Tous les pirates ne sont pas de mauvaises nouvelles! Les pirates de l'équipe rouge essaieront d'accéder à vos données, mais à des fins altruistes...
L'équipe rouge consiste à tester, attaquer et pénétrer des réseaux informatiques, des applications et des systèmes. Les Red Teamers sont des hackers éthiques embauchés par des organisations pour tester leur architecture de sécurité. Le but ultime de l'équipe rouge est de trouver - et parfois d'induire - des problèmes et des vulnérabilités dans un ordinateur et de les exploiter.
Pourquoi l'équipe rouge est-elle importante?
Pour une organisation qui a besoin de protéger des données et des systèmes sensibles, le red teaming implique l'embauche opérateurs de cybersécurité pour tester, attaquer et pénétrer son architecture de sécurité avant les attaques malveillantes les pirates font. Le coût comparatif d'obtenir des matchs amicaux pour simuler une attaque est exponentiellement inférieur à celui des attaquants.
Ainsi, les red teamers jouent essentiellement le rôle de hackers extérieurs; seules leurs intentions ne sont pas malveillantes. Au lieu de cela, les opérateurs utilisent des astuces, des outils et des techniques de piratage pour trouver et exploiter les vulnérabilités. Ils documentent également le processus, afin que l'entreprise puisse utiliser les leçons apprises pour améliorer son architecture de sécurité globale.
L'équipe rouge est importante car les entreprises (et même les individus) détenant des secrets ne peuvent pas se permettre de laisser des adversaires obtenir les clés du royaume. À tout le moins, une violation pourrait entraîner une perte de revenus, des amendes de la part des agences de conformité, une perte de confiance des clients et une gêne publique. Au pire, une violation contradictoire pourrait entraîner la faillite, l'effondrement irrémédiable d'une entreprise et l'usurpation d'identité touchant des millions de clients.
Qu'est-ce qu'un exemple d'équipe rouge?
L'équipe rouge est fortement axée sur les scénarios. Par exemple, une société de production musicale peut embaucher des opérateurs de l'équipe rouge pour tester les dispositifs de protection contre les fuites. Les opérateurs élaborent des scénarios impliquant des personnes ayant accès à des disques de données contenant la propriété intellectuelle des artistes.
Un objectif dans ce scénario peut être de tester les attaques les plus efficaces pour compromettre les privilèges d'accès à ces fichiers. Un autre objectif pourrait être de tester la facilité avec laquelle un attaquant peut se déplacer latéralement à partir d'un point d'entrée et exfiltrer des enregistrements maîtres volés.
Quels sont les objectifs de l'équipe rouge?
L'équipe rouge se propose de trouver et d'exploiter autant de vulnérabilités que possible en peu de temps, sans se faire prendre. Bien que les objectifs réels d'un exercice de cybersécurité varient d'une organisation à l'autre, les équipes rouges ont généralement les objectifs suivants :
- Modélisez les menaces du monde réel.
- Identifier les faiblesses du réseau et des logiciels.
- Identifier les domaines à améliorer.
- Évaluer l'efficacité des protocoles de sécurité.
Comment fonctionne l'équipe rouge?
L'équipe rouge commence lorsqu'une entreprise (ou un particulier) engage des opérateurs de cybersécurité pour tester et évaluer leurs défenses. Une fois embauché, le poste passe par quatre étapes d'engagement: planification, exécution, désinfection et rapport.
Phase de planification
Au stade de la planification, le client et l'équipe rouge définissent les objectifs et la portée de l'engagement. C'est là qu'ils définissent les cibles autorisées (ainsi que les actifs exclus de l'exercice), l'environnement (physique et numérique), la durée de l'engagement, les coûts et autres logistiques. Les deux parties créent également les règles d'engagement qui guideront l'exercice.
Étape d'exécution
La phase d'exécution est celle où les opérateurs de l'équipe rouge utilisent tout ce qu'ils peuvent pour trouver et exploiter les vulnérabilités. Ils doivent le faire secrètement et éviter de se faire prendre par les contre-mesures ou les protocoles de sécurité existants de leurs cibles. Les équipes rouges utilisent diverses tactiques dans la matrice Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK).
La matrice ATT&CK inclut les frameworks utilisés par les attaquants pour accéder, persister et se déplacer dans les architectures de sécurité, ainsi que comme la façon dont ils collectent les données et maintiennent la communication avec l'architecture compromise suite à une attaque.
Certaines techniques qu'ils peuvent employer inclure des attaques wardriving, ingénierie sociale, hameçonnage, reniflage de réseau, vidage d'informations d'identification, et balayage des ports.
Étape de désinfection
C'est la période de nettoyage. Ici, les opérateurs de l'équipe rouge résolvent les problèmes et effacent les traces de leur attaque. Par exemple, l'accès à certains répertoires peut laisser des journaux et des métadonnées. L'objectif de l'équipe rouge dans la phase de désinfection est d'effacer ces journaux et nettoyer les métadonnées.
En outre, ils annulent également les modifications qu'ils ont apportées à l'architecture de sécurité lors de la phase d'exécution. Cela inclut la réinitialisation des contrôles de sécurité, la révocation des privilèges d'accès, la fermeture des contournements ou des portes dérobées, la suppression des logiciels malveillants et la restauration des modifications apportées aux fichiers ou aux scripts.
L'art imite souvent la vie. La désinfection est importante car les opérateurs de l'équipe rouge veulent éviter d'ouvrir la voie à des pirates malveillants avant que l'équipe de défense ne puisse réparer les choses.
Étape de rapport
À cette étape, l'équipe rouge prépare un document décrivant ses actions et ses résultats. Le rapport comprend en outre des observations, des résultats empiriques et des recommandations pour corriger les vulnérabilités. Il peut également comporter des directives pour sécuriser l'architecture et les protocoles exploités.
Le format des rapports de l'équipe rouge suit généralement un modèle. La plupart des rapports décrivent les objectifs, la portée et les règles d'engagement; journaux des actions et des résultats; les résultats; les conditions qui ont rendu ces résultats possibles; et le diagramme d'attaque. Il y a généralement une section pour évaluer les risques de sécurité des cibles autorisées et des actifs de sécurité.
Qu'est-ce qui vient après l'équipe rouge?
Les entreprises embauchent souvent des équipes rouges pour tester les systèmes de sécurité dans un cadre ou un scénario défini. À la suite d'un engagement de l'équipe rouge, l'équipe de défense (c'est-à-dire l'équipe bleue) utilise les leçons apprises pour améliorer ses capacités de sécurité contre les menaces connues et zero-day. Mais les attaquants n'attendent pas. Compte tenu de l'évolution de la cybersécurité et de l'évolution rapide des menaces, le travail de test et d'amélioration de l'architecture de sécurité n'est jamais vraiment terminé.