Identifier et gérer efficacement les vulnérabilités est un défi majeur pour les équipes de sécurité.
Une mauvaise gestion des menaces peut conduire à des violations de données, des pertes financières, et endommager la réputation de l’entreprise.
Découvrez comment les standards de gestion des vulnérabilités, tels que les frameworks MITRE, permettent de renforcer la posture défensive, de détecter les attaques et de protéger les systèmes contre les menaces persistantes.
Les Standards de Gestion des Vulnérabilités en Blue Team
L'Organisme MITRE et la Stratégie Blue teaming
La MITRE Corporation, fondée en 2013, est une organisation à but non lucratif américaine financée par le gouvernement fédéral, qui se concentre principalement sur une collaboration avec des organismes gouvernementaux en recherche et développement (R&D), le Département de la Défense (DoD), ainsi que des institutions industrielles et universitaires.
Les Standards de l'Organisation MITRE pour la Stratégie Blue teaming
- CVE (Common Vulnerabilities and Exposures)
Un standard qui permet de ranger des vulnérabilités avec une description, agissant comme un annuaire ou un dictionnaire simplifié.
Son format est CVE-AAAA-NNNN, où AAAA représente l’année de publication du CVE et NNNN est le numéro d’identification unique pour cette vulnérabilité spécifique
- CVSS: Common Vulnerability Scoring System
Un système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)
Objectifs du CVSS dans la Stratégie Blue teaming
- Calculer
- Comparer
- Comprendre la gravité des failles de sécurité
Trois Métriques du CVSS pour la Stratégie Blue teaming
- Score de base
- Temporel
- Environnemental
Pour entrer dans le monde des CVE (Common Vulnerabilities and Exposures), la première chose à connaître est le site officiel. On peut effectuer des recherches très simplement en utilisant la base de données avec un mot-clé.
Par exemple, si je cherche des informations sur les vulnérabilités liées aux ordinateurs ThinkPad, je saisis ce mot-clé et je peux alors voir tous les CVE différents ainsi que leur description
En cliquant sur un CVE, on peut accéder à son identifiant, aux différentes descriptions et connaître les références sur le site de l’instructeur, la date de création, etc. C’est là une première approche sur laquelle nous pouvons nous baser.
Le nouveau site est cve.org où l’on peut télécharger l’ensemble des différents CVE disponibles. Cette toute dernière version offre toutes les fonctionnalités nécessaires.
De plus, je peux effectuer une recherche sur la base d’un mot-clé. Si je suis un éditeur, je peux également mettre à jour un enregistrement ou demander un ID de CVE.
Cependant, il est important de noter que la procédure pour obtenir un numéro de CVE peut prendre un certain temps.
Je peux également effectuer une recherche très spécifique d’un CVE particulier. Par exemple, je pourrais choisir une CVE bien connue qui a affecté le service ou le spouleur de Microsoft, comme la CVE 2021-34527. En cliquant sur « Rechercher« , je pourrais immédiatement accéder à l’enregistrement de cette CVE.
Si je souhaite obtenir davantage de statistiques, je peux consulter le site CVE Details, qui nous permet d’effectuer des recherches plus détaillées sur la base CVE.
Nous pouvons rechercher par produit, par éditeur, par type de vulnérabilité, et récupérer des statistiques relatives aux différentes vulnérabilités.
Un petit tableau peut également rassembler les différentes vulnérabilités présentes dans la base CVE, avec leur score CVSS et leur pourcentage.
En outre, nous pouvons effectuer des recherches par éditeur. En cliquant sur l’icône « CVE Details« , nous pouvons voir en tête de liste des éditeurs tels que A M Kuchling et A Mennucc1.
En cliquant sur l’éditeur, nous pouvons consulter un bref historique des vulnérabilités ainsi que les types de vulnérabilités trouvées au fil des années, classées par type et par nom. La figure suivante illustre ce processus.
Je peux choisir aussi une année spécifique et trouver toutes les informations sur les vulnérabilités.
Par exemple je viens de choisir janvier 2024 Et là, je trouve toutes les vulnérabilités, les CVE, ainsi que leurs descriptions, dates de mise à jour et de publication, les scores CVE, ainsi que d’autres paramètres spécifiques à l’exploitation des vulnérabilités, sans oublier le score CVSS.
Jusqu’à maintenant, nous avons récupéré des CVE, ce qui signifie que nous avons obtenu des vulnérabilités ainsi que leurs scores, leurs descriptions, et ainsi de suite, mais pas encore leurs exploits.
Pour cela, nous pouvons consulter des bases de données publiques telles qu’Exploit Database, par exemple, pour récupérer à la fois la vulnérabilité et l’exploit, ce qui nous permettra de vérifier si elle est exploitable.
Il est important de noter qu’une vulnérabilité présente ne signifie pas nécessairement qu’elle est exploitable, car une version vulnérable ne garantit pas toujours l’exploitabilité.
Je peux prendre par exemple une vulnérabilité quelconque La vulnérabilité « ManageEngine ADManager Plus Build < 7183 – Recovery Password Disclosure » permet la divulgation du mot de passe de récupération. On a son identifiant sur la base de données, le code CVE et l’exploit dans la base de données nous permet aussi de vérifier si la vulnérabilité a été confirmée par ces derniers ou non. Dans ce cas, l’auteur, le type, je peux télécharger l’exploit ou le visualiser directement dans mon navigateur. On a également la plateforme, la date de publication, et si disponible, l’application vulnérable pour tester la vulnérabilité.
Si je descends un peu plus bas, j’ai l’exploit qui permet d’exploiter la vulnérabilité. Bien sûr, cela dépend du type d’application, de la solution, du développeur, de l’époque ou de l’exploit (entre parenthèses, cela peut être en PHP, en C, en Python, ou ainsi de suite). Exploit DB est une référence en matière de référencement de différents exploits. On peut y effectuer des recherches par type, plateforme, port, auteur de la vulnérabilité, etc.
