Support technique
Documentation
Connexion
Nous contacter
Ce que les équipes rouges peuvent nous apprendre
Joao Correia
27 mars 2023 - Évangéliste technique
"Aucun plan ne survit au contact avec l'ennemi" est l'un des truismes du conflit. truismes du conflit. Il est quelque peu (in)surprenant de constater à quel point cela décrit avec précision la position de la plupart des organisations en matière de cybersécurité. Les plans les mieux conçus peuvent s'effondrer à la minute où un adversaire tente quelque chose que nous n'avions pas prévu, et cela ne devient apparent qu'au moment où cela se produit.
Il est très facile d'écarter des préoccupations telles que "vos informations peuvent être volées", "vous allez perdre toutes vos données critiques", "vous pouvez être tenu responsable de la perte des informations confidentielles de vos clients" jusqu'à ce que vous soyez réellement touché par un tel événement, et, lorsque cela se produit, votre organisation est trop occupée à recoller les morceaux pour reconnaître correctement le problème qui l'a causé en premier lieu.
Une façon d'apprendre (parfois douloureusement) les risques potentiels et d'identifier les problèmes dans une infrastructure sans faille à ce moment-là est de s'engager avec une équipe rouge et de lui demander de mener une opération offensive contre vous. L'inconvénient est que, lorsque ces opérations sont effectuées, les résultats sont souvent si décourageants que la plupart des organisations déclenchent des clauses NDA et gardent les résultats confidentiels - ce qui rend plus difficile pour tous les autres de tirer des leçons de cette expérience.
CISA, l'agence américaine chargée de mettre en œuvre des mesures et des politiques de cybersécurité, offre aux organisations, tant publiques que privées, la possibilité de faire réaliser des opérations Red Team sur leur infrastructure - par une partie digne de confiance. Très récemment, l'agence a publié un rapport La description des méthodes, techniques et procédures employées devrait inciter tous les RSSI et responsables informatiques à se demander si leur propre infrastructure ne serait pas mieux lotie que celle de l'organisation anonyme mentionnée dans le rapport.
La mise en place
L'année dernière, à la demande d'une organisation d'infrastructure critique répartie sur plusieurs sites géographiques, le CISA a mené un exercice d'évaluation en équipe rouge afin de tester les défenses et d'identifier les risques de l'infrastructure informatique de cette organisation. Cette organisation, dont le nom n'est pas mentionné dans le rapport, a été considérée comme ayant une "posture cybernétique mature".
Le but de l'exercice était d'accéder à l'infrastructure du réseau de l'organisation et d'essayer d'accéder à des informations et des systèmes critiques.
Alerte au spoiler, il a réussi spectaculairement.
L'entrée initiale
L'espace public d'adresses IP de cette organisation, qui comprend plus de trois millions d'adresses, ne contient aucun service ou port vulnérable exploitable, ce qui témoigne du niveau de sécurité que l'organisation possédait avant cette mission. Cela témoigne du niveau de sécurité que l'organisation possédait avant cet engagement, et constitue certainement une fierté pour l'équipe de sécurité qui y travaille. C'est un véritable exploit.
Dans ces conditions, l'équipe rouge de la CISA a dû recourir à des tactiques différentes pour s'introduire dans le système. Si le réseau n'est pas vulnérable, c'est peut-être l'élément humain qui l'est. C'est pourquoi, à l'aide d'informations accessibles au public provenant de sites de réseaux sociaux (OSINT), la RT a obtenu des informations détaillées sur le personnel de l'organisation, en particulier sur l'équipe informatique. En identifiant le schéma de dénomination des courriels à partir de quelques adresses électroniques publiquement visibles, le RT n'a plus eu besoin de trouver les courriels de tous les membres du personnel clé, mais seulement leurs noms, et a pu créer les adresses électroniques d'autres personnes qui ne rendaient pas ces informations publiques. Fort de ces connaissances, le RT a entrepris des activités d'hameçonnage ciblant des personnes spécifiques, avec un contenu spécifiquement adapté à ces personnes (en utilisant leurs informations de hobby, par exemple). Deux personnes ont répondu et ont été sollicitées jusqu'à ce qu'elles acceptent de participer à un appel vidéo en ligne avec des membres de l'équipe rouge. Pour participer à ces appels vidéo, les personnes clés ont été incitées à accéder à un site web contrôlé par la RT afin de télécharger le logiciel de connexion vidéo, qui comprenait une "fonction" de contrôle à distance. Cela a permis à la RT d'accéder immédiatement à deux postes de travail différents au sein du réseau, appartenant à deux administrateurs informatiques.
