Pourquoi les équipes rouges ne peuvent pas répondre aux questions les plus importantes des défenseurs

COMMENTAIRE

En 1931, scientifique et philosophe Alfred Korzybski a écrit : « La carte n’est pas le territoire. » Il voulait dire que tous les modèles, comme les cartes, laissent de côté certaines informations par rapport à la réalité. Les modèles utilisés pour détecter les menaces en matière de cybersécurité sont également limités. Les défenseurs devraient donc toujours se demander : « Ma détection des menaces détecte-t-elle tout ce qu'elle est censée détecter ? Les tests d’intrusion et les exercices des équipes rouges et bleues tentent de répondre à cette question. Ou, pour le dire autrement, dans quelle mesure leur cartographie d’une menace correspond-elle à la réalité de la menace ? 

Malheureusement, évaluations de l'équipe rouge ne répondez pas très bien à cette question. L’équipe rouge est utile pour bien d’autres choses, mais ce n’est pas le bon protocole pour répondre à cette question spécifique sur l’efficacité de la défense. En conséquence, les défenseurs n’ont pas une idée réaliste de la force de leurs défenses.

Les évaluations de l’équipe rouge sont limitées par nature

Les évaluations de l’équipe rouge ne sont pas très efficaces pour valider le fonctionnement des défenses. De par leur nature, ils ne testent que quelques variantes spécifiques de quelques techniques d’attaque possibles qu’un adversaire pourrait utiliser. En effet, ils tentent d’imiter une attaque réelle : d’abord une reconnaissance, puis une intrusion, puis un mouvement latéral, et ainsi de suite. Mais tout ce que les défenseurs en apprennent, c’est que ces techniques et variétés spécifiques vont à l’encontre de leurs défenses. Ils ne reçoivent aucune information sur d’autres techniques ou sur d’autres variétés de la même technique.

Autrement dit, si les défenseurs ne détectent pas l’équipe rouge, est-ce parce que leurs défenses font défaut ? Ou est-ce parce que l’équipe rouge a choisi la seule option à laquelle elle n’était pas préparée ? Et s’ils ont effectivement détecté l’équipe rouge, leur détection des menaces est-elle complète ? Ou les « attaquants » ont-ils simplement choisi une technique pour laquelle ils étaient préparés ? Il n’y a aucun moyen de le savoir avec certitude.

La racine de ce problème est que les équipes rouges ne testent pas suffisamment les variantes d’attaque possibles pour juger de la force globale des défenses (même si elles ajoutent de la valeur par d’autres moyens). Et les attaquants ont probablement plus d’options que vous ne le pensez. Une technique que j’ai testée comportait 39,000 2.4 variantes. Un autre en avait XNUMX millions ! Il est impossible de tester la totalité ou la plupart de ces éléments, et en tester trop peu donne un faux sentiment de sécurité.

Pour les fournisseurs : faites confiance mais vérifiez

Pourquoi tester la détection des menaces est-il si important ? En bref, c’est parce que les professionnels de la sécurité veulent vérifier que les fournisseurs disposent réellement d’une détection complète des comportements qu’ils prétendent stopper. La posture de sécurité repose en grande partie sur les fournisseurs. L’équipe de sécurité de l’organisation choisit et déploie un système de prévention des intrusions (IPS), un système de détection et de réponse des points finaux (EDR), une analyse du comportement des utilisateurs et des entités (UEBA) ou des outils similaires et s’attend à ce que le logiciel du fournisseur sélectionné détecte les comportements qu’il prétend détecter. Les professionnels de la sécurité souhaitent de plus en plus vérifier les affirmations des fournisseurs. J'ai perdu le compte du nombre de conversations que j'ai entendues où l'équipe rouge rapporte ce qu'elle a fait pour pénétrer dans le réseau, l'équipe bleue dit que cela ne devrait pas être possible, et l'équipe rouge hausse les épaules et dit : « Eh bien, nous l’avons fait comme ça… » Les défenseurs veulent creuser cet écart.

Tests sur des dizaines de milliers de variantes

Bien que tester chaque variante d’une technique d’attaque ne soit pas pratique, je pense que tester un échantillon représentatif d’entre elles l’est. Pour ce faire, les organisations peuvent utiliser des approches telles que l’open source de Red Canary. Tests atomiques, où les techniques sont testées individuellement (et non dans le cadre d'une chaîne d'attaque globale) en utilisant plusieurs cas de test pour chacune. Si un exercice avec l’équipe rouge ressemble à une mêlée de football, Atomic Testing revient à s’entraîner à des jeux individuels. Tous ces jeux ne se produiront pas dans une mêlée complète, mais il est toujours important de s’entraîner pour le moment. Les deux devraient faire partie d’un programme de formation complet, ou dans ce cas, d’un programme de sécurité complet.

Ensuite, ils doivent utiliser un ensemble de cas de test couvrant toutes les variantes possibles pour la technique en question. Construire ces cas de test est une tâche cruciale pour les défenseurs ; cela sera directement corrélé à la manière dont les tests évaluent les contrôles de sécurité. Pour poursuivre mon analogie ci-dessus, ces cas de test constituent la « carte » de la menace. Comme une bonne carte, ils omettent les détails non importants et mettent en évidence les plus importants pour créer une représentation de la menace à moindre résolution, mais globalement précise. Comment construire ces cas de test est un problème avec lequel je suis toujours aux prises (j'ai écrit au sujet de une partie de mon travail jusqu'à présent).

Une autre solution aux lacunes de la détection actuelle des menaces consiste à utiliser équipes violettes – amener les équipes rouges et bleues à travailler ensemble au lieu de se considérer comme des adversaires. Une plus grande coopération entre les équipes rouges et bleues est une bonne chose, d’où la montée en puissance des services des équipes violettes. Mais la plupart de ces services ne résolvent pas le problème fondamental. Même avec davantage de coopération, les évaluations portant uniquement sur quelques techniques et variantes d’attaque restent trop limitées. Les services de la Purple Team doivent évoluer.

Créer de meilleurs cas de test

Une partie du défi que pose la création de bons cas de test (et la raison pour laquelle la coopération entre les équipes rouge et bleu ne suffit pas à elle seule) réside dans le fait que la façon dont nous catégorisons les attaques obscurcit de nombreux détails. La cybersécurité examine les attaques sous un angle à trois niveaux : tactiques, techniques et procédures (TTP). Une technique comme dumping de titres de compétences peut être accompli par de nombreuses procédures différentes, comme Mimikatz ou Dumpert, et chaque procédure peut avoir de nombreuses séquences différentes d'appels de fonction. Définir ce qu’est une « procédure » devient très vite difficile mais est possible avec la bonne approche. L’industrie n’a pas encore développé un bon système pour nommer et catégoriser tous ces détails.

Si vous souhaitez mettre à l’épreuve votre détection des menaces, cherchez des moyens de créer des échantillons représentatifs qui testent un plus large éventail de possibilités : il s’agit d’une meilleure stratégie qui produira de meilleures améliorations. Cela aidera également les défenseurs à répondre enfin aux questions auxquelles les équipes rouges sont confrontées.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions