Geekly articles weekly

Simulation d'attaques ciblées comme évaluation de la sécurité. Red Teaming Cyber ​​Instructions



En matière de cybersécurité, aucune organisation n'est généralement sécurisée à 100%. Même dans les organisations dotées de technologies de sécurité avancées, il peut y avoir des points problématiques dans des éléments clés - tels que les personnes, les processus métier, les technologies et les points d'intersection associés.


Il existe de nombreux services pour vérifier le niveau de sécurité: analyse de la sécurité des systèmes et des applications, tests de pénétration, évaluation de la sensibilisation du personnel aux problèmes de sécurité de l'information, etc. Cependant, en raison de l'évolution constante du paysage des cybermenaces, de l'émergence de nouveaux outils et de groupes criminels, de nouveaux types de risques apparaissent difficiles à identifier à l'aide des méthodes traditionnelles d'analyse de la sécurité.


Dans ce contexte, l'approche la plus réaliste et la plus avancée des tests de sécurité,
à notre avis, les cyber-commandes au format Red Teaming sont une évaluation continue de la sécurité des systèmes d'information, de la préparation des spécialistes de la réponse aux incidents et de la résistance de l'infrastructure à de nouveaux types d'attaques, y compris APT (Advanced Persistent Threat, menace persistante complexe, cyberattaque ciblée). En effectuant une équipe rouge et en pratiquant la réponse aux attaques contrôlées, l'équipe de sécurité interne peut améliorer ses compétences dans la détection de menaces jusque-là non détectées pour arrêter de vrais attaquants dans les premiers stades de l'attaque et prévenir les dommages matériels et de réputation à l'entreprise.


À propos du déroulement des cyber-commandes au format Red Teaming, explique Vyacheslav Vasin ( vas-v ), analyste de premier plan au service d'audit et de conseil du groupe IB .


Teaming rouge. Qu'est ce que c'est


Red Teaming est un moyen complet et le plus réaliste de tester la capacité d'une organisation à repousser les cyberattaques complexes en utilisant des méthodes et des outils avancés de l'arsenal des groupes de pirates.


L'idée principale de cet exercice est non seulement d'identifier les faiblesses potentielles qui n'ont pas été détectées à l'aide de méthodologies de test standard, mais également d'évaluer la capacité de l'organisation à prévenir, détecter et répondre aux cyberattaques.


Red Teaming aide une organisation Ă  comprendre:

  • comment la sĂ©curitĂ© protège les actifs importants
  • si le système d'avertissement et de surveillance est correctement configurĂ©
  • quelles opportunitĂ©s sont disponibles pour un attaquant dans l'infrastructure interne si les ressources de son utilisateur sont compromises

Par conséquent, tout doit être vraiment et au maximum réaliste: le service de sécurité du client (équipe bleue) n'est pas informé du début des travaux afin que l'équipe rouge puisse modéliser les actions de véritables attaquants sur la base d'une analyse de menace spéciale et évaluer la possibilité de «casser» l'infrastructure.


Les cyber-commandes au format Red Teaming sont plus efficaces pour les entreprises ayant un niveau de sécurité de l'information mature. Ils ne sont en aucun cas limités dans le temps d'exposition et visent à atteindre des objectifs, qu'il s'agisse d'accéder aux nœuds du réseau ou aux informations sensibles par tous les moyens disponibles.


Les principaux scénarios de Red Teaming, uniques pour chaque client, dépendent des objectifs fixés.


Les scénarios couramment utilisés incluent:

  • Capture de forĂŞt Active Directory
  • accès aux meilleurs appareils de gestion
  • imitation du vol de donnĂ©es clients sensibles ou de propriĂ©tĂ© intellectuelle

Lire Teaming vs. Test de pénétration


Malgré le fait que Red Teaming et les tests de pénétration utilisent des outils de cyberattaque similaires, les objectifs et les résultats des deux études sont très différents.


Teaming rouge

Le processus Red Teaming simule des attaques réelles et ciblées sur une organisation entière. L'avantage de cette approche est la recherche continue des systèmes d'information pour atteindre les objectifs. Une telle vérification approfondie permet de comprendre à quel point l'infrastructure est sécurisée, les employés sont conscients et les processus internes de l'organisation sont efficaces lorsqu'ils sont exposés à une attaque réelle.


Test de pénétration

Au cours de cette étude, les spécialistes des tests de pénétration tentent d'exploiter les vulnérabilités détectées et d'augmenter leurs privilèges afin d'évaluer le risque éventuel de ces impacts. Ce test ne teste pas l'état de préparation pour la détection et la réponse aux incidents de sécurité de l'information.


Voici quelques-unes des différences entre Red Teaming et Penetration Testing:
Teaming rougeTest de pénétration
Méthodes d'attaqueToutes les méthodes approuvées, y compris les méthodes destructives, si elles sont approuvées, sont approuvées par le client.

Il vise à atteindre un objectif convenu, à démontrer la possibilité d'impacts critiques sur l'organisation et à tester les personnes, les processus et les technologies.		Méthodes techniques d'attaque d'une liste convenue d'objets, à l'exception de ceux destructeurs.