Vous avez aussi d’autres plateformes telles que Sploitus, qui est en fait une sorte de moteur de recherche similaire à Google, mais pour les vulnérabilités CVE. Au lieu d’effectuer une recherche sur une seule plateforme, par exemple Exploit Database, Sploitus nous permet de réaliser une recherche sur plusieurs plateformes en même temps.
Je peux effectuer une recherche, par exemple, sur le spooler de Windows, qui est un service d’impression très vulnérable. Il suffit de taper « spooler« , d’appuyer sur Entrée, et il recherche simplement toutes les références à ce spooler avec les CVE associées. Ensuite, je peux choisir de cliquer directement sur l’exploit pour l’afficher.
Si je regarde en dessous, j’ai mon exploit. Je peux ouvrir la page et voir la source, et avoir tous les détails, comme on peut le voir ci-dessous. À gauche, on a la source des différents exploits, on peut trouver le « M » pour Metasploit, qui est un framework d’exploitation automatisé de vulnérabilités, et encore plus d’autres détails.
0day.Today est une plateforme également très intéressante où l’on peut trouver des exploits qu’on ne trouve pas partout, ce qui est la première chose à souligner.
La deuxième chose à noter est que certaines vulnérabilités sont entièrement divulguées (« full disclosure« ) et ne suivent pas le circuit habituel. Parfois, même les éditeurs ne sont pas nécessairement au courant de leur existence s’ils n’ont pas été correctement surveillés. C’est pourquoi il est important de suivre ce type de plateforme, bien que parfois un peu « sauvage » (entre parenthèses), on y trouve vraiment des informations extrêmement intéressantes.
Notamment, nous avons une zone privée. En cliquant sur « private« , nous retrouvons des zero day qui ne sont pas encore publiés publiquement, cela dépend de la plateforme concernée.
Bien sûr, le paiement se fait par Bitcoin, avec l’équivalent en dollars. Ci-dessus, nous avons tous les exploits que nous recherchons, cela dépend de l’utilisation, de la vulnérabilité et de la cible.
our avoir une idée des transactions payantes qui se déroulent dans la partie « zeroday« , je vous invite à jeter un coup d’œil sur une plateforme qui achète des zero day pour les utiliser ou les revendre à d’autres entités
Si je clique sur « bounties », vous avez une idée du montant de la prime qui peut monter très rapidement pour une vulnérabilité sur Windows permettant une exécution de code à distance sans aucune interaction de l’utilisateur, allant jusqu’à un million de dollars.
Il existe aussi d’autres forums sur lesquels vous pouvez effectuer votre veille sur les vulnérabilités, les exploitations et même les zero day, notamment la plateforme Exploite.in.
En ce moment, vous pouvez également vous baser sur XSS.is ou encore d’autres plateformes similaires. Vous pouvez suivre les comptes les plus connus et les plus intéressants des chercheurs qui contribuent beaucoup à la communauté. Vous pouvez les retrouver sur les réseaux sociaux ou bien sur les ressources telles que les meilleurs liens à suivre.
L’organisme du NIST nous permet de réaliser un petit calcul rapide du score CVSS selon les versions. Vous pouvez trouver plus de détails sur le site du NIST. En fait, il fournit une petite calculatrice très intéressante. Comme nous l’avons mentionné précédemment, le score est basé sur des métriques temporelles, ainsi qu’une méthode environnementale.
Une fois que vous avez rempli toutes les informations spécifiques à chaque paramètre, notamment les vecteurs d’attaque tels que le réseau, la complexité de l’exploitation de la vulnérabilité, les privilèges requis, l’interaction de l’utilisateur (s’il y en a besoin ou pas), le champ d’application, l’impact sur la confidentialité, l’intégrité et la disponibilité, sans oublier les métriques temporelles. Cela inclut la maturité de l’exploit, c’est-à-dire s’il existe déjà des exploits ou simplement des preuves de concept, ainsi que le niveau de remédiation.
La méthode environnementale prend en compte des facteurs supplémentaires pour évaluer l’exploitation de la vulnérabilité. Ici, l’utilisateur peut renseigner des paramètres tels que la complexité de l’attaque, les privilèges requis, l’interaction de l’utilisateur, le champ d’application, le vecteur d’attaque, l’impact et les modificateurs du score.
Une fois que tous ces paramètres sont remplis, le score CVSS est calculé et affiché.
Il est également possible d’examiner l’équation utilisée pour ce calcul, offrant ainsi une transparence et une compréhension approfondie du processus d’évaluation de la gravité des vulnérabilités
- Les standardes CWE et CWSS
- Weakness Enumeration (CWE-XXXX)
Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application
- Common Weakness Scoring system
Fournit un mécanisme permettant de hiérarchiser les faiblesses logicielles de manière cohérente, flexible et ouverte
Nous pouvons trouver sur le site CWE, qui est maintenu par le NIST, une liste exhaustive des vulnérabilités et des erreurs fréquemment rencontrées par les développeurs lors de la conception et du développement de logiciels. Cette ressource offre une clarté tant au niveau conceptuel que physique, en fournissant une description détaillée des différents types d’erreurs et leur relation avec d’autres problèmes et vulnérabilités dans le code.
En consultant le CWE, nous avons accès aux Top 25 des vulnérabilités ou des faiblesses les plus courantes dans le développement de logiciels. Ces catégories d’erreurs incluent une variété de types d’erreurs que les développeurs peuvent rencontrer lors de la création de leur code.
