Stratégie Blue Teaming : Gestion de vulnérabilités

L'Équipe Alphorm
L'Équipe Alphorm Ajouter un commentaire 60e lecture en min

Dans le prolongement de notre précédent article sur la sécurité Blue Team, nous allons approfondir l’adoption d’une stratégie Blue Teaming, essentielle pour protéger les systèmes et les données sensibles contre les menaces croissantes. Le Blue Teaming implique des mesures défensives rigoureuses pour détecter, analyser et contrer les cyberattaques. En utilisant des outils avancés tels que le MITRE ATT&CK, DeTT&CT, et divers systèmes de collecte de données, les équipes de sécurité peuvent renforcer leurs défenses et améliorer leur capacité à répondre aux incidents de sécurité. Cet article explore les différentes facettes de la stratégie Blue Teaming, en mettant en avant les meilleures pratiques et les technologies essentielles pour une défense proactive.

Découvrir les Standards de Gestion de Vulnérabilités dans la Stratégie Blue teaming

L'Organisme MITRE et la Stratégie Blue teaming

La MITRE Corporation, fondée en 2013, est une organisation à but non lucratif américaine financée par le gouvernement fédéral, qui se concentre principalement sur une collaboration avec des organismes gouvernementaux en recherche et développement (R&D), le Département de la Défense (DoD), ainsi que des institutions industrielles et universitaires.

Référence : Site officiel du mitre https://www.mitre.org/

Les Standards de l'Organisation MITRE pour la Stratégie Blue teaming

  • CVE (Common Vulnerabilities and Exposures)

Un standard qui permet de ranger des vulnérabilités avec une description, agissant comme un annuaire ou un dictionnaire simplifié.

Son format est CVE-AAAA-NNNN, où AAAA représente l’année de publication du CVE et NNNN est le numéro d’identification unique pour cette vulnérabilité spécifique

Interface de CVE pour la gestion des vulnérabilités pour la stratégie Blue teaming
  • CVSS: Common Vulnerability Scoring System

Un système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)

Objectifs du CVSS dans la Stratégie Blue teaming

  • Calculer
  • Comparer
  • Comprendre la gravité des failles de sécurité

Trois Métriques du CVSS pour la Stratégie Blue teaming

  • Score de base
  • Temporel
  • Environnemental

 

Score CVSS d'une vulnérabilité selon CVE pour la stratégie Blue teaming

Pour entrer dans le monde des CVE (Common Vulnerabilities and Exposures), la première chose à connaître est le site officiel. On peut effectuer des recherches très simplement en utilisant la base de données avec un mot-clé.

Interface utilisateur du site CVE pour la stratégie Blue teaming

Par exemple, si je cherche des informations sur les vulnérabilités liées aux ordinateurs ThinkPad, je saisis ce mot-clé et je peux alors voir tous les CVE différents ainsi que leur description

Réalisation d'une recherche sur la liste CVE pour la stratégie Blue teaming

En cliquant sur un CVE, on peut accéder à son identifiant, aux différentes descriptions et connaître les références sur le site de l’instructeur, la date de création, etc. C’est là une première approche sur laquelle nous pouvons nous baser.

Exemple de description d'une CVE pour la stratégie Blue teaming

Le nouveau site est cve.org où l’on peut télécharger l’ensemble des différents CVE disponibles. Cette toute dernière version offre toutes les fonctionnalités nécessaires.

De plus, je peux effectuer une recherche sur la base d’un mot-clé. Si je suis un éditeur, je peux également mettre à jour un enregistrement ou demander un ID de CVE.

Cependant, il est important de noter que la procédure pour obtenir un numéro de CVE peut prendre un certain temps.

Découverte des standards de gestion des vulnérabilités pour la stratégie Blue teaming

Je peux également effectuer une recherche très spécifique d’un CVE particulier. Par exemple, je pourrais choisir une CVE bien connue qui a affecté le service ou le spouleur de Microsoft, comme la CVE 2021-34527. En cliquant sur « Rechercher« , je pourrais immédiatement accéder à l’enregistrement de cette CVE.

Réaliser une recherche spécifique sur CVE pour la stratégie Blue teaming

Si je souhaite obtenir davantage de statistiques, je peux consulter le site CVE Details, qui nous permet d’effectuer des recherches plus détaillées sur la base CVE.

Nous pouvons rechercher par produit, par éditeur, par type de vulnérabilité, et récupérer des statistiques relatives aux différentes vulnérabilités.

