12 octobre 2022
SeCops

Améliorez vos performances de détection de cyberattaques

Written by Arnaud Le Men
FacebookTwitterLinkedInMessenger

Améliorez vos performances de détection de cyberattaques ainsi que votre stratégie opérationnelle de cybersécurité avec la simulation d’attaques en environnement et temps réel Black Noise.

Elle vous permettra d’aider vos experts à mieux utiliser les technologies dans lesquelles vous avez investi, avec une vision précise des angles morts. Elle apportera aussi la visibilité qu’attendent les dirigeants : est-ce que nous savons détecter et réagir efficacement sur une attaque en cours ?

Êtes-vous décidé à confronter vos systèmes de défense Cyber à des conditions de cyberattaques proches du réel ?

Focus sur la solution qui fait « beaucoup de bruit » depuis 2 ans : BlackNoise®, l’une des approches de Breach & Attack Simulation les plus abouties. Reproduire les événements d’une Cyber Kill Chain, démultiplier les impacts d’une red team, paramétrer la furtivité d’une attaque simulée : découvrez jusqu’où vous pouvez aller.

Let’s make some noise

Pour évaluer et améliorer le dispositif de défense cyber, il est essentiel de savoir reproduire, en toute sécurité, le séquencement technique des attaques sur les environnements informatiques.

C’est ce qui a valu à la solution BlackNoise® 3 prix de l’innovation en l’espace d’un an :

Lauréat d’Or des Trophées de la Cybersécurité catégorie Challenge Innovations en 2021,
Cas d’or en 2022
Le prix « Coup de cœur » du FIC 2022.

Pour y parvenir, nous faisons du bruit, du joli bruit.

BlackNoise® s’inscrit dans le segment des solutions de Breach & Attack Simulation (BAS) avec un objectif simple : simuler les modes opératoires des attaquants pour mesurer ce que les clients détectent (ou pas) et en combien de temps ils réagissent aux cyberattaques.

Cette musique est jouée par le boitier BlackNoise®, depuis le service informatique du client. Elle consiste à générer des patterns d’attaques qui reproduisent tout ou partie des étapes de la Cyber Kill Chain. Selon les objectifs attendus, il est possible d’exécuter des simulations unitaires (appelées events pour BlackNoise®) très spécifiques à une technique de cyberattaques ou de les enchaîner sous forme de scénarios pour reproduire le séquencement d’opérations connues.

BlackNoise® s’adapte à son public

On peut participer à un festival (un périmètre technique étendu, par exemple l’ensemble des plages réseaux d’un site) ou proposer un concert privé (un périmètre technique très ciblé focalisé sur certains environnements IT ou OT)

Il est possible de jouer un concert, donc un son bruyant, c’est-à-dire des simulations d’attaques plutôt agressives qui reproduisent les actions d’attaquants non discrets. Mais BlackNoise® peut aussi jouer une sourdine, donc des simulations furtives plus difficiles à détecter. L’intensité sonore est déterminée selon le degré de maturité du dispositif de défense ciblé.

On peut rejouer la même musique plusieurs fois pour analyser l’évolution de l’audiogramme dans le temps, donc déterminer si le dispositif de défense s’améliore ou pas.

Que détectez-vous
vraiment ?

Demandez une démo blacknoise

“Load it, check it, fix it”

Les simulations sont exécutées par des scripts développés en interne. Certains peuvent Living-off-the-Land (LotL) qui consiste à tirer profit des outils présents nativement (par exemple PowerShell ou cmd.exe sur un système Windows). Des outils open source reconnus et validés complètent enfin l’arsenal de BlackNoise®.

Exemples de commandes construites sur la technique du LotL

Le framework ATT&CK du MITRE est en quelque sorte notre partition musicale. Ce référentiel assure la correspondance entre les événements joués et les techniques des attaquants. On peut ainsi composer notre propre mélodie ou rejouer une œuvre connue (l’APTxx ou un profil particulier d’attaquants).

BlackNoise® se distingue des tests d’intrusion et des campagnes Red Team par sa finalité et la démarche mise en œuvre pour y parvenir.

Notre objectif n’est pas d’identifier et d’exploiter des failles de sécurité mais de mettre le système de défense sous stress-test pour voir comment il réagit.

Notre approche consiste à proposer différentes reprises d’une mélodie avec des versions rock, jazz, pop ou funk. Cela signifie que nous déployons des simulations diversifiées. Lorsque c’est applicable, nous testons plusieurs modes opératoires pour chaque technique d’attaque considérée. Contrairement à un pentest qui, pour reprendre la devise de l’OM, va “droit au but” ; BlackNoise® présente une approche plus large qui permet de simuler plusieurs implémentations (différents outils ou commandes, différents paramétrages, etc.) pour déterminer si chacune d’elle est détectée.

Une des caractéristiques techniques prépondérantes de BlackNoise® est son approche fileless.

Nous avons fait le choix de ne pas imposer le déploiement d’agents logiciels sur les composants du périmètre ciblé afin de maîtriser pleinement l’empreinte numérique de la solution. Aucun changement de configuration n’est opéré sur les équipements réseaux, les serveurs, les postes de travail, etc.

Une fois le boitier retiré du réseau, aucune trace ne subsiste. Les simulations sont donc opérées directement depuis les boitiers de la solution, ou par l’intermédiaire de serveurs ou postes pivots mis à dispositions auxquels le boitier accède via WMI, WinRM ou SSH, par exemple, pour piloter l’exécution des events.

« Je puise dans la réalité, les faits »

source

Le terrain de jeu naturel de BlackNoise® est la production. Les solutions dédiées à l’entrainement sur des environnements spécifiques ne répondent pas exactement au besoin pour les raisons suivantes :

L’environnement technique est souvent inexact. Il ne reproduit pas les mêmes configurations au niveau du réseau, des systèmes et des outils de sécurité.

Le mode opératoire (humain) est souvent biaisé. Par expérience, il est difficile de maintenir un niveau d’attention équivalent à la production : soit on sur-joue, soit on laisse passer.

Demandez une démo
BlackNoise®

Je demande