La plateforme fournit également des descriptions détaillées des termes, des alternatives, et des relations avec d’autres problèmes et vulnérabilités au niveau du code, offrant ainsi une ressource précieuse pour améliorer la sécurité des applications logicielles
Responsible Disclosure
Full disclosure
Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC
Découvrez les normes et standards du Blue Teaming et maîtrisez l’analyse de flux réseaux avec WireShark
Maîtriser l'Analyse des Leaks pour une Stratégie Blue teaming Efficace
Les leaks représentent des fuites de données accessible sur internet en public ou en vente libre
Exploitation des données dans un contexte de social engineering, reconnaissance, password reuse ou encore password spraying
Cela peut aussi concernerdes données personnelles et secrets industrielles
Un des points des plus importants pour une blue team est de faire une veille continue sur les leaks des organismes
La première plateforme que je vous conseille de toujours vérifier est « Have I Been Pwned« . Elle vous permet de savoir si votre compte ou celui de votre organisation a été compromis, y compris votre numéro de téléphone. Il vous suffit d’entrer votre adresse e-mail professionnelle ou le nom de votre organisation pour obtenir des informations sur toute violation de données connue.
Il est essentiel de comprendre que le type de données compromises dépend de la brèche. Par exemple, les brèches telles que celles de 000webhost, Adobe ou Dropbox peuvent contenir des informations sensibles telles que des adresses e-mail. Il est important de prendre en compte la date de la brèche et d’agir en conséquence.
Il est recommandé de changer rapidement vos mots de passe et d’opter pour des mots de passe robustes, en suivant si possible les politiques de changement de mot de passe établies. Cela offre une certaine protection contre les brèches de données. Si aucune politique de changement de mot de passe n’est en place, il est conseillé de le faire dès que possible.
De plus, il est toujours préférable d’utiliser des mots de passe uniques pour chaque compte. Les plateformes de gestion de mots de passe peuvent être utiles pour organiser et sécuriser vos informations d’identification.
Au niveau des fuites de données, une plateforme très importante est « Dehashed ». Comme expliqué précédemment, plusieurs fuites de données peuvent survenir et nos comptes professionnels ou personnels peuvent être concernés.
Il est essentiel de continuellement vérifier ces fuites. Il est également important de savoir que les mots de passe sont généralement fuités sous forme de hachage, ce qui signifie qu’ils ne sont pas lisibles en clair. Cependant, certaines plateformes se spécialisent dans le déhachage et peuvent fournir les mots de passe en clair, provenant de domaines d’organismes ou d’adresses e-mail, etc.
Par exemple, en allant sur la plateforme Dehashed et en saisissant le nom de l’organisme, comme « Alphorm« , vous pouvez effectuer votre recherche. Vous serez alors invité à vous authentifier sur cette plateforme, car il s’agit d’un service payant et non gratuit.
Une fois authentifié, nous pouvons commencer à effectuer nos recherches. Je peux effectuer une recherche relative à une adresse e-mail, un utilisateur, une adresse IP, un nom, une adresse, un domaine, etc. Par exemple, je peux choisir de rechercher le domaine « microsoft.com ».
Nous pouvons également remarquer le nombre total de comptes retournés, le temps nécessaire pour effectuer la recherche, et le nombre de ressources disponibles pour notre recherche. À ce stade, nous récupérons des résultats avec des comptes compromis. En cliquant sur un compte, nous pouvons trouver, selon la fuite de données, les informations divulguées telles que le nom, l’adresse e-mail et le numéro de téléphone.
Dans Data Wells, vous avez toutes les bases de données qui ont été utilisées pour regrouper ces différentes informations. Vous y trouverez également une petite description, la date de publication, le nom de la base de données et le type de données qui a été compromis.
À ce stade, il est également important de savoir que si vous êtes le propriétaire d’une adresse e-mail spécifique, par exemple, et que vous découvrez qu’elle fait partie d’une fuite de données, vous pouvez vous rendre sur Data Wells et cliquer sur « request entry removal« . Cela entraînera le retrait de toutes les données liées à cette entrée spécifique, ce qui signifie que ces données ne seront plus disponibles.
Appréhender la Notion de Groupes APT dans la Stratégie Blue teaming
Définition d’un Groupe APT dans la Stratégie Blueteaming
- APT: Advanced Persistent Threat
Les groupes de menaces sophistiqués représentent des entités hautement qualifiées, équipées d’outils sophistiqués et poursuivant des objectifs précis. Dans le cadre d’une stratégie Blue Teaming, il est essentiel de comprendre que leurs intentions ne sont pas toujours de causer des dégâts immédiats. Leur objectif principal est souvent de persister furtivement au sein des systèmes et de procéder à des exfiltrations de données, avec un soutien fréquent de gouvernements. Une vigilance particulière doit être accordée aux faux indices (attribution), qui peuvent détourner les investigations et compromettre l’efficacité de la stratégie de défense Blue Teaming.
Schéma
Généralement, un groupe APT (Advanced Persistent Threat) suit un mode opératoire bien défini lors d’une attaque. En parlant de l’attaque de manière générale, nous pouvons schématiser le processus comme suit :
Le groupe commence par collecter des informations sur l’organisation et ses ressources, en effectuant des analyses OSINT (Open Source Intelligence) et des reconnaissances pour préparer une attaque de type phishing. La plupart du temps, l’attaque est exploitée à ce stade, bien que des exploitations directes puissent également être utilisées.
Cependant, dans la plupart des cas, l’attaque prend la forme d’une distribution via des e-mails de phishing, et peut être plus précise avec du spear phishing. Dans le phishing, une fois que les utilisateurs sont piégés, l’attaquant incite à l’installation d’un port dérobé (backdoor) qui permet un accès persistant à la machine affectée. Cela permet à l’attaquant de prendre le contrôle total de la machine et de récupérer et d’exfiltrer les données sensibles, telles que des documents. Ces données sont souvent déposées sur le serveur C&C (Command and Control) pour être exploitées ultérieurement par les attaquants.
Les Serveurs C&C
Ces serveurs distants sont souvent appelés serveurs de commande et de contrôle. Ce sont des serveurs utilisés par les attaquants comme serveurs intermédiaires pour distribuer des ordres aux différentes machines affectées, ainsi que pour héberger et camoufler leurs malwares, outils et même les documents ou informations exfiltrées. Haut du formulaire
Plusieurs plateformes fournissent des documentations très intéressantes sur les APT (Advanced Persistent Threats), et notamment la plateforme FireEye, une référence majeure dans le domaine de la cybersécurité. Ils fournissent tout d’abord une petite définition des groupes APT. Ils ne donnent pas de responsabilité présumée, car il est important de noter que ces attributions sont présumées. Une fois les attributions faites, elles ne sont pas toujours à 100 % certaines et peuvent être politiques. Ces attributions sont basées sur des mots détectés, etc.