Un petit tableau peut également rassembler les différentes vulnérabilités présentes dans la base CVE, avec leur score CVSS et leur pourcentage.

Statistiques d’une CVE pour la stratégie Blue teaming

En outre, nous pouvons effectuer des recherches par éditeur. En cliquant sur l’icône « CVE Details« , nous pouvons voir en tête de liste des éditeurs tels que A M Kuchling et A Mennucc1.

En cliquant sur l’éditeur, nous pouvons consulter un bref historique des vulnérabilités ainsi que les types de vulnérabilités trouvées au fil des années, classées par type et par nom. La figure suivante illustre ce processus.

Réaliser une recherche par éditeur sur CVE pour la stratégie Blue teaming

Je peux choisir aussi une année spécifique et trouver toutes les informations sur les vulnérabilités.

Découvrir les standards de gestion des vulnérabilités pour la stratégie Blue teaming

Par exemple je viens de choisir janvier 2024 Et là, je trouve toutes les vulnérabilités, les CVE, ainsi que leurs descriptions, dates de mise à jour et de publication, les scores CVE, ainsi que d’autres paramètres spécifiques à l’exploitation des vulnérabilités, sans oublier le score CVSS.

Apprendre les standards de gestion des vulnérabilités en Blue teaming

Jusqu’à maintenant, nous avons récupéré des CVE, ce qui signifie que nous avons obtenu des vulnérabilités ainsi que leurs scores, leurs descriptions, et ainsi de suite, mais pas encore leurs exploits.

Pour cela, nous pouvons consulter des bases de données publiques telles qu’Exploit Database, par exemple, pour récupérer à la fois la vulnérabilité et l’exploit, ce qui nous permettra de vérifier si elle est exploitable.

Il est important de noter qu’une vulnérabilité présente ne signifie pas nécessairement qu’elle est exploitable, car une version vulnérable ne garantit pas toujours l’exploitabilité.

Interface de Exploit DB pour la gestion des exploits pour la stratégie Blue teaming

Je peux prendre par exemple une vulnérabilité quelconque La vulnérabilité « ManageEngine ADManager Plus Build < 7183 – Recovery Password Disclosure » permet la divulgation du mot de passe de récupération. On a son identifiant sur la base de données, le code CVE et l’exploit dans la base de données nous permet aussi de vérifier si la vulnérabilité a été confirmée par ces derniers ou non. Dans ce cas, l’auteur, le type, je peux télécharger l’exploit ou le visualiser directement dans mon navigateur. On a également la plateforme, la date de publication, et si disponible, l’application vulnérable pour tester la vulnérabilité.

Exemple d'une vulnérabilité listée sur Exploit DB pour la stratégie Blue teaming

Si je descends un peu plus bas, j’ai l’exploit qui permet d’exploiter la vulnérabilité. Bien sûr, cela dépend du type d’application, de la solution, du développeur, de l’époque ou de l’exploit (entre parenthèses, cela peut être en PHP, en C, en Python, ou ainsi de suite). Exploit DB est une référence en matière de référencement de différents exploits. On peut y effectuer des recherches par type, plateforme, port, auteur de la vulnérabilité, etc.

 

Exploit de vulnérabilités sur Exploit DB pour la stratégie Blue teaming

Vous avez aussi d’autres plateformes telles que Sploitus, qui est en fait une sorte de moteur de recherche similaire à Google, mais pour les vulnérabilités CVE. Au lieu d’effectuer une recherche sur une seule plateforme, par exemple Exploit Database, Sploitus nous permet de réaliser une recherche sur plusieurs plateformes en même temps.

Interface utilisateur de SPLOITUS en Blue teaming

Je peux effectuer une recherche, par exemple, sur le spooler de Windows, qui est un service d’impression très vulnérable. Il suffit de taper « spooler« , d’appuyer sur Entrée, et il recherche simplement toutes les références à ce spooler avec les CVE associées. Ensuite, je peux choisir de cliquer directement sur l’exploit pour l’afficher.

Si je regarde en dessous, j’ai mon exploit. Je peux ouvrir la page et voir la source, et avoir tous les détails, comme on peut le voir ci-dessous. À gauche, on a la source des différents exploits, on peut trouver le « M » pour Metasploit, qui est un framework d’exploitation automatisé de vulnérabilités, et encore plus d’autres détails.