Ingénierie sociale, si son utilisation a été autorisée par le Client.
Couverture limitée, visant à la vérification technique des actifs spécifiques de l'organisation.
Contournement de détectionIl est important de contourner les systèmes de détection d'intrusions, car les règles du jeu changent lors de leur utilisation.Il est important d'identifier les vulnérabilités techniques du système, et de ne pas éluder les systèmes de détection d'intrusion.
Activité post-opérationnelleExploiter les vulnérabilités pour capturer les données nécessaires et développer davantage l'attaque.Si l'accès aux données est obtenu, le test est terminé.
RésultatsUn rapport détaillé décrivant toutes les actions entreprises et comment atteindre les objectifs.
Des informations détaillées sur tous les actifs compromis et l'évaluation de la capacité du Client à détecter et répondre correctement à une cyberattaque dans le temps.		Un rapport détaillé décrivant toutes les vulnérabilités détectées et leurs niveaux de risque.
Informations détaillées sur les contrôles et les résultats de leur passage.

L'expérience de Group-IB montre que Red Teaming et Penetration Testing se complètent parfaitement. Chaque étude est importante et utile pour l'organisation à sa manière, car au cours d'un tel test combiné, il est possible d'évaluer à la fois la sécurité passive des systèmes et la sécurité active de l'entreprise dans son ensemble.


Red Teaming complète diverses formes de tests (par exemple, l'analyse de code, les tests de pénétration, etc.) et est inclus dans le plan de vérification de la sécurité des informations à mesure que l'organisation grandit.


Voici une comparaison des objectifs et des résultats de recherche similaires à Red Teaming:




Notre approche


Activités du projet


La recherche au format Red Teaming est divisée en plusieurs étapes successives. Pour accroître l'efficacité, certaines actions des étapes principales peuvent commencer plus tôt ou être exécutées en parallèle avec d'autres, en tenant compte du temps limité. Par conséquent, dans la pratique, le processus Red Teaming n'est pas une séquence linéaire aussi claire d'étapes.


Voici les principales Ă©tapes du travail de Red Teaming:



Plus d'informations sur chaque étape peuvent être trouvées sous le spoiler:


1. La phase préparatoire

Durée: 4 à 6 semaines


Évalue les besoins actuels d'une organisation particulière et la quantité de travail


A ce stade, les points clés de la conduite du Red Teaming sont précisés et le lancement officiel du projet est annoncé:


  • un groupe de travail est crĂ©Ă© Ă  partir des reprĂ©sentants du Client et du Contractant
  • l'Ă©tendue des travaux est dĂ©terminĂ©e (durĂ©e, volume, actions interdites, etc.)
  • les protocoles et formats d'interaction sont cohĂ©rents
  • L'Ă©quipe rouge est formĂ©e selon les besoins du projet en cours

2. Étape de l'équipe rouge

Durée: à partir de 12 semaines ou plus


Ă€ ce stade, l'Ă©quipe rouge:


  • produit des renseignements au format Threat Intelligence
  • Ă©labore des scĂ©narios basĂ©s sur les fonctions système critiques et les modèles de menace
  • forme un plan et tente d'attaquer les objectifs convenus (actifs, systèmes et services qui contiennent une ou plusieurs fonctions critiques)

L'étape est divisée en deux étapes principales: la cyberintelligence et le développement de scénarios, ainsi que les tests au format Red Teaming.
Étape numéro 1.
Cyber ​​Intelligence et scénarios		L'équipe rouge mène la cyberintelligence. Le Client peut également contacter un fournisseur tiers de Threat Intelligence (TI) pour une analyse de menace ciblée (Rapport TTI) pour l'objet faisant l'objet de l'enquête, qui complétera d'autres scénarios de test et fournira des informations utiles sur le Client.

La tâche principale consiste à étudier le profil, la structure et la direction des activités de l'organisation, à déterminer les menaces, les nœuds clés et les objectifs les plus appropriés du point de vue de l'attaquant.

Sur la base des travaux effectués, un plan de test et une liste de scénarios pratiques d'attaques potentielles pour une vérification approfondie sont compilés. Les scénarios développés prennent en compte non seulement les approches précédemment appliquées, mais également les nouvelles méthodes des acteurs de la menace concernés.
Étape numéro 2.
Test de teaming rouge		Sur la base du plan et des scénarios générés, l'équipe rouge mène des attaques secrètes sur les fonctions ou actifs critiques identifiés des systèmes cibles. Lorsque des obstacles surviennent, des méthodes alternatives pour atteindre les objectifs sont développées en utilisant la tactique des attaquants avancés.

Toutes les activités de travail et d'équipe sont enregistrées pour préparer un rapport.