De plus, il y a souvent un flou et une ambiguïté dans les rapports présentés. On ne parle pas vraiment des groupes APT liés au temps, par exemple, ou liés à plusieurs puissances européennes ou à une région spécifique.
Par exemple, l‘APT39 est associé à un responsable présumé en Iran. Il est généralement très ciblé dans ses attaques. Les présentations générales des groupes incluent les malwares associés, les vecteurs d’attaque et une analyse spécifique.
Généralement, ces groupes d’attaquants sont soutenus par des gouvernements et peuvent être utilisés pour l’espionnage industriel ou politique. Cependant, il est toujours important de noter qu’il y a toujours une cible, que ce soit financièrement, politiquement ou pour le cyberespionnage, etc. Donc, il existe différents groupes APT avec différents responsables.
D’ailleurs, au niveau de la documentation fournie, on trouve diverses ressources, liens et références vers différents groupes APT. On peut choisir parmi une variété de groupes et voir les présentations spécifiques de chacun. En explorant ces ressources, on peut accéder à des informations détaillées sur les activités, les attaques et les caractéristiques propres à chaque groupe, permettant ainsi une meilleure compréhension de la menace cybernétique.
Par exemple, en cliquant sur « Twisted Spider« , nous obtenons des informations sur ce groupe, notamment une brève description de ses activités et les différentes cibles qu’il vise. En général, on peut découvrir les pays qui pourraient être ciblés ainsi que les industries et les technologies susceptibles d’être visées par ce groupe. Cela permet de mieux appréhender les motivations et les objectifs des attaquants, ainsi que les secteurs à risque.
De plus, il existe un fichier répertoriant tous les groupes disponibles, comme vous pouvez le voir ici. Vous pouvez choisir parmi différents groupes en fonction de vos besoins spécifiques. Il y a également des rapports détaillés que vous pouvez télécharger pour obtenir une analyse approfondie de chaque groupe, fournissant ainsi une vue d’ensemble complète des menaces potentielles et des stratégies d’attaque.
Enfin, nous avons également le site du MITRE qui répertorie ces différents groupes APT. Sur ce site, je peux choisir un groupe APT parmi ceux qui sont disponibles. Je trouve toujours une petite description du groupe, un identifiant donné par l’organisme du MITRE associé à ce groupe, ainsi que la date de création et la dernière modification. Cela offre une vue complète des groupes APT répertoriés, permettant une meilleure compréhension de leurs caractéristiques et de leurs activités.
Et nous avons également tous les groupes associés avec une petite description. Nous pouvons y trouver les techniques qui seront utilisées par ces groupes, ainsi que les outils et logiciels utilisés. De plus, des références complémentaires sont disponibles, ce qui permet d’approfondir notre compréhension des activités et des méthodes de chaque groupe APT répertorié.
Parlons maintenant de la Cyber Kill Chain, qui se compose de trois phases principales et de neuf étapes au total. Cette dernière commence par une phase de préparation d’attaque, suivie par la phase d’intrusion, et enfin la phase de compromission ou de breach.
La Cyber Kill Chain
Phase 1 : Préparation
- Reconnaissance :
- L’attaquant collecte des données sur la cible et les tactiques de l’attaque. Cela inclut la collecte d’adresses e-mail et la collecte d’autres informations.
- Les scanners automatisés sont utilisés par les intrus pour trouver des points de vulnérabilité dans le système. Cela inclut l’analyse des pare-feu, des systèmes de prévention des intrusions, etc. pour obtenir un point d’entrée pour l’attaque
- Weaponization
- Les informations obtenues de l’étapes précédentes vont permettre de créer un moyen pour infiltrer le système d’information de la victime.
- Pour cela, des logiciels malveillants ou malwares sont utilisées.
Phase 2 : d'intrusion
Delivery
- Dans cette étape, le pirate va livrer (l’arme) qui sera utilisée pour atteindre la cible,
- Par exemple le pirate peut envoyer un email en se faisant passer par la banque de l’utilisateur, cet email contient un lien qui redirige vers une page d’authentification factice. Le but est de collecter les vrais paramètres de l’authentification afin de les utiliser plus tard.
- Les autres moyens de livraison peuvent être l’utilisation d’une clé USB, compromettre un site web ou l’interaction des réseaux sociaux.
Exploitation :
- L’objectif ici est d’exploiter une vulnérabilité afin d’accéder au système d’information de la victime.
- Pour cela plusieurs moyens peuvent être utilisés (faille 0 day, les vulnérabilités, l’ouverture d’une pièce jointe ou le fait de cliquer sur un lien malveillant).
- Installation :
- Un Cheval de Troie de porte dérobée ou d’accès à distance est installé par le logiciel malveillant qui permet à l’intrus d’accéder.
- C’est également une autre étape importante où l’attaque peut être stoppée à l’aide de systèmes tels que HIPS (Host-based Intrusion Prevention System)
Phase 3 : Breach
Commande & Contrôle :
- Le logiciel malveillant installé précédemment ouvre un canal de communication vers le pirate informatique. Ce logiciel est à l’entrée, prêt à exécuter les commandes du pirate.
- Les canaux de communications généralement utilisés sont basés sur des protocoles WEB, DNS ou MAIL.
Action on objectiv :
- L’attaquant extrait finalement les données du système.
- L’objectif consiste à collecter, crypter et extraire des informations confidentielles de l’environnement de l’organisation.
Découvrir la Corrélation entre OPSEC et Cyber Kill Chain dans la Stratégie Blue teaming
Cyber Kill Chain et OPSEC dans une Stratégie Blueteaming
Dans le cadre de la stratégie Blue teaming, la sécurité opérationnelle (OPSEC) est cruciale pour protéger les informations sensibles de l’entreprise. Elle implique des processus visant à identifier et à contrer les menaces, en organisant les logiciels et matériels utilisés par les employés.