Réalisation d'une recherche sur SPLOITUS en Blue teaming

0day.Today est une plateforme également très intéressante où l’on peut trouver des exploits qu’on ne trouve pas partout, ce qui est la première chose à souligner.

La deuxième chose à noter est que certaines vulnérabilités sont entièrement divulguées (« full disclosure« ) et ne suivent pas le circuit habituel. Parfois, même les éditeurs ne sont pas nécessairement au courant de leur existence s’ils n’ont pas été correctement surveillés. C’est pourquoi il est important de suivre ce type de plateforme, bien que parfois un peu « sauvage » (entre parenthèses), on y trouve vraiment des informations extrêmement intéressantes.

Interface utilisateur de 0day.Today en Blue teaming

Notamment, nous avons une zone privée. En cliquant sur « private« , nous retrouvons des zero day qui ne sont pas encore publiés publiquement, cela dépend de la plateforme concernée.

Bien sûr, le paiement se fait par Bitcoin, avec l’équivalent en dollars. Ci-dessus, nous avons tous les exploits que nous recherchons, cela dépend de l’utilisation, de la vulnérabilité et de la cible.

Interface utilisateur de 0day.Today en Blue teaming

our avoir une idée des transactions payantes qui se déroulent dans la partie « zeroday« , je vous invite à jeter un coup d’œil sur une plateforme qui achète des zero day pour les utiliser ou les revendre à d’autres entités

Interface utilisateur de Zerodium en Blue teaming

Si je clique sur « bounties », vous avez une idée du montant de la prime qui peut monter très rapidement pour une vulnérabilité sur Windows permettant une exécution de code à distance sans aucune interaction de l’utilisateur, allant jusqu’à un million de dollars.

Programmes de bounties sur Zerodium en Blue teaming

Il existe aussi d’autres forums sur lesquels vous pouvez effectuer votre veille sur les vulnérabilités, les exploitations et même les zero day, notamment la plateforme Exploite.in.

Interface utilisateur de Exploit.in en Blue teaming

En ce moment, vous pouvez également vous baser sur XSS.is ou encore d’autres plateformes similaires. Vous pouvez suivre les comptes les plus connus et les plus intéressants des chercheurs qui contribuent beaucoup à la communauté. Vous pouvez les retrouver sur les réseaux sociaux ou bien sur les ressources telles que les meilleurs liens à suivre.

Interface utilisateur de XSS.is en Blue teaming

L’organisme du NIST nous permet de réaliser un petit calcul rapide du score CVSS selon les versions. Vous pouvez trouver plus de détails sur le site du NIST. En fait, il fournit une petite calculatrice très intéressante. Comme nous l’avons mentionné précédemment, le score est basé sur des métriques temporelles, ainsi qu’une méthode environnementale.

Interface utilisateur du site NIST

Une fois que vous avez rempli toutes les informations spécifiques à chaque paramètre, notamment les vecteurs d’attaque tels que le réseau, la complexité de l’exploitation de la vulnérabilité, les privilèges requis, l’interaction de l’utilisateur (s’il y en a besoin ou pas), le champ d’application, l’impact sur la confidentialité, l’intégrité et la disponibilité, sans oublier les métriques temporelles. Cela inclut la maturité de l’exploit, c’est-à-dire s’il existe déjà des exploits ou simplement des preuves de concept, ainsi que le niveau de remédiation.

Interface utilisateur du site NIST

La méthode environnementale prend en compte des facteurs supplémentaires pour évaluer l’exploitation de la vulnérabilité. Ici, l’utilisateur peut renseigner des paramètres tels que la complexité de l’attaque, les privilèges requis, l’interaction de l’utilisateur, le champ d’application, le vecteur d’attaque, l’impact et les modificateurs du score.

La méthode environnementale pour la sécurité en Blue teaming

Une fois que tous ces paramètres sont remplis, le score CVSS est calculé et affiché.

Résultat du score CVSS d'une vulnérabilité en Blue teaming

Il est également possible d’examiner l’équation utilisée pour ce calcul, offrant ainsi une transparence et une compréhension approfondie du processus d’évaluation de la gravité des vulnérabilités

Equation CVSS pour calculer le score de vulnérabilité en Blue teaming
  • Les standardes CWE et CWSS
    • Weakness Enumeration (CWE-XXXX)

Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application

    • Common Weakness Scoring system

Fournit un mécanisme permettant de hiérarchiser les faiblesses logicielles de manière cohérente, flexible et ouverte

 

Mécanisme CWSS pour évaluer les vulnérabilités en Blue teaming

Nous pouvons trouver sur le site CWE, qui est maintenu par le NIST, une liste exhaustive des vulnérabilités et des erreurs fréquemment rencontrées par les développeurs lors de la conception et du développement de logiciels. Cette ressource offre une clarté tant au niveau conceptuel que physique, en fournissant une description détaillée des différents types d’erreurs et leur relation avec d’autres problèmes et vulnérabilités dans le code.

