel que l’accès à des Informations Personnellement Identifiables (PII).

Evaluation Red Team – Un Test de Pénétration au Niveau Supérieur

Une évaluation Red Team est similaire à un test de pénétration, mais avec des singularités importantes. Les Read Teams ne sont souvent pas soumis à des restrictions d’exploitation, sont autorisés à agir sans limitation de moyens pour remplir leurs objectifs, ont souvent un domaine d’investigation plus restreint (sur la base d’objectifs spécifiques) que l’identification de tous les types de vulnérabilités, et il leur est souvent demandé d’aider à tester les capacités de réponse d’une organisation. Parmi les questions auxquelles les Red Teams doivent répondre figurent : Les équipes de sécurité affectent-elles les bons niveaux de priorité aux alertes et traitent-elles les alertes les plus critiques? Les systèmes de sécurité détectent et stoppent ils un attaquant avant qu’il obtienne accès à des données d’entreprise critiques? Un attaquant venant d’Internet est-il capable d’accéder à nos données les plus critiques? Combien de temps faut-il à un attaquant pour pénétrer dans notre réseau et accomplir ses objectifs?

Les tactiques, techniques et procédures (TTPs) utilisées par une Red Team peuvent varier en fonction du niveau de sécurité du client. Si l’organisation dispose de sa propre équipe de sécurité en interne (souvent désignée comme la Blue Team), alors la Red Team pourra utiliser les capacités et les tactiques employées par un état nation pour tester pleinement les défenses de l’organisation cliente.

L’intervention réussie d’une Red Team doit fournir à une organisation les éléments suivants :

  • Un rapport complet destiné aux dirigeants et aux cadres supérieurs, rédigé dans un style aisément compréhensible et qui leur permette d’agir immédiatement.
  • Des éléments techniques avec des informations étape par étape qui permettent à une équipe de sécurité interne de reproduire les résultats de la Red Team.
  • Une analyse des risques basée sur des faits, aidant les organisations à comprendre si chaque conclusion s’applique à leur environnement, et donc son veritable niveau de criticité.
  • Des recommandations tactiques pour l’amélioration immédiate de l’infrastructure de sécurité de l’organisation.
  • Des recommandations stratégiques pour une amélioration à plus long terme de l’infrastructure de sécurité de l’organisation.
  • Une expérience inégalée dans la réponse à des incidents réels, préparant tout le monde, de l’équipe de sécurité aux dirigeants en passant par le service juridique, à l’arrivée inéluctable d’une attaque.

Comment procèdent les Red Teams?

Les évaluations Red Team obéissent à des règles clairement définies qui sont acceptées par avance par le client, telles que l’autorisation d’accéder physiquement aux ordinateurs ou n’utiliser que des moyens numériques. Le client et la Red Team doivent aussi déterminer le ou les objectifs de l’opération. Ceux-ci peuvent comprendre la récupération de numéros de cartes de crédit ou d’autres informations financières, le vol de propriété intellectuelle, ou l’accès à des zones protégées du réseau.

Sans enfreindre ces règles établies, la Red Team utilisera tous les moyens possibles pour atteindre ses objectifs. Figurent ci-dessous quelques exemples des techniques que les Red Teams vont exploiter :

  • Attaque sur le réseau sans fil : La Red Team essaiera d’accéder au réseau sans fil (WIFI) de sa cible, idéalement à partir de l’extérieur. Des réseaux sans fil non sécurisés permettent d’accéder facilement à un réseau d’entreprise, ce qui pourra permettre à la Red Team de se frayer un chemin au travers du réseau, d’accéder à des données utilisateur dotées de privilèges élevés, et in fine de se rapprocher de l’accomplissement de ses objectifs.
  • Ingénierie Sociale : Les Red Teams envoient fréquemment des emails de phishing (hameçonnage) ou de spear phishing (harponnage) à des employés. De même, un membre de la Red Team pourra appeler un employé et par exemple, prétendre faire partie d’un autre département de l’organisation. Dans les deux cas, ceci pourra permettre d’accéder au compte de l’utilisateur et par extension au réseau d’entreprise. Une autre approche plus élaborée pourra reposer sur la création d’un site web frauduleux afin d’y attirer la victime en lui faisant croire qu’il s’agit d’un site légitime. A partir de là, la victime pourra être infectée par un malware donnant à la Red Team accès à son compte ou aux serveurs de l’entreprise.
  • Ingénierie Sociale Physique : Pour ce type d’attaque, un membre de la Red Team pourra rechercher un cadre relativement haut placé de l’entreprise qui, peut être selon les réseaux sociaux, est en voyage ou en vacances. Le membre de la Red Team pourra alors ce rendre dans un bureau régional en prétendant être cette personne, peut être en produisant une carte de visite contrefaite ou un faux badge d’entreprise. Puis il indiquera à l’accueil qu’il est simplement là pour quelques heures pour régler un problème urgent. Dans de nombreux cas, il pourra ainsi accéder aux locaux sans difficultés et avoir accès à un ordinateur connecté au réseau d’entreprise.
  • Attaque via les applications web : Les applications web pointant vers l’extérieur fournissent un point d’entrée initial sur le réseau ciblé. Par exemple, si l’équipe Red Team parvient à exécuter du code sur le serveur web hébergé dans une DMZ, elle pourra se déplacer latéralement depuis ce serveur web vers d’autres zones du réseau. De plus, si l’équipe Red Team est capable d’injecter du code SQL dans une application web, elle pourra potentiellement lire des données sensibles provenant de la base de données en arrière plan, et récupérer des identifiants vers d’autres applications et services.

Les attaques sur le réseau sans fil sont efficaces, mais cibler des individus, qui sont traditionnellement le maillon le plus faible de la chaîne de sécurité, se révèle être la stratégie la plus efficace. Les organisations sont encouragées à former correctement tous leurs employés afin de s’assurer qu’ils appliquent les règles de base et sont au courant des menaces les plus récentes.

Pour les attaques qui vont au delà du “spear phishing”, l’équipe Red Team tentera d’accéder physiquement aux locaux de l’entreprise. Cette technique a également prouvé son efficacité, même si elle impose que les attaquants soient beaucoup plus hardis. Nous recommandons que les employés fassent preuve de vigilance lorsqu’ils rencontrent des visages non familiers dans les locaux, tout en évitant toute confrontation physique.

Les commentaires sont fermés.