Comprendre la Cyber Kill Chain est essentiel pour élaborer des mesures proactives et réactives afin de bloquer les attaquants à chaque étape.
La surveillance des utilisateurs et la collaboration entre la « Blue Team » et la « Red Team » sont également des éléments clés de cette approche.
Appréhender la Notion de TTPs dans la Stratégie Blue teaming
TTPs : Tactiques, Techniques et Procédures La Tactique
L’objectif d’un attaquant Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques” Sous-techniques Elles décrivent les actions et le comportement de l’adversaire à un niveau inférieur et plus technique Procédures Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous technique.
Rappel : Les attaquants changent, les modes opératoires NON …
Maîtriser le Framework MITRE ATT&CK pour une Stratégie Blue teaming
Introduction au MITRE ATT&CK pour la Stratégie Blue teaming
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus du MITRE ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge Documentation des TTPs courantes utilisées par les menaces persistantes avancées (APT) Le MITRE ATT&CK est un point de départ Threat intelligence voire l’image en grand (Des logs biensure) Ligne défensive efficace Analyse forensique
Apport du MITRE ATT&CK dans la Stratégie Blue teaming
Le framework de MITRE offre une plateforme essentielle pour comprendre et gérer les stratégies des attaquants. En permettant l’analyse et l’évaluation collaborative des techniques, tactiques et procédures (TTP), il permet de mieux cibler les mesures de détection des incidents.
De plus, en facilitant l’émulation d’adversaires et le partage d’informations, il renforce la capacité à modéliser les actions des attaquants et à prendre des décisions éclairées en matière de sécurité informatique. MITRE ATT&CK représente ainsi un outil précieux pour capitaliser sur l’expérience passée et répondre efficacement aux menaces actuelles.
Adversary Emulation dans une Stratégie Blue teaming
Lorsqu’une victime est utilisée pour émuler un adversaire, un plan d’action peut être établi en suivant les actions d’un acteur de menace, comme le groupe APT 3 par exemple. En utilisant le framework de MITRE pour définir les étapes, il suffit ensuite de mettre en œuvre ces actions techniquement, que ce soit de manière automatisée, semi-automatique ou manuelle.
Chaque phase est spécifiée et associée aux techniques d’exploitation correspondantes, permettant ainsi de simuler les actions d’un adversaire potentiel et de tester la résilience du système de défense de l’organisation.
Processus de MITRE ATT&CK
Effectivement, une fois que la technique de test est choisie et que l’exécution de la simulation est effectuée, on peut analyser les résultats au niveau de nos outils de détection, notamment le SIEM. On peut vérifier si les alertes sont bien déclenchées comme prévu.
Si c’est le cas, c’est parfait, cela signifie que notre système de défense est efficace. Si ce n’est pas le cas, cela nous donne l’opportunité d’améliorer notre système défensif. C’est là tout l’intérêt de l’émulation d’adversaire, qui nous permet d’être extrêmement efficaces en simulant des menaces réelles et en testant la robustesse de notre infrastructure de sécurité.
Le framework permet également d’effectuer différents benchmarks afin d’évaluer si les solutions de sécurité sont capables de détecter ou non les différents TTP (techniques, tactiques et procédures) les plus utilisés par les acteurs de menace. Par exemple, un rapport fourni pourrait comparer l’efficacité des EDR (Endpoint Detection and Response) à travers des tests de détection des différents TTP. Cela permet d’obtenir une certaine comparaison de l’efficacité des solutions EDR et de comprendre si elles sont capables de détecter les TTP les plus couramment utilisés. Cette fonctionnalité du framework offre une utilisation précieuse pour évaluer et améliorer la posture de sécurité de l’organisation.
Vous pouvez accéder à des informations plus détaillées en suivant le lien fourni. Sur cette matrice d’attaque (https://attack.mitre.org), vous trouverez les différentes tactiques que les groupes de menace peuvent utiliser. Par exemple, dans la tactique « Accès Initial », vous trouverez des techniques telles que la reconnaissance et le développement de ressources, qui peuvent être utilisées par l’attaquant.
D’autres tactiques incluent l’accès aux ressources sensibles du système d’information, l’exécution de commandes, la persistance, l’élévation de privilèges, la collecte d’informations, la communication avec les serveurs C&C (Command and Control), l’exfiltration de données et l’impact sur l’organisation
Vous pouvez cliquer sur l’une des techniques. À partir de là, vous aurez une petite définition, son ID, les sous-techniques qui existent, qui sont rattachées à elle, les plateformes et d’autres informations de métadonnées.
Vous avez aussi d’autres exemples de procédures qui ont été exploitées, notamment ici par des groupes APT.
Un peu plus bas, vous avez un onglet « Mitigation« , c’est-à-dire des contre-mesures appliquées vis-à-vis de ces différents éléments.
Aussi, vous trouverez d’autres éléments relatifs à la détection ainsi qu’aux vecteurs exploités, sans oublier diverses références pour approfondir vos connaissances.
Vous disposez également de l’outil extrêmement puissant « MITRE Navigator » qui vous permet de traiter, gérer, modifier et analyser cette matrice directement. Cela peut s’avérer extrêmement utile dans l’exercice de la Red team et de la Blue team, mais aussi pour répertorier les différentes attaques que vous aurez détectées au niveau du système d’information.
Si par exemple je crée un nouveau calque, je peux choisir le format à exploiter. On a le mode entreprise, mobile et système ICS. Je choisis par exemple la partie entreprise que nous avons déjà déterminée.
Ici par exemple, nous retrouvons les mêmes approches, exactement la même matrice. Je peux changer le nom de cette couche.
Donc il suffit que j’ajoute dans les données documentaires que je lui donne, puis de les poser ici. Je souhaite analyser une information de manière assez basique sur le groupe APT28. Je peux également ajouter d’autres informations à la description, etc.