Interface utilisateur du site CWE en Blue teaming
Interface utilisateur du site CWE en Blue teaming

En consultant le CWE, nous avons accès aux Top 25 des vulnérabilités ou des faiblesses les plus courantes dans le développement de logiciels. Ces catégories d’erreurs incluent une variété de types d’erreurs que les développeurs peuvent rencontrer lors de la création de leur code.

Liste des 25 principales vulnérabilités CWE en Blue teaming

La plateforme fournit également des descriptions détaillées des termes, des alternatives, et des relations avec d’autres problèmes et vulnérabilités au niveau du code, offrant ainsi une ressource précieuse pour améliorer la sécurité des applications logicielles

Exemple de description d'une CWE en Blue teaming

Responsible Disclosure

Processus du cycle de Responsible Disclosure en Blue teaming

Full disclosure

Processus du cycle de Full Disclosure

Prêt à devenir un expert en sécurité Blue Teaming ?  Ne manquez pas notre formation vidéo exclusive ! 🔒 Transformez votre carrière en cyberdéfense maintenant ! 🚀Formation Blue Teaming

Maîtriser l'Analyse des Leaks pour une Stratégie Blue teaming Efficace

Les leaks représentent des fuites de données accessible sur internet en public ou en vente libre

Exploitation des données dans un contexte de social engineering, reconnaissance, password reuse ou encore password spraying

Cela peut aussi concernerdes données personnelles et secrets industrielles

Un des points des plus importants pour une blue team est de faire une veille continue sur les leaks des organismes

Référence  : Les source de la Data est passwords

Data (Forums: Exploit.IN, Raidforums.com (RIP), XSS.IS, Groupes Telegrams, plateformes darknet…)

Passwords (HaveIBeenPwned , Dehached…)

Différentes sources de données pour la sécurité

La première plateforme que je vous conseille de toujours vérifier est « Have I Been Pwned« . Elle vous permet de savoir si votre compte ou celui de votre organisation a été compromis, y compris votre numéro de téléphone. Il vous suffit d’entrer votre adresse e-mail professionnelle ou le nom de votre organisation pour obtenir des informations sur toute violation de données connue.

Différentes sources de données pour la stratégie Blue teaming

Il est essentiel de comprendre que le type de données compromises dépend de la brèche. Par exemple, les brèches telles que celles de 000webhost, Adobe ou Dropbox peuvent contenir des informations sensibles telles que des adresses e-mail. Il est important de prendre en compte la date de la brèche et d’agir en conséquence.

Il est recommandé de changer rapidement vos mots de passe et d’opter pour des mots de passe robustes, en suivant si possible les politiques de changement de mot de passe établies. Cela offre une certaine protection contre les brèches de données. Si aucune politique de changement de mot de passe n’est en place, il est conseillé de le faire dès que possible.

De plus, il est toujours préférable d’utiliser des mots de passe uniques pour chaque compte. Les plateformes de gestion de mots de passe peuvent être utiles pour organiser et sécuriser vos informations d’identification.

Interface utilisateur de Have I Been Pwned pour la stratégie Blue teaming

Au niveau des fuites de données, une plateforme très importante est « Dehashed ». Comme expliqué précédemment, plusieurs fuites de données peuvent survenir et nos comptes professionnels ou personnels peuvent être concernés.

Il est essentiel de continuellement vérifier ces fuites. Il est également important de savoir que les mots de passe sont généralement fuités sous forme de hachage, ce qui signifie qu’ils ne sont pas lisibles en clair. Cependant, certaines plateformes se spécialisent dans le déhachage et peuvent fournir les mots de passe en clair, provenant de domaines d’organismes ou d’adresses e-mail, etc.

Interface des Breaches de Have I Been Pwned pour la stratégie Blue Teaming

Par exemple, en allant sur la plateforme Dehashed et en saisissant le nom de l’organisme, comme « Alphorm« , vous pouvez effectuer votre recherche. Vous serez alors invité à vous authentifier sur cette plateforme, car il s’agit d’un service payant et non gratuit.

