Toutes les équipes de sécurité ne naissent pas égales. Chaque organisation a un objectif différent.
En cybersécurité, adopter une approche proactive n’est pas qu’un mot à la mode. C’est en fait ce qui fait la différence entre rester derrière les attaquants et les devancer. Et les solutions pour y parvenir existent !
La plupart des attaques réussissent en tirant parti des défaillances courantes des systèmes de leur cible. Qu’elles soient nouvelles ou non, connues, inconnues ou même inconnues, les attaques tirent parti des failles de sécurité telles que
vulnérabilités non corrigées ou inexplorées, mauvaises configurations, systèmes obsolètes, certificats expirés, erreurs humaines, etc.
Alors que les attaquants s’appuient sur une gamme d’outils de test offensifs automatisés pour analyser les surfaces d’attaque de leurs cibles et se propager à l’intérieur de leur réseau, une position défensive purement réactive basée sur la détection et la réponse est de plus en plus susceptible d’être dépassée par une attaque.
La logique tactique est d’émuler en amont les TTP et les comportements des attaquants en intégrant des outils de simulation d’attaque pour valider en continu l’étanchéité de l’ensemble de la surface d’attaque, l’efficacité des contrôles de sécurité, ainsi que les politiques de gestion et de segmentation des accès, etc.
Comme les cyber-attaquants passent généralement à la cible suivante lorsqu’ils relèvent un défi, les organisations qui ont déjà mis en œuvre des outils et des processus proactifs en bénéficient doublement. Les cyber-attaquants ordinaires sont frustrés et découragés, et les attaquants qui les ciblent spécifiquement doivent travailler beaucoup plus dur pour trouver un moyen d’entrer sans être détectés et progresser sans entrave au sein du réseau.
La pensée mature et tournée vers l’avenir de ces organisations en matière de cybersécurité leur donne une longueur d’avance en termes d’imprenabilité.
Concrètement, il existe différents angles sous lesquels regarder et intégrer des outils de simulation d’attaque qui peuvent varier selon vos objectifs, comme par exemple.
► Renforcer les capacités de prévention
► Renforcement de la détection et de la réponse
L’exécution d’attaques de reconnaissance automatisées renforce votre procédure de gestion de la surface d’attaque en découvrant tous les actifs exposés, y compris l’informatique fantôme oubliée depuis longtemps ou ajoutée clandestinement, tandis que l’intégration continue de capacités de simulation d’attaque externe avec votre pile d’outils SIEM/SOAR met en lumière ses limites et défauts. En comparant de manière granulaire la progression des attaques simulées lancées avec la proportion de celles détectées et arrêtées, il donne une image claire et complète de l’efficacité réelle du réseau de détection et de réponse.
Avec une carte détaillée des failles de sécurité et des redondances de capacités, la rationalisation de la pile d’outils en mettant en œuvre les correctifs de configuration d’outils recommandés et en éliminant les outils redondants a un impact positif sur la détection et la réponse et, en prime, empêche la dérive environnementale.
Une fois intégrées, ces capacités peuvent également être utilisées pour exécuter des exercices internes de réponse aux incidents avec une préparation minimale requise et sans frais supplémentaires.
► Personnalisation de la gestion des risques
L’intégration de la validation de la sécurité dans la gestion des risques organisationnels et les procédures GRC et la fourniture d’une assurance de sécurité continue en conséquence peuvent nécessiter un certain niveau de personnalisation des scénarios d’attaque prêts à l’emploi disponibles validant les contrôles de sécurité et les campagnes d’attaques externes.
Un framework Purple Teaming avec des modèles d’attaques et des widgets modulables pour faciliter la cartographie des attaques ad hoc permet aux équipes rouges d’économiser des heures de travail fastidieux, ce qui maximise l’utilisation des équipes rouges internes et accélère la mise à l’échelle de leurs opérations sans nécessiter de ressources supplémentaires.
Lorsque vous partez de zéro capacités contradictoires internes, la progression recommandée pour intégrer les solutions de validation de sécurité consiste à :
1 — Ajouter des capacités de validation des contrôles de sécurité
Le renforcement de la configuration des contrôles de sécurité est un élément crucial pour empêcher un attaquant qui a pris pied dans votre système de se propager sur votre réseau. Il fournit également une certaine protection contre les attaques zero-day et certaines vulnérabilités qui tirent parti des erreurs de configuration ou exploitent les failles de sécurité trouvées dans les configurations par défaut des fournisseurs.
2 — Intégration avec SIEM/SOAR et vérification de l’efficacité des procédures SOC
Comme mentionné dans la section « Renforcement de la détection et de la réponse » ci-dessus, l’intégration de solutions de validation de sécurité à votre baie SIEM/SOAR rationalise son efficacité et améliore la sécurité. Les données produites peuvent également être utilisées pour optimiser les aspects humains et processus du SOC en veillant à ce que le temps de l’équipe soit concentré sur les tâches ayant le plus grand impact au lieu d’investir leur meilleure énergie dans la protection des actifs de faible valeur.
3 — Prioriser la remédiation
L’opérationnalisation des conseils de remédiation inclus dans les données collectées aux étapes 1 et 2 doit être corrélée avec la probabilité d’attaque et les facteurs d’impact associés à chaque faille de sécurité non couverte. Intégrer les résultats de la attaques simulées dans le processus de hiérarchisation des vulnérabilités est essentiel pour rationaliser le processus et maximiser l’impact positif de chaque atténuation effectuée
4 — Vérifier l’application des politiques de segmentation et d’hygiène
L’exécution de scénarios d’attaque de bout en bout cartographie la route d’attaque et identifie où les lacunes de segmentation permettent aux attaquants de se propager à travers votre réseau et d’atteindre leurs objectifs.
5 — Évaluer la faisabilité globale de la violation
Exécutez des campagnes de reconnaissance et d’attaques extérieures de bout en bout pour valider la progression d’un cyberattaquant dans votre environnement, depuis l’accès jusqu’à l’exfiltration des joyaux de la couronne.
En règle générale, les organisations avant-gardistes tentent déjà de contrôler leur sort en adoptant une approche proactive de la cybersécurité où elles tirent parti de la simulation de violation et d’attaque et de la gestion de la surface d’attaque pour identifier les lacunes à l’avance. Habituellement, ils commenceraient le voyage avec l’objectif de prévention – en s’assurant qu’ils affinent tous les contrôles de sécurité et maximisent leur efficacité contre les menaces connues et immédiates. L’étape suivante consisterait à exécuter des exercices SOC et de réponse aux incidents pour s’assurer que rien ne passe inaperçu, en passant à la hiérarchisation des correctifs de vulnérabilité.
La plupart des entreprises matures disposant de nombreuses ressources souhaitent également automatiser, personnaliser et développer leurs activités d’équipe rouge.
En fin de compte, lorsque vous envisagez d’intégrer un programme de gestion continue de l’exposition aux menaces, vous trouverez probablement de nombreuses solutions ponctuelles différentes, mais finalement, quel que soit l’objectif particulier de chaque équipe, comme dans la vraie vie, il est préférable de trouver un partenaire avec qui vous pouvez évoluer.