Et là, j’ai le nom affiché.
Je peux ajouter de nouvelles couches et de nouveaux calculs sur lesquels je vais travailler. Ici, par exemple, je peux nommer APT87, qui est un APT qui n’existe pas bien sûr. En revenant ici, je peux donc trouver différents éléments.
Je peux colorier en utilisant différentes couleurs chaque technique que je veux exploiter et les définir à ce moment-là pour mon attaque. Par exemple, si je réalise un exercice de l’équipe rouge ou encore des exercices Je peux colorier en utilisant différentes couleurs chaque technique que je veux exploiter et les définir à ce moment-là pour mon attaque. Par exemple, si je réalise un exercice de l’équipe rouge ou encore des exercices
Je peux ensuite tout effacer en cliquant sur ‘clear’. Sur la barre de recherche, je peux aussi identifier directement différents éléments très intéressants, notamment les techniques, les tactiques et les procédures.
Je repars sur les pages que j’ai vues tout à l’heure pour plus de détails. Sinon, je peux aussi choisir des groupes de menace spécifiques comme des groupes APT en sélectionnant, par exemple, le groupe APT Threat. Je peux cliquer sur ‘Sélectionner’ et ensuite choisir une couleur pour identifier les techniques utilisées par ce groupe APT. Je peux également enrichir mes recherches en cliquant sur les TTP concernés et en leur attribuant une couleur. En outre, je peux rajouter, si je le souhaite, des commentaires ou des liens pour enrichir la base de données des actions par groupe APT ou autre.
Maintenant, pour comparer, je veux simplement ajouter un petit plus et choisir ‘Create Layer from Other Layers’. Je sélectionne ‘Autre Pré-attaque’, puis je fais un A plus B, c’est-à-dire que je combine A avec la couche B. Une fois cela fait, je descends et clique sur ‘Create‘.
Remarquez ici que si le score est de 1, c’est le score relatif au groupe APT28. Si le score est de 3, cela signifie que c’est le score 1 pour APT28 plus le score 2 pour APT87, comme spécifié.
Maîtriser le Framework MITRE D3FEND pour la Stratégie Blue teaming
D3FEND La matrice D3FEND de Mitre explique la terminologie des techniques défensives de cybersécurité et leur rapport avec les méthodes offensives D3FEND est un schéma dont l’ambition est d’établir un langage commun pour aider les cyberdéfenseurs à partager leurs stratégies et leurs méthodes
Introduction au D3FEND
D3FEND « établit une terminologie des techniques de défense des réseaux informatiques afin d’éclaircir les relations précédemment non spécifiées entre les méthodes défensives et offensives » NSA
Schéma D3FEND dans une Stratégie Blue teaming
Cette carte de l’attaque est extrêmement importante, car elle nous permet d’appliquer de bonnes stratégies en temps voulu et d’avoir une sorte de langage commun entre les utilisateurs pour la partie défensive, et non offensive, comme nous l’avons simplement vu dans le MITRE ATT&CK. Elle fournit vraiment une terminologie précise pour la défense et permet d’établir une correspondance entre le modèle offensif et défensif
Les Composants de D3FEND pour la Stratégie Blue teaming
D3FEND est composé de trois éléments essentiels Un graphe de connaissances qui résume les méthodes défensives Une série d’interfaces utilisateur pour accéder à ces données Une façon de mettre en correspondance ces mesures défensives avec le modèle d’ATT&CK
Sur le site officiel, la matrice présente différentes étapes clés, offrant une interface intéressante pour la gestion des menaces. Ces étapes incluent le durcissement du système et du réseau, la détection des menaces, l’isolation à différents niveaux d’exécution et de réseau, ainsi que la réduction des menaces.
Les mesures défensives reposent sur ces étapes, qui sont définies de manière claire, avec des relations entre les interfaces et les techniques du MITRE, couvrant les aspects de durcissement, de détection et de piégeage pour détecter les tentatives malveillantes au niveau du réseau
En cliquant sur la technique défensive, carrément un code du MITRE avec la définition de fonctionnement et de considération, et différentes considérations à prendre en charge ou à reconnaître. Je peux aussi simuler directement les différentes interfaces qui sont à défendre. Comme vous pouvez le voir en choisissant l’interface certificate à sécurité, je peux donc créer et retrouver les différentes infos sur cette interface.
Maîtriser le Framework DETT&CT pour la Stratégie Blueteaming
Introduction à DETT&CT
Le Framework DeTT&CT, développé en open source par le Centre de Cyberdéfense de Rabobank, vise à relever un défi majeur en cybersécurité. Il se concentre sur les équipes bleues utilisant le modèle MITRE ATT&CK, offrant une solution pour évaluer et comparer la qualité des journaux de données, la visibilité et la détection.
Cela permet aux équipes bleues d’identifier rapidement les lacunes dans la couverture de détection ou de visibilité, les aidant à prioriser l’intégration de nouvelles sources de journaux pour renforcer leur posture de sécurité.
Installation et Démarrage
L’installation de DeTT&CT peut se faire facilement, que ce soit en optant pour une installation locale. Si vous prévoyez de documenter la couverture de détection de votre organisation avec ATT&CK Navigator, il est vivement recommandé d’opter pour une installation locale de DeTT&CT.
Les étapes suivantes ont été effectuées sur une machine virtuelle Ubuntu
- Pour installer DeTT&CT, exécutez les commandes suivantes :
En entrant en mode sudo avec la commande <sudo –s> entrer votre mot de pass root
Lancez une mise à jour en tapant <apt update>.