Une fois authentifié, nous pouvons commencer à effectuer nos recherches. Je peux effectuer une recherche relative à une adresse e-mail, un utilisateur, une adresse IP, un nom, une adresse, un domaine, etc. Par exemple, je peux choisir de rechercher le domaine « microsoft.com ».

Interface utilisateur de Dehashed pour la stratégie Blue teaming

Nous pouvons également remarquer le nombre total de comptes retournés, le temps nécessaire pour effectuer la recherche, et le nombre de ressources disponibles pour notre recherche. À ce stade, nous récupérons des résultats avec des comptes compromis. En cliquant sur un compte, nous pouvons trouver, selon la fuite de données, les informations divulguées telles que le nom, l’adresse e-mail et le numéro de téléphone.

Réaliser une recherche sur Dehashed

Dans Data Wells, vous avez toutes les bases de données qui ont été utilisées pour regrouper ces différentes informations. Vous y trouverez également une petite description, la date de publication, le nom de la base de données et le type de données qui a été compromis.

Résultats obtenus après une recherche sur Dehashed pour stratégie Blue teaming

À ce stade, il est également important de savoir que si vous êtes le propriétaire d’une adresse e-mail spécifique, par exemple, et que vous découvrez qu’elle fait partie d’une fuite de données, vous pouvez vous rendre sur Data Wells et cliquer sur « request entry removal« . Cela entraînera le retrait de toutes les données liées à cette entrée spécifique, ce qui signifie que ces données ne seront plus disponibles.

Visualisation des Data Wells sur Dehashed pour stratégie Blue teaming

Appréhender la Notion de Groupes APT dans la Stratégie Blue teaming

Définition d’un Groupe APT dans la Stratégie Blueteaming

  • APT: Advanced Persistent Threat

Les groupes de menaces sophistiqués représentent des entités hautement qualifiées, équipées d’outils sophistiqués et poursuivant des objectifs précis. Dans le cadre d’une stratégie Blue Teaming, il est essentiel de comprendre que leurs intentions ne sont pas toujours de causer des dégâts immédiats. Leur objectif principal est souvent de persister furtivement au sein des systèmes et de procéder à des exfiltrations de données, avec un soutien fréquent de gouvernements. Une vigilance particulière doit être accordée aux faux indices (attribution), qui peuvent détourner les investigations et compromettre l’efficacité de la stratégie de défense Blue Teaming.

Schéma

Généralement, un groupe APT (Advanced Persistent Threat) suit un mode opératoire bien défini lors d’une attaque. En parlant de l’attaque de manière générale, nous pouvons schématiser le processus comme suit :

Méthodes pour supprimer une fuite de données

Le groupe commence par collecter des informations sur l’organisation et ses ressources, en effectuant des analyses OSINT (Open Source Intelligence) et des reconnaissances pour préparer une attaque de type phishing. La plupart du temps, l’attaque est exploitée à ce stade, bien que des exploitations directes puissent également être utilisées.

Cependant, dans la plupart des cas, l’attaque prend la forme d’une distribution via des e-mails de phishing, et peut être plus précise avec du spear phishing. Dans le phishing, une fois que les utilisateurs sont piégés, l’attaquant incite à l’installation d’un port dérobé (backdoor) qui permet un accès persistant à la machine affectée. Cela permet à l’attaquant de prendre le contrôle total de la machine et de récupérer et d’exfiltrer les données sensibles, telles que des documents. Ces données sont souvent déposées sur le serveur C&C (Command and Control) pour être exploitées ultérieurement par les attaquants.

Les Serveurs C&C

Ces serveurs distants sont souvent appelés serveurs de commande et de contrôle. Ce sont des serveurs utilisés par les attaquants comme serveurs intermédiaires pour distribuer des ordres aux différentes machines affectées, ainsi que pour héberger et camoufler leurs malwares, outils et même les documents ou informations exfiltrées. Haut du formulaire

Schéma illustrant un groupe APT

Plusieurs plateformes fournissent des documentations très intéressantes sur les APT (Advanced Persistent Threats), et notamment la plateforme FireEye, une référence majeure dans le domaine de la cybersécurité. Ils fournissent tout d’abord une petite définition des groupes APT. Ils ne donnent pas de responsabilité présumée, car il est important de noter que ces attributions sont présumées. Une fois les attributions faites, elles ne sont pas toujours à 100 % certaines et peuvent être politiques. Ces attributions sont basées sur des mots détectés, etc.