Posséder le réseau
Avec le proverbial pied dans la portele RT s'est attelé à la cartographie du réseau. Ils ont identifié l'existence d'un certain nombre d'autres postes de travail et de contrôleurs de domaine (il s'agissait d'un environnement Windows), et ont interrogé l'Active Directory pour connaître tous les utilisateurs et comptes présents dans l'environnement. Cela a permis de mener d'autres attaques de phishing qui ont conduit à l'accès à un serveur mal configuré, à partir duquel ils ont compromis le contrôleur de domaine. Ce déplacement latéral a été facilité par une technique spécifique à l'Active Directory appelée "Golden Ticket Attack".Attaque du ticket d'or"dans laquelle un type spécial de jeton d'autorisation a été utilisé pour créer d'autres accès d'autorisation et d'usurpation d'identité. Je n'entrerai pas dans les détails de cette attaque, car elle est assez complexe et longue à expliquer, mais elle est basée sur le fait que des services fonctionnaient avec plus de privilèges qu'ils ne le devraient, et qu'il était possible d'accorder d'autres privilèges à partir des privilèges existants.
Ils ont étendu ce mécanisme d'octroi de privilèges pour obtenir un accès privilégié à un contrôleur de domaine. Le fait de "posséder" un contrôleur de domaine (DC) permet de contrôler efficacement tous les autres systèmes de ce domaine - postes de travail, autres serveurs - qui partagent le mécanisme d'authentification.
S'approprier le monde
Si vous ne connaissez pas bien l'Active Directory de Windows, l'aspect essentiel à garder à l'esprit est que les DC doivent toujours voir tous les autres DC et communiquer avec eux, faute de quoi ils peuvent se désynchroniser très rapidement. Ainsi, même sur des sites géographiquement séparés et dont l'accès au réseau est très restreint, les pare-feu autorisaient les connexions entre les DC de différents sites - et l'un d'entre eux était déjà sous le contrôle effectif de la RT. Abusant de cette possibilité, ils ont accédé à d'autres centres de données et ont pu cartographier et identifier des systèmes sur d'autres sites de l'organisation, y compris un poste de travail utilisé par un administrateur, où ils ont eu accès à un gestionnaire de mots de passe contenant des informations d'identification pour plusieurs systèmes privilégiés, et un autre où ils ont trouvé un "diagramme de réseau détaillant les limites du réseau" entre les sites, des informations sur l'"infrastructure en nuage", y compris des plages d'adresses IP de confiance - et la RT a acheté une adresse IP dans cette plage de confiance, ce qui lui a permis d'accéder à d'autres systèmes auxquels elle n'avait pas encore eu accès. Et ces événements n'effleurent même pas la surface de ce qui est contenu dans le rapport en tant que mouvement supplémentaire.
Le RT possédait entièrement le réseau et avait accès à de nombreux services commerciaux. Il possédait effectivement le monde informatique de l'organisation. Et jusqu'à ce moment-là, aucune alerte n'avait été émise, de sorte qu'ils n'avaient toujours pas été détectés, ce qui confirme une tendance du secteur. une tendance du secteuroù la plupart des brèches ne sont pas détectées pendant des mois. En fait, contrairement aux récits fictifs d'opérations de piratage, une telle violation ne se produit pas en quelques clics de souris et de commandes tapées dans une salle obscure.
