Qu’il n’y ait pas de mal entendu, il ne s’agit pas ici de faire un plaidoyer contre les Red Teams, au contraire. Nous avons plusieurs partenaires qui sont d’excellents Red Teamers et avec qui nous travaillons particulièrement bien. Les opérations de Red Teams restent une référence pour mettre les entreprises face à la réalité du risque cyber. Cependant, les nouvelles méthodes de renforcement permanent de la SecOps par les solutions de type Breach & Attack Simulation, challengent de plus en plus les méthodes traditionnelles de la Red Team. Mais pourquoi ?
Les BAS mettent en évidence les défaillances qu’exploitent les Red Team.
Les deux approches ont une finalité différente.
La Red Team va suivre un chemin de compromission dit du « moindre effort » : passer le moins de temps possible sur l’infrastructure ciblée, laisser le moins de trace, aller droit au but par le canal le plus court, limiter ses mouvements, etc.
En atteignant son objectif, elle mettra en évidence des défaillances très ciblées et localisées, qui feront l’objet d’une correction ensuite. La solution BAS suit tous les chemins envisageables, en produisant plusieurs intensités de bruit avec un objectif principal : vérifier que ce qui doit être détecté l’est bien et est efficacement traité par les équipes cyber.
Chemin faisant, les simulations produites par les BAS mettent en relief de nombreuses défaillances, parfois ponctuelles, souvent ignorées et généralement relativement simples à corriger. Quelques exemples très concrets :
- Concernant la détection :
- Les défaillances ou manques de couverture des services de collecte et de remontée de logs (Syslog absent ou défaillant) ;Les limites de la stratégie de journalisation (type de log, durée de rétention…) Les défauts de paramétrage de scénario de corrélation du SIEM (règles inadéquates ou inactives)
- La non détection d’une action particulière par un EDR (qui aurait dû le voir)
- La défaillance ou l’absence d’alerting par les consoles de détection (SIEM, EDR, etc.)
- L’obsolescence des données de CTI (réactivation d’un C&C connu)
- Les limites relatives aux seuils d’alerte pour des événements donnés (à partir de combien de paquets, de ports ou d’IP ciblées considère-t-on qu’un scan n’est pas normal ?)
- La présence de services ouverts non nécessaires et/ou vulnérables ;
- La non détection d’une fuite de données par un service de Data Leak Detection
- Concernant la réaction :
- Une erreur d’application des processus de qualification de la gravité d’un event Lenteur d’exportation ou de récupération des logs nécessaires à une investigation La limite des accès mis à disposition des analystes pour leurs investigationsLa coordination du partage d’alerte entre les équipes internes et le MSSP
- La coordination entre les équipes sécurité et les équipes IT pour neutraliser ou contenir la menace (isolation réseau de la source, débranchement d’un device malveillant, etc.)
Les BAS mettent des bâtons dans les roues des Red Teams.
Un des bénéfices des solutions de type Breach and Attack Simulation est l’entraînement des équipes de défense (Blue Team). Plus elles sont confrontées à des simulations de plus en plus complexes, plus les mécanismes de détection seront optimisés, plus les process et réflexes des défenseurs seront efficaces, plus les investigations seront rapides et pertinentes.
En synthèse, les BAS ne vont pas remplacer les Red Team, mais vont les pousser à être meilleures.
BAS = photo panoramique et Red Team = photo avec zoom x 24.
Une Red Team bien menée est une Red Team non détectée. Et c’est ce résultat qui est restitué : « si un attaquant très bon, très bien organisé et qui prend son temps, s’intéresse à vous, il finira par vous avoir ».
Message fort, mais de moins en moins audible par les Directions Générales et les Auditeurs. Répété depuis des années, ce message est bien entendu et digéré. La preuve : les budget cyber croissent chaque année et les briques technologiques s’empilent.
La question maintenant posée est de savoir quelle est l’efficacité réelle et globale de ces mesures et de ces investissements. La Red Team se focalisant sur un chemin précis et bien bordé ne peut pas fournir cette photo globale. Le BAS et son approche plus « massive » offre une réponse à cette question nouvelle.
Pour mesurer, il faut une règle précise.
Les notions de mesure et de ranking prennent de plus en plus de place dans la lecture de la performance cyber au sein des organisations.
Pour mesurer l’évolution de la maturité cyber, il faut un référentiel de base qui sert d’étalon de comparaison. En informatique, la comparaison repose sur des critères et des actions techniques précis et reproductibles à l’identique. Il faut comparer ce qui est comparable.
Posons un cas réel :
Lors d’une simulation d’attaques, le SOC ne voit pas les 3 tactiques de persistance exécutées automatiquement par le BAS. Analyse faite, on comprend que le scénario de détection n’est pas bien configuré. Cela arrive, le MSSP corrige. Second test quelques semaines plus tard, le BAS rejoue exactement le même event technique (flux, source, cible, heure, séquencement, …). Cette fois le scénario sonne. Bingo ! Le scénario est ensuite retesté automatiquement régulièrement. Et ce, dans le but de vérifier qu’il n’y a pas de régression, à des fins de contrôle permanent et de garantie du maintien en conformité.
Pour conclure
S’il y a un conseil à retenir : si vous devez mobiliser une Red Team, faites le sur les environnements où les solutions de BAS vous disent que vous êtes bons.
C’est dans ces contextes et environnements là, que la valeur du touché humain d’une équipe de Red Team vous apportera les résultats les plus intéressants.
Et en ce sens, définitivement les BAS et Red Team sont et resteront longtemps complémentaires.