De plus, il y a souvent un flou et une ambiguïté dans les rapports présentés. On ne parle pas vraiment des groupes APT liés au temps, par exemple, ou liés à plusieurs puissances européennes ou à une région spécifique.

Schéma illustrant un serveur de Commande et Contrôle

Par exemple, l‘APT39 est associé à un responsable présumé en Iran. Il est généralement très ciblé dans ses attaques. Les présentations générales des groupes incluent les malwares associés, les vecteurs d’attaque et une analyse spécifique.

Généralement, ces groupes d’attaquants sont soutenus par des gouvernements et peuvent être utilisés pour l’espionnage industriel ou politique. Cependant, il est toujours important de noter qu’il y a toujours une cible, que ce soit financièrement, politiquement ou pour le cyberespionnage, etc. Donc, il existe différents groupes APT avec différents responsables.

Interface utilisateur du site FIREEYE

D’ailleurs, au niveau de la documentation fournie, on trouve diverses ressources, liens et références vers différents groupes APT. On peut choisir parmi une variété de groupes et voir les présentations spécifiques de chacun. En explorant ces ressources, on peut accéder à des informations détaillées sur les activités, les attaques et les caractéristiques propres à chaque groupe, permettant ainsi une meilleure compréhension de la menace cybernétique.

Interface utilisateur du site FIREEYE

Par exemple, en cliquant sur « Twisted Spider« , nous obtenons des informations sur ce groupe, notamment une brève description de ses activités et les différentes cibles qu’il vise. En général, on peut découvrir les pays qui pourraient être ciblés ainsi que les industries et les technologies susceptibles d’être visées par ce groupe. Cela permet de mieux appréhender les motivations et les objectifs des attaquants, ainsi que les secteurs à risque.

Interface utilisateur du site FIREEYE

De plus, il existe un fichier répertoriant tous les groupes disponibles, comme vous pouvez le voir ici. Vous pouvez choisir parmi différents groupes en fonction de vos besoins spécifiques. Il y a également des rapports détaillés que vous pouvez télécharger pour obtenir une analyse approfondie de chaque groupe, fournissant ainsi une vue d’ensemble complète des menaces potentielles et des stratégies d’attaque.

Interface utilisateur de Twisted Spider

Enfin, nous avons également le site du MITRE qui répertorie ces différents groupes APT. Sur ce site, je peux choisir un groupe APT parmi ceux qui sont disponibles. Je trouve toujours une petite description du groupe, un identifiant donné par l’organisme du MITRE associé à ce groupe, ainsi que la date de création et la dernière modification. Cela offre une vue complète des groupes APT répertoriés, permettant une meilleure compréhension de leurs caractéristiques et de leurs activités.

Interface utilisateur de Twisted Spider

Et nous avons également tous les groupes associés avec une petite description. Nous pouvons y trouver les techniques qui seront utilisées par ces groupes, ainsi que les outils et logiciels utilisés. De plus, des références complémentaires sont disponibles, ce qui permet d’approfondir notre compréhension des activités et des méthodes de chaque groupe APT répertorié.

Interface utilisateur du site MITRE

Parlons maintenant de la Cyber Kill Chain, qui se compose de trois phases principales et de neuf étapes au total. Cette dernière commence par une phase de préparation d’attaque, suivie par la phase d’intrusion, et enfin la phase de compromission ou de breach.

Envie d’élargir vos compétences en cybersécurité ?  Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming

La Cyber Kill Chain

Exemple de description d'une APT 29

Phase 1 : Préparation

  • Reconnaissance :
  • L’attaquant collecte des données sur la cible et les tactiques de l’attaque. Cela inclut la collecte d’adresses e-mail et la collecte d’autres informations.
  • Les scanners automatisés sont utilisés par les intrus pour trouver des points de vulnérabilité dans le système. Cela inclut l’analyse des pare-feu, des systèmes de prévention des intrusions, etc. pour obtenir un point d’entrée pour l’attaque
  • Weaponization
  • Les informations obtenues de l’étapes précédentes vont permettre de créer un moyen pour infiltrer le système d’information de la victime.
  • Pour cela, des logiciels malveillants ou malwares sont utilisées.