3. L'Ă©tape finale

Durée: 2 à 4 semaines


Le test Red Teaming est terminé et passe à cette étape une fois que toutes les étapes ont été accomplies avec succès ou que le temps alloué pour le travail a expiré


A ce stade:


  • L'Ă©quipe rouge prĂ©pare un rapport dĂ©crivant le travail, les conclusions et les observations sur la dĂ©tection et la rĂ©ponse des menaces et le transmet Ă  l'Ă©quipe bleue
  • L'Ă©quipe bleue prĂ©pare son propre rapport dĂ©crivant les actions prises en fonction de la chronologie du rapport de l'Ă©quipe rouge
  • les participants au processus Ă©changent les rĂ©sultats, les analysent et planifient de nouvelles Ă©tapes pour amĂ©liorer la cyber stabilitĂ© de l'organisation

Les parties directes impliquées dans le processus Red Teaming sont:


  • L'Ă©quipe blanche est le gestionnaire responsable, les reprĂ©sentants nĂ©cessaires des unitĂ©s d'affaires du client et le nombre requis d'experts en sĂ©curitĂ© qui connaĂ®tront le travail
  • Blue Team - Service de sĂ©curitĂ© client pour la dĂ©tection et la rĂ©ponse aux incidents de sĂ©curitĂ© de l'information
  • L'Ă©quipe rouge est un manager responsable et des experts simulant des attaques ciblĂ©es

Un exemple d'une équipe rouge sur un projet est présenté sous un spoiler


MĂ©thodologie


Pour simuler des attaques sur une cible définie, les experts du Groupe-IB utilisent une méthodologie éprouvée qui inclut des pratiques internationales et s'adapte à un client spécifique pour prendre en compte les caractéristiques de l'organisation et ne pas perturber la continuité des processus commerciaux critiques.


Le cycle de vie des tests au format Red Teaming suit le modèle de The Cyber ​​Kill Chain et comprend les étapes généralisées suivantes: reconnaissance, armement, livraison, opération, installation, prise de contrôle et exécution d'actions par rapport à la cible.



L'un des groupes de cas Red Teaming-IB


Accès à Active Directory


Le client Ă©tait un groupe d'entreprises du secteur de la production.


L'objectif est d'obtenir un accès administratif au contrôleur de domaine Active Directory au siège de l'entreprise.


Au cours des travaux, il a été constaté que le Client utilise l'authentification multifacteur (cartes à puce) pour tous les types d'accès au siège, y compris les services Web distants et externes. L'utilisation de l'ingénierie sociale est interdite.


Infrastructure généralisée d'une entreprise industrielle:



Actions et résultats du groupe IB

Les experts du Groupe IB ont effectué une reconnaissance approfondie et ont déterminé que le siège avait acquis 14 sociétés et les avait réorganisées dans leurs filiales lors des opérations de l'équipe rouge. L'équipe rouge a réussi à obtenir la permission de mener une attaque contre toutes les sociétés du groupe. Ensuite, une filiale avec une faible protection, y compris les contrôleurs de domaine branch1.domain.com, a été «piratée» et un VPN a été découvert entre les réseaux locaux des succursales (VPN maillé de site à site).


Le client avait une forêt de domaines Active Directory à moitié construite pour toutes les succursales, mais il ne pouvait pas bien renforcer le réseau externe (voir la figure ci-dessous).


La connexion réseau était bien protégée. Les mécanismes d'approbation entre les domaines de forêt Active Directory ne fonctionnaient pas pour les contrôleurs du domaine branch1.domain.com. L'attaque a été distribuée sur branch2.domain.com, y obtenant les droits d'administrateur de domaine.


Première tentative de «pirater» Active Directory:



En utilisant l'attaque «golden ticket» de Kerberos, l'équipe rouge a contourné la protection à l'aide de cartes à puce à un «bas niveau» en raison des fonctionnalités de mise en œuvre du protocole Kerberos lui-même. En exploitant le mécanisme d'approbation entre les domaines Active Directory, l'équipe a réussi à obtenir des droits administratifs au siège social.


Accès à Active Directory au siège social:



Ainsi, les contrôleurs de domaine au siège ont été «piratés».
Les experts du Group-IB ont atteint l'objectif du projet Red Teaming.


Pour résumer


Après avoir lu tout le matériel, la question peut encore se poser, pourquoi des "cyber-commandes"? Je le répète, en effectuant une équipe rouge et en pratiquant la réponse aux attaques contrôlées, l'équipe de sécurité interne peut améliorer ses compétences dans la détection de menaces précédemment non détectées afin d'arrêter de vrais attaquants au début de l'attaque et de prévenir les dommages matériels et de réputation à l'entreprise. De plus, dans le cadre de la formation, un événement peut être organisé pour reproduire conjointement les attaques et les contrer.


Les tests au format Red Teaming donnent à l'organisation une idée des forces et des faiblesses de la cybersécurité et vous permettent également de définir un plan d'amélioration dans ce domaine pour la continuité des processus métier et la protection des données précieuses.


En ajoutant Red Teaming dans le cadre de sa stratégie de sécurité, une entreprise peut mesurer les améliorations de la sécurité au fil du temps. Ces résultats mesurables peuvent être utilisés pour la faisabilité économique de projets supplémentaires de sécurité de l'information et pour l'introduction des moyens techniques de protection nécessaires.


La revue analytique complète du Group-IB Red Teaming est disponible ici .

Source: https://habr.com/ru/post/fr460461/

More articles:


All Articles