Scan de vulnérabilités, test d’intrusion, mission red team, missions purple team : vous lisez ou entendez certainement souvent ces termes dans vos fils d’actualité LinkedIn, des articles, à la télévision ou à la radio. Mais êtes-vous bien certain de comprendre chacun d’entre eux ? De nombreux abus de langage ont lieu aujourd’hui, et il n’est pas rare d’entendre parler de red team et de test d’intrusion de manière interchangeable même par des professionnels du domaine.

Pour lever toute confusion passée et future, nous vous proposons aujourd’hui ce petit précis de la sécurité offensive.

Des prestations variées tant sur leurs objectifs que leur réalisation

Vous l’aurez compris à la lecture du préambule, chacune des prestations citées est bien entendu une prestation distincte, tant en termes d’objectifs que de conditions de réalisation. Penchons-nous à présent sur les types de prestations les plus courants en termes de sécurité offensive.

Scan de vulnérabilités

Connue sous le nom de vulnerability scanning en anglais, cette prestation a pour but d’identifier les vulnérabilités présentes au sein d’une organisation en utilisant un scanner automatisé. Cette prestation peut être réalisée sur la surface externe ou interne de l’organisation ciblée. Parmi les scanners les plus connus, nous pouvons notamment citer Nessus, OpenVAS, Nexpose ou encore Qualys.

Le scanner prendra en entrée une liste de plages d’adresses IP éventuellement complétée par une liste de ports TCP et UDP. De nombreux échanges vont être réalisés avec chaque couple IP/port afin d’identifier les services exposés et leurs versions avant de lancer d’autres scans complémentaires, notamment dans le cas des services HTTP. Les résultats obtenus vont être croisés de manière automatique avec des bases de vulnérabilités afin de remonter chaque vulnérabilité potentiellement présente sur le service exposé.

A la fin du scan complet, un rapport est mis à disposition du client et reprend toutes les informations identifiées : IP répondantes lors des tests (dites alive), ports ouverts en écoute, versions des services exposés et vulnérabilités connues dans ces versions.

S’agissant d’une prestation automatique, de nombreux faux-positifs peuvent se glisser dans le rapport et le bruit généré est considérable.

Audit de vulnérabilités

Connue sous le nom de vulnerability assessment, cette prestation est une étape complémentaire à un scan de vulnérabilités. Une fois le rapport à disposition, un analyste validera manuellement chaque vulnérabilité remontée pour éliminer tous les faux positifs. Le score de criticité CVSS de la vulnérabilité sera pondéré en fonction des résultats de l’analyse, permettant ainsi d’avoir une vue plus précise de la surface d’exposition réelle.

Le rapport sera ainsi livré expurgé des faux-positifs pour se concentrer sur les vulnérabilités avérées.

Test d’intrusion

Connue sous le nom de penetration testing ou encore pentest, cette prestation inclut l’exploitation de vulnérabilités découvertes afin de déterminer jusqu’où un attaquant pourrait se propager dans le système d’information audité.

La prestation repose davantage sur des tâches manuelles et sur l’expertise des auditeurs.

Ce type de prestation peut être réalisé sur de nombreux périmètres : des applications web, des applications mobiles, des API, des services cloud, des systèmes d’information (en partie ou en totalité), des environnements industriels, etc.

Les conditions de réalisation de cette prestation sont souvent expliquées en termes de couleur de boite. On parle ainsi de boite noire pour un test sans aucune connaissance du système audité, comme le ferait un attaquant opportuniste. On parle de boite grise pour un test réalisé avec des accès et quelques informations sur le système audité, plaçant ainsi les auditeurs dans différents rôles (de simple utilisateur à administrateur). Lors du test en boite grise d’une application web par exemple, les auditeurs s’assurent qu’il n’est pas possible pour un utilisateur d’accéder aux données d’un autre ou de devenir administrateur de la solution. Enfin, la dernière nuance est la boite blanche, pour laquelle les auditeurs ont un accès intégral aux informations sur le système audité.

L’objectif d’un test d’intrusion est d’identifier et d’inclure dans le rapport l’intégralité des vulnérabilités présentes sur le périmètre audité. Afin d’être exhaustifs dans les découvertes, les auditeurs vont réaliser de très nombreuses requêtes sur les systèmes audités. Il n’y a donc dans ce type de prestation pas de notion de discrétion dans la réalisation.

Ces missions sont en général réalisées au forfait sur une durée moyenne d’une à deux semaines.

Il est à noter également qu’il est possible de réaliser des tests d’intrusion physique afin d’auditer la fiabilité des mesures de sécurité en place.

Mission red team / simulation d’adversaire

Également appelée adversary simulation, cette prestation avancée constiste à simuler le comportement d’un attaquant réaliste. Le niveau de sophistication de l’attaquant simulé sera défini en fonction de plusieurs paramètres comme le niveau de maturité actuel de la posture cybersécurité de l’organisation. A chaque nouvelle mission, le niveau de sophistication pourra et devrait être revu à la hausse.

