De nombreuses équipes travaillent pour lutter contre les cyberattaques au sein d'un réseau, dont l'une est une équipe bleue. Alors que font-ils réellement ?

L'équipe bleue est la pratique consistant à créer et à protéger un environnement de sécurité et à répondre aux incidents qui menacent cet environnement. Les opérateurs de cybersécurité de l'équipe bleue sont aptes à surveiller l'environnement de sécurité qu'ils protègent pour détecter les vulnérabilités, qu'elles soient préexistantes ou induites par des attaquants. Les équipes bleues gèrent les incidents de sécurité et utilisent les leçons apprises pour renforcer l'environnement contre de futures attaques.

Alors pourquoi les équipes bleues sont-elles importantes? Quels rôles assument-ils réellement ?

Pourquoi le Blue Teaming est-il important?

Les produits et services basés sur la technologie ne sont pas à l'abri des cyberattaques. La responsabilité incombe, en premier lieu, aux fournisseurs de technologie de protéger leurs utilisateurs contre les cyberattaques internes ou externes qui pourraient compromettre leurs données ou leurs actifs. Les utilisateurs de la technologie partagent également cette responsabilité, mais un utilisateur ne peut pas faire grand-chose pour défendre un produit ou un service dont la sécurité est médiocre.

Les utilisateurs réguliers ne peuvent pas embaucher un département d'experts en informatique pour concevoir des architectures de sécurité ou mettre en œuvre des fonctionnalités qui renforcent leur propre sécurité. C'est la responsabilité fiduciaire d'une entreprise qui s'occupe de matériel et d'infrastructure réseau.

Les organismes de réglementation comme le Institut national des normes et de la technologie (NIST) jouent également leur rôle. Le NIST, par exemple, conçoit cadres de cybersécurité utilisés par les entreprises pour s'assurer que les produits et services informatiques répondent aux normes de sécurité.

Tout est connecté

Tout le monde se connecte à Internet via des infrastructures matérielles et réseau (pensez à votre ordinateur portable et au Wi-Fi). Les communications et les entreprises importantes sont construites sur ces infrastructures, donc tout est connecté. Par exemple, vous prenez et enregistrez des photos sur votre téléphone. Vous sauvegardez ces fichiers dans le cloud. Plus tard, les applications de médias sociaux sur votre téléphone vous aident à partager des moments avec votre famille et vos amis.

Les applications bancaires et les plateformes de paiement vous aident à payer vos achats sans faire la queue physiquement dans une banque ou envoyer un chèque, et vous pouvez déclarer vos impôts en ligne. Tout cela se produit sur des plates-formes auxquelles vous vous connectez via une technologie de communication sans fil intégrée dans un téléphone ou un ordinateur portable.

Si un pirate peut compromettre votre appareil ou votre réseau sans fil, il peut voler vos photos privées, vos informations de connexion bancaire et vos documents d'identité. Ils peuvent même se faire passer pour vous et voler des objets aux personnes de votre cercle social. Ils peuvent ensuite vendre cette mine d'informations volées à d'autres pirates ou vous les faire racheter.

Pire encore, le cycle ne se termine pas avec un hack. Être victime d'un piratage ne signifie pas déjà que d'autres attaquants vous éviteront. Il y a de fortes chances que cela fasse de vous un aimant. Il est donc préférable d'empêcher les attaques de commencer en premier lieu. Et si la prévention ne fonctionne pas, alors il est important de limiter les dégâts et de prévenir de futures attaques. De votre côté, vous pouvez limitez l'exposition avec une sécurité en couches. L'entreprise délègue la tâche à son équipe bleue.

Joueurs de rôle dans l'équipe bleue

L'équipe bleue comprend des opérateurs de sécurité techniques et non techniques avec des rôles et des responsabilités spécifiques. Mais, bien sûr, les équipes bleues peuvent être si grandes qu'il existe des sous-groupes de plusieurs opérateurs. Parfois, les rôles se chevauchent. Equipe Rouge vs. l'équipe bleue les exercices ont généralement les acteurs suivants :

  • L'équipe bleue planifie les opérations de défense et attribue des rôles et des responsabilités aux autres opérateurs de la cellule bleue.
  • La cellule bleue comprend des opérateurs qui font face à la défense.
  • Les agents de confiance sont des personnes qui sont au courant de l'attaque ou qui engagent même l'équipe rouge en premier lieu. Malgré leur connaissance préalable de l'exercice, les agents de confiance sont neutres. Les agents de confiance ne se mêlent pas des affaires de l'équipe rouge et ne conseillent pas les défenses.
  • La cellule blanche comprend des opérateurs qui jouent le rôle de tampons et assurent la liaison avec les deux équipes. Ce sont des arbitres qui s'assurent que les activités de l'équipe bleue et de l'équipe rouge ne causent pas de problèmes involontaires en dehors de la portée de l'engagement.
  • Les observateurs sont des personnes dont le travail consiste à observer. Ils regardent les fiançailles se dérouler et notent leurs observations. Les observateurs sont neutres. Dans la plupart des cas, ils ne savent même pas qui fait partie des équipes bleues ou rouges.
  • L'équipe rouge est composée d'opérateurs lançant un assaut sur l'architecture de sécurité ciblée. Leur travail consiste à trouver des vulnérabilités, percer des trous dans la défense et essayer de déjouer l'équipe bleue.

Quels sont les objectifs de l'équipe bleue?

Les objectifs de toute équipe bleue dépendront de l'environnement de sécurité dans lequel ils se trouvent et de l'état de l'architecture de sécurité de l'entreprise. Cela dit, les équipes bleues ont généralement quatre objectifs principaux.

  • Identifier et contenir les menaces.
  • Éliminer les menaces.
  • Protégez et récupérez les actifs volés.
  • Documentez et examinez les incidents pour affiner la réponse aux menaces futures.

Comment fonctionne Blue Team?

Dans la plupart des organisations, les opérateurs de l'équipe bleue travaillent dans un Centre des opérations de sécurité (SOC). Le SOC est l'endroit où les experts en cybersécurité gèrent la plate-forme de sécurité d'une entreprise et où ils surveillent et gèrent les incidents de sécurité. Le SOC est également l'endroit où les opérateurs soutiennent le personnel non technique et les utilisateurs des ressources de l'entreprise.

Prévention des incidents

L'équipe bleue est chargée de comprendre et de créer une carte de l'étendue de l'environnement de sécurité. Ils notent également tous les actifs de l'environnement, leurs utilisateurs et l'état de ces actifs. Forte de ces connaissances, l'équipe met en place des mesures pour prévenir les attaques et les accidents.

Certaines des mesures mises en œuvre par les opérateurs de l'équipe bleue pour la prévention des incidents incluent la définition de privilèges d'administration. De cette façon, les personnes non autorisées n'ont pas accès aux ressources qu'elles ne devraient pas avoir en premier lieu. Cette mesure est efficace pour restreindre les mouvements latéraux si un attaquant parvient à entrer.

Outre la restriction des privilèges d'administration, la prévention des incidents comprend également chiffrement complet du disque, la configuration de réseaux privés virtuels, de pare-feu, de connexions sécurisées et d'authentification. De nombreuses équipes bleues mettent en œuvre des techniques de tromperie, des pièges tendus avec des ressources factices pour attraper les attaquants avant qu'ils ne causent des dégâts.

Réponse aux incidents

La réponse aux incidents fait référence à la manière dont l'équipe bleue détecte, gère et récupère d'une violation. Plusieurs incidents déclenchent des alertes de sécurité et il n'est pas possible de répondre à chacun des déclencheurs. Ainsi, l'équipe bleue doit définir un filtre pour ce qui compte comme un incident.

Généralement, ils le font en mettant en œuvre un système de gestion des informations et des événements de sécurité (SIEM). Les SIEM informent les opérateurs de l'équipe bleue lorsque des événements de sécurité, tels que des connexions non autorisées associées à des tentatives d'accès à des fichiers sensibles, se produisent. Habituellement, sur notification d'un SIEM, un système automatisé examine la menace et la transmet à un opérateur humain si nécessaire.

Les opérateurs de l'équipe bleue répondent généralement aux incidents en isolant le système qui a été compromis et en supprimant la menace. La réponse aux incidents peut signifier désactiver toutes les clés d'accès en cas d'accès non autorisé, publier un communiqué de presse dans les cas où l'incident affecte les clients et publier un correctif. Plus tard, l'équipe fait un audit médico-légal après une infraction pour recueillir des preuves qui aident à prévenir une répétition.

Modélisation des menaces

La modélisation des menaces consiste à utiliser des vulnérabilités connues pour simuler une attaque. L'équipe élabore un manuel pour répondre aux menaces et communiquer avec les parties prenantes. Ainsi, lorsqu'une véritable attaque se produit, l'équipe bleue a un plan pour hiérarchiser les actifs ou allouer la main-d'œuvre et les ressources à la défense. Bien sûr, les choses se passent rarement exactement comme prévu. Néanmoins, disposer d'un modèle de menace aide les opérateurs de l'équipe bleue à garder une vue d'ensemble en perspective.

Blue Teaming robuste est proactif

Les opérateurs de l'équipe Work Blue veillent à ce que vos données soient en sécurité et que vous puissiez utiliser la technologie en toute sécurité. Cependant, un paysage de cybersécurité en évolution rapide signifie qu'une équipe bleue ne peut pas prévenir ou éliminer toutes les menaces. Ils ne peuvent pas non plus trop durcir un système; il pourrait devenir inutilisable. Ce qu'ils peuvent faire, c'est tolérer un niveau de risque acceptable et travailler avec l'équipe rouge pour améliorer continuellement la sécurité.