Montrer concrètement à un comité de direction ce que peut faire un attaquant informatique est une approche offensive de la sécurité des systèmes d'information devenue incontournable pour évaluer et améliorer son dispositif global de protection.
Pentest et Red Team, quelle différence ?
Les tests d’intrusion (pentest) forment l’approche offensive la plus répandue à l’heure actuelle. Ils fournissent rapidement un état des lieux concret du niveau de sécurité d’un périmètre restreint. Ils permettent de déceler la présence de vulnérabilités techniques, d’évaluer leur exploitabilité et de mettre en évidence les risques qu’elles induisent.
Les exercices de Red Team offrent une approche plus globale : ils servent à évaluer la sécurité de manière générale au niveau d’une entité, en visant à détecter la présence de vulnérabilités techniques comme non techniques et à évaluer les capacités de détection et de réaction des équipes défensives (Blue Team).
Tests d’intrusion Pentest : fonctionnement
De nombreux guides et référentiels ayant fait leurs preuves existent pour les tests d’intrusions. Ceux-ci sont adaptés aux différents types de périmètres existants (OSSTMM, OWASP, NIST, PASSI…). La méthodologie qu’ils proposent suit globalement un même schéma : les tests d’intrusions sont définis par un périmètre précis à tester et suivent un ou plusieurs scénarios d’attaque. Différents niveaux de prérequis associés à ces scénarios sont définis afin de gagner en pertinence et de couvrir au mieux le périmètre dans les conditions de réalisation imparties (délais, ressources).
A titre d’exemple, le test peut commencer par une phase dite « boîte noire », dans laquelle les pentesteurs simulent un attaquant ne disposant d’aucune information particulière sur la cible, suivi d’une phase dite « boîte grise », dans laquelle ils simulent un attaquant qui a réussi à obtenir des prérequis, comme un compte utilisateur ayant des droits d’accès sur le périmètre audité. Les tests sont déroulés par enchaînement de phases de recherche de vulnérabilités et de phases d’exploitation. Ces dernières permettent de qualifier les failles découvertes et, le cas échéant, d’élargir le périmètre accessible.
A noter que lors d’un test d’intrusion, dans un souci d’efficacité, les pentesteurs ne perdent pas de temps à dissimuler leurs actions et à rester sous les radars comme le ferait un véritable attaquant.
Mission Red Team : fonctionnement
Les référentiels méthodologiques
La pratique de la Red Team est nettement plus récente. Les référentiels méthodologiques majeurs le sont également et ont besoin de mûrir. L’un des premiers est le « Cyber Red Teaming – Organisational, technical and legal implications in a military context » publié par le Cooperative Cyber Defence Centre of Excellence de l’OTAN, en 2015. Il est conçu pour le domaine militaire et difficilement applicable à d’autres contextes.
Fin 2017, la Nederlandsche Bank (Banque centrale des Pays-Bas) a publié le « TIBER : Threat Intelligence Based Ethical Red teaming », qui a été repris en 2018 par la BCE (Banque Centrale Européenne) pour créer le TIBER-EU. Celui-ci semble devenir le principal référentiel en la matière. Bien que créée initialement pour le secteur bancaire, la méthode est applicable à d’autres domaines d’activité. Elle s’adresse essentiellement aux grands comptes.
L’une de ses particularités est d’insister sur la phase de recherche d’informations (Threat Intelligence) en amont, ainsi que sur la nécessité d’en confier la réalisation à des équipes externes à l’entité auditée. Objectif : éviter un biais lié aux informations ou un lien qu’une équipe interne pourrait avoir. La méthode TIBER-EU part du principe que les acteurs réalisant les phases de recherche d’informations et ceux en charge des phases offensives sont des groupes distincts. Ce fonctionnement n’est pas forcément idéal pour s’assurer que les données recherchées soient les plus pertinentes pour mener l’attaque à bien, ni pour que l’équipe offensive garde bien en tête toutes les informations recueillies lors de la réalisation de l’attaque. La méthode implique également des livrables spécifiques, avec notamment une réunion consistant à reparcourir le scénario de l’exercice, dans lequel l’équipe offensive (Red Team) et l’équipe défensive (Blue Team) revoient ensemble toutes les actions effectuées par chacun tout au long du processus.