Lors de la phase de lancement de cette prestation, le commanditaire et le prestataire vont définir ensemble des trophées également appelés flags. L’objectif de la prestation sera l’obtention de ces trophées.

Contrairement aux tests d’intrusion, cette prestation n’audite pas exlusivement les aspects technologiques. Elle étend la portée des tests aux personnes et processus. Les auditeurs pourront ainsi avoir recours à l’ingénierie sociale, au hameçonnage ou encore au dépot d’implants et gadgets divers au sein de l’organisation pour obtenir un accès initial.

Les auditeurs adopteront un comportement discret et n’auront pas pour mission de découvrir et remonter toutes les vulnérabilités sur le périmètre. Seules les vulnérabilités permettant d’avancer vers les objectifs seront exploitées.

La durée de ce type de mission est déterminée par le nombre de trophées à obtenir et le niveau de maturité actuel de l’organisation ciblée. Elle va en général de plusieurs semaines à plusieurs mois.

Ce type de prestation implique un temps considérable de recherche et développement lorsqu’elle cible une organisation dont la maturité cyber est très élevée.

Il est recommandé de commencer ce type de prestation uniquement si votre organisation a déjà réalisé des tests d’intrusion par le passé et qu’elle dispose a minima d’une surveillance réalisée par un SOC, interne ou externalisé.

Mission purple team

Une campagne de purple team impliquera des intéractions entre l’équipe attaquante et l’équipe de défense. Plusieurs ateliers seront ainsi réalisés pour s’assurer que les moyens de détection en place sont bien en mesure de détecter les TTP (Tactics, Techniques and Procedures) joués par les attaquants.

Le but principal de ce type de prestation est d’identifier et de combler les angles morts dans les mesures de détection en place au sein de l’organisation.

Emulation d’adversaire

Ce dernier type de prestation est considéré comme le plus avancé. Là où une mission de simulation d’adversaire aura pour but de créer un attaquant fictif crédible pouvant cibler l’organisation et d’un niveau de sophistication déterminé à l’avance, l’émulation d’adversaire a pour objectif de répliquer à 100% le comportement d’un attaquant connu.

Cet attaquant est déterminé conjointement par le commanditaire et le prestataire en fonction de données issues de la Cyber Threat Intelligence.

Si votre organisation est extrèmement mature et que vous voulez savoir si vous pourriez détecter une attaque d’APT29 par exemple, vous avez là la prestation qu’il vous faut.

La bonne prestation au bon moment

En voyant autant de possibilités à votre disposition, il serait tout à fait normal de vous demander par où vous devriez commencer votre montée en maturité cyber.

La société SCYTHE a défini un modèle de maturité du hacking éthique (Ethical Hacking Maturity Model que vous pouvez voir ci-dessous.

Source : https://scythe.io/library/scythes-ethical-hacking-maturity-model

Il est recommandé de leur part de ne se lancer dans des missions avancées qu’après avoir consolidé les fondations de votre posture de cybersécurité en réalisant les missions moins avancées en amont.

Nous les rejoignons sur cet aspect. Commencer par cartographier votre surface d’attaque est un excellent moyen de démarrer et d’auditer votre posture de cybersécurité. Ensuite, vous voudrez très certainement réaliser plusieurs tests d’intrusion, sur des périmètres plus ou moins grands en fonction des objectifs d’audits que vous aurez fixé. Vous pourrez après quelques tests d’intrusion vous lancer des des missions Red Team, sous réserve d’avoir une surveillance permanente déjà en place, et une équipe en charge de votre cybersécurité. Cette équipe peut être interne ou externalisé (un SOC MSSP par exemple).

Les organisations très matures auront par la suite recours à des missions Purple Team puis à de l’emulation d’adversaire afin de renforcer drastiquement leur maitrise des menaces.

Besoin d’être accompagnés ?

Maintenant que vous avez une vision claire des services disponibles en termes de sécurité offensive, pourquoi ne pas nous laisser vous accompagner ?

Hackcyom sera ravie de vous proposer des prestations bâties sur ces fondamentaux, notamment :

• Une cartographie de votre surface d’attaque (scan + audit de vulnérabilités);
• Des tests d’intrusion basés sur des objectifs, une approche à mi chemin entre les tests d’intrusion classiques et les missions red team, directement interfaçable avec vos analyses de risques EBIOS RM;
• Des missions red team avec différents profils d’attaquants plus ou moins sophistiqués selon votre maturité cyber.

Nous pourrons bien entendu également prendre en charge vos audits de code source, audits de configuration, audits d’architecture ou encore campagnes de phishing.

Pour en discuter, envoyez un mail à notre directeur de la sécurité offensive via la boite audit[at]hackcyom[dot]com.