L'opération de l'équipe rouge s'est déroulée sur une période de plusieurs mois (une période d'engagement prédéfinie a été convenue avant de commencer), ce qui a permis à l'équipe rouge de mener ses activités en silence, sans déclencher d'alarmes ou de seuils de surveillance. Il existe un mantra qui dit que "plus on est silencieux, plus on est capable d'entendre", et ce mantra lui va comme un gant.
Jusqu'à ce qu'ils le veuillent.
Après tout cela, l'équipe rouge a voulu tester la réponse de l'organisation aux incidents de sécurité, et s'est donc délibérément engagée dans des activités qui devraient déclencher des alertes de surveillance - comme la création de nouveaux utilisateurs, l'exfiltration de données vers des serveurs extérieurs, l'attaque de serveurs extérieurs à partir du réseau, l'élévation des privilèges, le déploiement d'une fausse attaque de ransomware sur des postes de travail ( !) et plusieurs autres, et la réponse a été soit inexistante, soit minimale dans le meilleur des cas.
Les recommandations
Le rapport fournit des recommandations claires et réalisables qui peuvent s'étendre au-delà de l'organisation cible :
- Établir une base de référence - identifier ce qui constitue une activité normale sur le réseau et les services, et configurer la surveillance pour qu'elle alerte en cas de dépassement de ces paramètres.
- Procéder à des évaluations régulières - pour tester les logiciels et le matériel, ainsi que les procédures et la formation des utilisateurs et du personnel.
- Appliquer MFA résistante à l'hameçonnage résistante à l'hameçonnage.
Pour l'organisation cible, outre ces recommandations, la CISA a également suggéré de réduire les autorisations sur les systèmes qui n'en ont pas besoin, de mettre en place un plan de rotation des mots de passe des comptes de service (le compte Kerberos utilisé dans l'attaque du ticket d'or avait toujours le même mot de passe depuis son déploiement - il y a 10 ans), de renforcer les systèmes après leur déploiement initial, car les paramètres par défaut étaient très laxistes sur certains aspects de la sécurité, d'améliorer la surveillance et la réponse, ainsi que de nombreux autres points à prendre en considération.
La façon dont votre organisation aborde les recommandations est souvent plus révélatrice de votre position globale en matière de sécurité que le fait qu'il y ait eu des problèmes au départ - vous pouvez soit les accepter et vous améliorer, soit les contester et rester dans l'insécurité. En tirer des enseignements est un bon indicateur du niveau de maturité de l'approche de la sécurité et de l'équipe qui en est responsable.
Remarques finales
Le rapport est incroyablement détaillé. Bien que de nombreux autres rapports soient disponibles et utiles en tant qu'instruments d'apprentissage, le niveau de détail de celui-ci est superlatif. En l'état, il s'agit d'un outil d'apprentissage précieux pour toutes les équipes, qu'il s'agisse des opérations, de la sécurité ou des équipes bleues et rouges internes. Il s'agit également d'un signal d'alarme et d'un rappel à la réalité pour toute organisation qui est (trop) confiante dans son dispositif de sécurité, mais qui n'a pas connu d'événement réel pour prouver (ou infirmer) cette notion.
Par ailleurs, l'élément humain reste le maillon le plus faible. Les meilleurs outils de sécurité du monde sont mis en échec par l'utilisateur (ou même l'administrateur système !) qui clique sur un lien de courrier électronique ou qui télécharge et exécute un logiciel tiers.
Si vous avez du mal à convaincre votre conseil d'administration d'investir dans les technologies de l'information, et en particulier dans la cybersécurité, vous devriez utiliser ce rapport pour renforcer votre position. votre l'organisation.
Et le principal enseignement à en tirer est le suivant... ce n'était qu'un exercice. Imaginez les efforts qu'un adversaire bien motivé déploierait, au-delà de ce qui a été accompli par la RT dans cet exercice, s'il décidait de s'en prendre à votre organisation. Les risques de sécurité ne sont pas de simples "accessoires de marketing" - ce sont des préoccupations réelles et actuelles que vous écartez à votre détriment, et de votre organisation.de votre organisation.