En coopération avec le CREST, la Bank of England a plus récemment publié, le CBEST Threat Intelligence-Led Assessments, une méthode plus orientée vers le secteur bancaire que TIBER-EU, et particulièrement adapté à la législation britannique.
Les scénarios d’attaque
Les exercices de Red Team sont donc réalisés en suivant une ou plusieurs de ces méthodes pour s’adapter aux besoins et aux spécificités des clients. Ils sont définis par des objectifs critiques semblables à ceux de vrais attaquants ciblant l’entité auditée, comme la récupération des données confidentielles relatives à un projet sensible, l’accès à des fonctionnalités critiques ou encore le déploiement d’un ransomware. Toujours à l’image d’un attaquant réel, une mission de Red Team commence par une phase de recherche d’informations sur le client pour définir une stratégie d’attaque. Les technologies employées par la cible et les intervenants ayant accès aux objectifs figurent parmi les éléments recherchés, notamment grâce à des techniques d’OSINT (Open Source INTelligence : Renseignement sur sources ouvertes). En fonction des données obtenues, un ou plusieurs scénarios d’attaque sont élaborés. Pour reproduire au mieux la réalité des comportements malveillants, les scénarios peuvent inclurent de l’intrusion physique ainsi que des techniques d’ingénierie sociale (social engineering) comme le phishing (hameçonnage). Ceux qui représentent le meilleur compromis entre efficacité, complexité et risque d’être repéré sont privilégiés. Une fois le scénario préparé, la phase d’attaque débute. Elle comprend généralement une ou plusieurs intrusions initiales, suivies de prises d’informations, de recherche de vulnérabilités, de mouvements latéraux et d’élévations de privilèges. Durant cette phase, l’équipe d’attaque prend le temps de dissimuler ces actions afin de rester invisible. Selon les réactions des équipes de défenses ou des intervenants ciblés par les attaques, elle ajuste ses actions pour tenter malgré tout d’atteindre ses objectifs.
Pour s’adapter au mieux aux souhaits, aux contraintes de délais et au budget du client, certaines étapes peuvent être omises. L’équipe pourra, par exemple, supprimer la phase de recherche d’informations en utilisant un scénario d’intrusion fourni par le client. Mais le risque est de se calquer sur une stratégie d’attaque trop éloignée de celle d’un véritable attaquant. Même si ce n’est pas un schéma idéal, il est aussi envisageable de passer outre l’intrusion initiale, en partant du principe qu’un attaquant s’est d’ores et déjà introduit. Le scénario part alors directement du réseau interne. Mais il est dans ce cas impossible de tester les défenses périmétriques et les détections associées.
Autre option : faire collaborer les équipes offensives et défensives durant l’ensemble de l’exercice. Ce travail conjoint mélangeant acteurs Blue et Red est appelé communément Purple Team. Il permet de faire progresser plus vite les équipes défensives, mais au détriment du réalisme des attaques qui se retrouve généralement biaisé par ces interactions. Les équipes dites de Red Team internes sont souvent impliquées dans ce type de pratiques qui, notamment chez les grands comptes à forts enjeux de cybersécurité, peut être réalisé en continu, en complément d’exercices ponctuels de Red Team au sens strict.
Le résultat principal d’un test d’intrusion est un rapport qui permet au client d’avoir une évaluation du niveau de sécurité du périmètre audité, de disposer de la liste des vulnérabilités découvertes, ainsi que des recommandations de corrections. Pour chaque faille, les pentesteurs réalisent une évaluation selon la norme CVSSv3. Son degré de criticité et les risques associés à son exploitation sont précisés. Le client est ainsi en mesure de définir un plan d’action priorisant les correctifs à apporter afin d’améliorer son niveau de sécurité.
Pour les exercices de Red Team, le rapport rendu contient l’ensemble des informations jugées pertinentes ayant pu être recueillies lors de la phase de recherche d’information, un descriptif détaillé du déroulement de l’attaque comprenant ses succès et ses échecs, les éventuels indicateurs de compromission (IOC) avec lesquels l’attaque aurait dû être détectée, les chaînes d’exploitation selon le référentiel ATT&CK du MITRE, ainsi qu’une liste des vulnérabilités rencontrées, comme dans les rapports de test d’intrusion. Une réunion en présence de représentants des équipes offensives et défensives vise à faire un point sur tous les aspects qui auraient pu être détectés ou bloqués par l’équipe défensive, et permet ainsi d’en tirer le plus d’enseignements possibles.