Définir la disposition du clavier en français avec la commande <setxkbmap fr>
<Apt install git>pour installer le système de contrôle de version git
Tout d’abord, nous allons cloner un dépôt Git situé à l’URL suivante à l’aide de la commande suivante :
Nous allons lister les fichiers et les répertoires dans le répertoire actuel avant d’afficher le contenu du fichier requirements avec les commandes suivantes Haut du formulaire
- cd DeTTECT
- ls
- cat requirement
En tapant la commande <pip install -r requirements.txt> pour installer les dépendances d’un projet Python, par défaut, il ne sera pas installé sur votre machine. Cela signifie que vous devez l’installer avec la commande <apt install python3-pip>. Ensuite, vous pouvez réexécuter l’installation à l’aide de la première commande.
Une fois installé, vous pouvez soit utiliser l’interface de ligne de commande, soit lancer l’éditeur DeTT&CT.
Pour lancer DeTT&CT Editor, tapez la commande suivante :
python3 dettect.py editor
editor: démarrer l’éditeur DeTT&CT localement
Comme vous pouvez le voir dans la dernière ligne, nous sommes désormais en mesure d’ouvrir l’éditeur DeTTECT via une URL et de commencer à interagir avec lui. Une fois que la page Web est affichée, notre première étape consiste à ajouter des sources de données. Cela nous permet de définir, pour DeTTECT, les journaux que nous capturons, afin de pouvoir évaluer qualitativement la visibilité que nous avons sur nos sources de journalisation.
Gestion des Sources de Données dans la Stratégie Blue teaming
- Accédez à DeTT&CT Editor, sélectionnez Data Sources et créez un new file.
Dans cette situation, nous souhaitons indiquer à DeTTECT comment les journaux sont collectés pour les points de terminaison Windows. Nous pouvons accomplir cela en sélectionnant l’option « Ajouter une source de données ». Cela nous permet de partager l’approche collective que nous adoptons pour gérer ces données importantes
Dans la continuité, nous définissons la source de données comme les journaux d’événements Windows. L’outil offre des options que vous pouvez sélectionner au fur et à mesure de la saisie. Ces choix correspondent aux sources de journalisation dans les matrices MITRE ATT&CK, comme évoqué précédemment.
En poursuivant, nous incorporons la date d’enregistrement et de connexion de la source de données, tout en déterminant sa disponibilité pour l’analyse des données et son état d’activation.
Maintenant, entrons dans la phase où nous explorons le contenu de vos données. Dans la section à venir, je détaille la qualité des données obtenues à partir de ma configuration de journalisation des événements Windows. Par exemple, il est possible que je ne capture que les journaux système Windows, ce qui pourrait réduire ma visibilité globale. Je modifie donc les paramètres en conséquence.
J’applique la même méthodologie à toutes mes sources de données, aboutissant à quelque chose qui ressemble à ce que vous pouvez voir ci-dessous.
Dans un environnement de production, la liste serait beaucoup plus longue, en supposant que vous disposez de plus que quelques sources de journalisation. Il est important de noter que la qualité et la couverture de la journalisation varient en fonction du système ou de l’outil évalué. Vous pouvez obtenir de nombreuses informations détaillées à partir d’un type de périphérique réseau, tandis qu’un autre fournit des informations de journalisation assez limitées. Assurez-vous de refléter cette différence dans les sources de données que vous ajoutez.
Une fois que toutes les sources de données de votre environnement sont ajoutées, cliquez sur « Save YAML file »
Conversion de Fichiers pour Blue teaming
Passons maintenant à l’étape suivante qui implique la conversion du fichier YAML en JSON afin qu’il puisse être utilisé dans l’outil ATT&CK Navigator. De retour dans la fenêtre du terminal sur ma VM Ubuntu, je procède à la conversion du fichier YAML en JSON.
Le résultat obtenu et présenté ci-dessous :
En accédant au chemin DeTTECT/, nous pouvons visualiser l’ensemble des sources de données en tapant simplement la petite commande en mode root : <sudo python3 dettect.py generic –ds>.
Maintenant, après avoir généré notre fichier qui se trouve dans le dossier « downloads », nous avons une petite source de données avec des détails. Ce que nous venons d’accomplir est la génération d’un fichier JSON que je viens d’utiliser sur le navigateur.
- Cd Downloads
- Ls
- Cat data_sources_num.json
Le résultat obtenu et présenté ci-dessous :
superposition des Données DETT&CT sur la Matrice ATT&CK dans Blue teaming
Vient maintenant la partie intéressante : observer comment les sources d’enregistrement de données de votre organisation s’alignent sur le framework ATT&CK. Cela offre un aperçu visuel du niveau de couverture et de visibilité potentiel sur les différentes techniques et tactiques utilisées par les adversaires.
Nous superposerons notre fichier data_sources_example_1. json (créé dans la section précédente) au-dessus du navigateur MITRE ATT&CK. Tout d’abord, explorons le navigateur MITRE ATT&CK, accessible ici : https://mitre-attack.github.io/attack-navigator/
Je sélectionne Open Existing Layer – – > Upload from Local , puis je navigue jusqu’à l’emplacement où j’ai enregistré mon fichier data_sources_num.json
Regardez la visualisation que j’obtiens ! Haut du formulaire
Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.
Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.
Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.
Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.
Découvrir la Notion du Biais du Survivant dans Blueteaming
Pendant la Première Guerre mondiale, les États-Unis ont tenté d’améliorer la résistance de leurs avions en analysant les impacts de balles sur les avions de retour du front.
Cependant, cette approche a eu des conséquences imprévues : les avions étaient toujours endommagés et consommaient plus de carburant, rendant les missions plus longues. En ajustant la stratégie pour ajouter un blindage sans affecter négativement les performances, davantage d’avions ont survécu aux attaques.
Cet exemple devrait servir de leçon : les équipes de défense (Blue Team) peuvent appliquer cette leçon à leur contexte. Il ne s’agit pas seulement de traiter les données d’intrusion et les TTP de manière générale, comme présenté dans des frameworks connus, c’est très important à ce moment-là, mais il faut aussi analyser et améliorer sa stratégie de collecte et d’analyse des logs pour avoir une vue d’ensemble complète des zones de vulnérabilité qui ne sont pas connues.
