Le red teaming est l’action de tester, d’attaquer et de pénétrer les réseaux, les applications et les systèmes informatiques. Les red teamers sont des hackers éthiques engagés par des organisations pour tester leur architecture de sécurité. Le but ultime de l’équipe rouge est de trouver – et parfois de provoquer – des problèmes et des vulnérabilités dans un ordinateur et de les exploiter.
Pourquoi l’équipe rouge est-elle importante ?
Pour une organisation qui doit protéger des données et des systèmes sensibles, le red teaming consiste à engager des opérateurs de cybersécurité pour tester, attaquer et pénétrer son architecture de sécurité avant que des pirates malveillants ne le fassent. Le coût comparatif de la simulation d’une attaque par des amis est exponentiellement inférieur à celui d’une attaque par des pirates.
Les membres de l’équipe rouge jouent donc essentiellement le rôle de pirates informatiques extérieurs, mais leurs intentions ne sont pas malveillantes. Au contraire, les opérateurs utilisent des astuces, des outils et des techniques de piratage pour trouver et exploiter les vulnérabilités. Ils documentent également le processus, afin que l’entreprise puisse utiliser les leçons apprises pour améliorer son architecture de sécurité globale.
L’équipe rouge est importante parce que les entreprises (et même les particuliers) qui détiennent des secrets ne peuvent pas se permettre de laisser des adversaires obtenir les clés du royaume. Au minimum, une violation peut entraîner une perte de revenus, des amendes de la part des agences de conformité, une perte de confiance de la part des clients et un embarras public. Dans le pire des cas, une violation commise par un adversaire pourrait entraîner la faillite, l’effondrement irrémédiable d’une entreprise et le vol d’identité de millions de clients.
Quel est un exemple de Red Teaming ?
L’équipe rouge est fortement axée sur les scénarios. Par exemple, une société de production musicale peut engager des opérateurs de l’équipe rouge pour tester les mesures de protection contre les fuites. Les opérateurs élaborent des scénarios impliquant des personnes ayant accès à des lecteurs de données contenant la propriété intellectuelle des artistes.
L’un des objectifs de ce scénario peut être de tester les attaques les plus efficaces pour compromettre les privilèges d’accès à ces fichiers. Un autre objectif pourrait être de tester la facilité avec laquelle un attaquant peut se déplacer latéralement à partir d’un point d’entrée et exfiltrer des enregistrements originaux volés.
Quels sont les objectifs de l’équipe rouge ?
L’équipe rouge a pour mission de trouver et d’exploiter le plus grand nombre de vulnérabilités possible dans un délai très court, sans se faire prendre. Bien que les objectifs réels d’un exercice de cybersécurité varient d’une organisation à l’autre, les équipes rouges ont généralement les objectifs suivants :
- Modéliser des menaces réelles.
- Identifier les faiblesses des réseaux et des logiciels.
- Identifier les domaines à améliorer.
- Évaluer l’efficacité des protocoles de sécurité.
Comment fonctionne le Red Teaming ?
Le red teaming commence lorsqu’une entreprise (ou un particulier) engage des opérateurs de cybersécurité pour tester et évaluer ses défenses. Une fois engagé, le travail passe par quatre étapes : la planification, l’exécution, l’assainissement et l’établissement de rapports.
Étape de planification
Au cours de la phase de planification, le client et l’équipe rouge définissent les objectifs et la portée de l’engagement. C’est à ce stade qu’ils définissent les cibles autorisées (ainsi que les biens exclus de l’exercice), l’environnement (physique et numérique), la durée de l’engagement, les coûts et d’autres aspects logistiques. Les deux parties définissent également les règles d’engagement qui guideront l’exercice.
Phase d’exécution
La phase d’exécution est celle où les opérateurs de l’équipe rouge mettent tout en œuvre pour trouver et exploiter les vulnérabilités. Ils doivent le faire secrètement et éviter de se faire prendre par les contre-mesures ou les protocoles de sécurité existants de leurs cibles. Les membres de l’équipe rouge utilisent diverses tactiques dans la matrice ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge).
La matrice ATT&CK comprend les cadres utilisés par les attaquants pour accéder, persister et se déplacer à travers les architectures de sécurité, ainsi que la manière dont ils collectent les données et maintiennent la communication avec l’architecture compromise à la suite d’une attaque.
Parmi les techniques qu’ils peuvent employer, on peut citer les attaques de type wardriving, l’ingénierie sociale, l’hameçonnage, le reniflage de réseau, le dumping d’informations d’identification et le balayage de ports.
Étape d’assainissement
C’est la période de nettoyage. Les membres de l’équipe rouge règlent les derniers détails et effacent les traces de leur attaque. Par exemple, l’accès à certains répertoires peut laisser des journaux et des métadonnées. L’objectif de l’équipe rouge lors de la phase d’assainissement est d’effacer ces journaux et de nettoyer les métadonnées.
En outre, ils annulent également les modifications apportées à l’architecture de sécurité au cours de l’étape d’exécution. Il s’agit notamment de réinitialiser les contrôles de sécurité, de révoquer les privilèges d’accès, d’éliminer les contournements ou les portes dérobées, de supprimer les logiciels malveillants et de restaurer les modifications apportées aux fichiers ou aux scripts.
L’art imite souvent la vie. L’assainissement est important car les opérateurs de l’équipe rouge veulent éviter d’ouvrir la voie aux pirates malveillants avant que l’équipe de défense ne puisse réparer les choses.
L’étape du rapport
Au cours de cette étape, l’équipe rouge prépare un document décrivant ses actions et ses résultats. Le rapport comprend en outre des observations, des résultats empiriques et des recommandations pour corriger les vulnérabilités. Il peut également contenir des directives pour sécuriser l’architecture et les protocoles exploités.
Le format des rapports de l’équipe rouge suit généralement un modèle. La plupart des rapports décrivent les objectifs, la portée et les règles d’engagement ; les journaux des actions et des résultats ; les résultats ; les conditions qui ont rendu ces résultats possibles ; et le diagramme de l’attaque. Une section est généralement consacrée à l’évaluation des risques de sécurité des cibles autorisées et des actifs de sécurité.
Que se passe-t-il après l’équipe rouge ?
Les entreprises engagent souvent des équipes rouges pour tester les systèmes de sécurité dans le cadre d’un périmètre ou d’un scénario défini. Après un engagement de l’équipe rouge, l’équipe de défense (c’est-à-dire l’équipe bleue) utilise les leçons apprises pour améliorer ses capacités de sécurité contre les menaces connues et les menaces de type « zero-day ». Mais les attaquants n’attendent pas. Étant donné l’état changeant de la cybersécurité et l’évolution rapide des menaces, le travail de test et d’amélioration de l’architecture de sécurité n’est jamais vraiment terminé.