Découvrir les IOC (Indicateurs de Compromission) pour la Stratégie Blueteaming
Exemples d’IoCs
Des données peuvent être collectées à partir des systèmes d’exploitation, du réseau, de la mémoire, etc. Cela peut inclure un nom de fichier, un fichier de log, une adresse IP, un domaine, etc.
Les données collectées sont utilisées pour détecter un incident potentiel et mettre en quarantaine les fichiers infectés afin de simplement empêcher une escalade de l’attaque, voire de mettre fin à l’attaque complètement. Il est important de noter que les IOCs sont basés sur une approche réactive utilisée pour suivre les acteurs de menace. Par conséquent, lorsqu’un IOC est trouvé sur une machine, quelle que soit sa nature, il y a de fortes chances que le système ait déjà été compromis
Cycle de Vie d’un IOC dans une Stratégie Blueteaming
Le cycle de vie d’un IOC est plus ou moins simple. Tout commence par la collecte de données, qui est la clé de tout. Il est très important d’avoir une stratégie de collecte de logs ciblée et stratégique. À partir de là, les données sont analysées. Cette analyse est effectuée par des équipes de la blue team, des équipes des centres de CSIRT, etc. Mais aussi, on peut trouver des équipes de threat hunting qui ne travaillent pas nécessairement dans les SOC, voire même des équipes traditionnelles d’analyse de logs de manière globale. À partir de l’analyse des indicateurs d’un comportement anormal, on remonte pour valider la réalité du compte.
Ensuite, on crée ces différents IOCs, que l’on va ensuite déployer grâce à des SIEM et des outils d’analyse. Nous verrons cela dans la partie sur l’analyse des malwares avec Redline, comme nous pourrons le voir dans la prochaine partie, ces outils nous permettent d’identifier soit de limiter le cas, soit d’arrêter complètement l’attaque sur le périmètre infecté
IOCs vs IOAs dans Blueteaming
Les indicateurs de compromission (IOC) sont réactifs, identifiant des éléments tels que les logiciels malveillants ou les adresses IP compromises après une attaque. Les indicateurs d’attaque, quant à eux, adoptent une approche proactive, similaire au threat hunting, en recherchant des signes potentiels d’attaques.
Une analogie simple serait l’arrivée de la police sur une scène de crime après que le crime a eu lieu pour récupérer des IOC réactifs, tandis qu’une approche proactive anticiperait la scène de crime potentielle avant qu’il ne se produise
En d’autres termes, l’IOC est un indicateur réactif qui peut être recueilli après une compromission, tandis que l’indicateur d’attaque représente des indicateurs collectés en cours de compromission, c’est-à-dire une analyse en temps réel. L’IOC représente une analyse suite à la compromission.
Appréhender le Cycle de Précipitation des IOCs dans Blueteaming
Le Pipeline de Précipitation dans Blueteaming
Le pipeline est une application concrète de la décroissance de l’importance des indicateurs de compromission dans le domaine de la sécurité informatique. Adapté à chaque organisation en fonction du niveau de confiance des IoC de menace et du contexte spécifique, il permet de gérer efficacement ces indicateurs.
Les organisations peuvent établir un pipeline d’obsolescence pour les indicateurs non pertinents, les soumettant à un processus de réduction de confiance.
Cette démarche peut devenir complexe selon la source du signal et la maturité de l’enrichissement des données. Les indicateurs progressent dans le pipeline, leur criticité étant calculée en fonction de leur observation et de leur mise à jour récente. Il est important de souligner qu’un indicateur conserve toujours une valeur analytique, même s’il peut recevoir une réponse de faible confiance.
Appréhender la "Pyramid of Pain" dans la Stratégie Blueteaming
Il faut savoir que dans les réseaux, on trouve différents IoC qui indiquent qu’une attaque est en cours ou qu’une attaque a déjà été perpétrée. En observant cette pyramide, on peut déterminer et avoir différentes idées sur les IoC, ce qui rend plus facile la détection, même pour les plus complexes et difficiles à repérer qui passent entre les mailles du filet généralement. Au niveau des IoC traditionnels, c’est généralement assez facile à détecter, comme par exemple des valeurs de hachage de fichiers, des adresses IP ou des domaines. Jusqu’ici, c’est vraiment très simple.
En revanche, lorsque l’on arrive au niveau supérieur, notamment sur la partie réseau, cela devient un peu plus compliqué, surtout avec des paramètres et des indicateurs assez volatils. En ce qui concerne les outils, c’est également assez compliqué de les détecter, surtout s’ils ont été développés par les acteurs de menace eux-mêmes. Reconnaître ces solutions est extrêmement difficile et nécessite un processus d’analyse et des compétences techniques.
De plus, une simple mise à jour ou une modification des outils d’attaque peut contourner la plupart des solutions de sécurité. Malheureusement, détecter ces outils peut s’avérer très compliqué.
Enfin, il y a les TTP utilisés par l’attaquant. De la même manière qu’on reconnaît l’artiste par son savoir-faire, on reconnaît un groupe d’acteurs de menace par son modus operandi. Une Blue Team compétente est donc capable de détecter une attaque d’un groupe d’acteurs de menace, aussi appelé adversaire. L’intelligence des menaces est d’une importance cruciale dans la connaissance de l’adversaire. Encore une fois, il est primordial d’être très compétent dans la partie Blue Team car c’est la base pyramidale de tout ce que l’on fait.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui. Découvrez des cours variés pour tous les niveaux !
Conclusion
En conclusion, une stratégie Blue Teaming bien élaborée est indispensable pour toute organisation souhaitant assurer une protection robuste contre les cybermenaces. L’intégration d’outils et de méthodologies comme MITRE ATT&CK et DeTT&CT permet non seulement de détecter et de répondre efficacement aux incidents, mais aussi de prévoir et de neutraliser les menaces potentielles avant qu’elles ne causent des dommages significatifs.
En adoptant une approche proactive et en restant constamment à jour avec les dernières techniques de défense, les équipes de sécurité peuvent maintenir un haut niveau de résilience contre les attaques cybernétiques.