Phase 2 : d'intrusion

Delivery

  • Dans cette étape, le pirate va livrer (l’arme) qui sera utilisée pour atteindre la cible,
  • Par exemple le pirate peut envoyer un email en se faisant passer par la banque de l’utilisateur, cet email contient un lien qui redirige vers une page d’authentification factice. Le but est de collecter les vrais paramètres de l’authentification afin de les utiliser plus tard.
  • Les autres moyens de livraison peuvent être l’utilisation d’une clé USB, compromettre un site web ou l’interaction des réseaux sociaux.

Exploitation :

  • L’objectif ici est d’exploiter une vulnérabilité afin d’accéder au système d’information de la victime.
  • Pour cela plusieurs moyens peuvent être utilisés (faille 0 day, les vulnérabilités, l’ouverture d’une pièce jointe ou le fait de cliquer sur un lien malveillant).
  • Installation :
  • Un Cheval de Troie de porte dérobée ou d’accès à distance est installé par le logiciel malveillant qui permet à l’intrus d’accéder.
  • C’est également une autre étape importante où l’attaque peut être stoppée à l’aide de systèmes tels que HIPS (Host-based Intrusion Prevention System)

Phase 3 : Breach

Commande & Contrôle :

  • Le logiciel malveillant installé précédemment ouvre un canal de communication vers le pirate informatique. Ce logiciel est à l’entrée, prêt à exécuter les commandes du pirate.
  • Les canaux de communications généralement utilisés sont basés sur des protocoles WEB, DNS ou MAIL.

Action on objectiv :

  • L’attaquant extrait finalement les données du système.
  • L’objectif consiste à collecter, crypter et extraire des informations confidentielles de l’environnement de l’organisation.

Découvrir la Corrélation entre OPSEC et Cyber Kill Chain dans la Stratégie Blue teaming

Cyber Kill Chain et OPSEC dans une Stratégie Blueteaming

Dans le cadre de la stratégie Blue teaming, la sécurité opérationnelle (OPSEC) est cruciale pour protéger les informations sensibles de l’entreprise. Elle implique des processus visant à identifier et à contrer les menaces, en organisant les logiciels et matériels utilisés par les employés.

Comprendre la Cyber Kill Chain est essentiel pour élaborer des mesures proactives et réactives afin de bloquer les attaquants à chaque étape.

La surveillance des utilisateurs et la collaboration entre la « Blue Team » et la « Red Team » sont également des éléments clés de cette approche.

Schéma de la Cyber Kill Chain

Appréhender la Notion de TTPs dans la Stratégie Blue teaming

TTPs : Tactiques, Techniques et Procédures La Tactique

L’objectif d’un attaquant Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques” Sous-techniques Elles décrivent les actions et le comportement de l’adversaire à un niveau inférieur et plus technique Procédures Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous technique.

Schéma de la Cyber Kill Chain et OPSEC

Rappel : Les attaquants changent, les modes opératoires NON …

Maîtriser le Framework MITRE ATT&CK pour une Stratégie Blue teaming

Introduction au MITRE ATT&CK pour la Stratégie Blue teaming

Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus du MITRE ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge Documentation des TTPs courantes utilisées par les menaces persistantes avancées (APT) Le MITRE ATT&CK est un point de départ Threat intelligence voire l’image en grand (Des logs biensure) Ligne défensive efficace Analyse forensique

Apport du MITRE ATT&CK dans la Stratégie Blue teaming

Le framework de MITRE offre une plateforme essentielle pour comprendre et gérer les stratégies des attaquants. En permettant l’analyse et l’évaluation collaborative des techniques, tactiques et procédures (TTP), il permet de mieux cibler les mesures de détection des incidents.

De plus, en facilitant l’émulation d’adversaires et le partage d’informations, il renforce la capacité à modéliser les actions des attaquants et à prendre des décisions éclairées en matière de sécurité informatique. MITRE ATT&CK représente ainsi un outil précieux pour capitaliser sur l’expérience passée et répondre efficacement aux menaces actuelles.

Illustration des Tactiques, Techniques et Procédures

Adversary Emulation dans une Stratégie Blue teaming

Lorsqu’une victime est utilisée pour émuler un adversaire, un plan d’action peut être établi en suivant les actions d’un acteur de menace, comme le groupe APT 3 par exemple. En utilisant le framework de MITRE pour définir les étapes, il suffit ensuite de mettre en œuvre ces actions techniquement, que ce soit de manière automatisée, semi-automatique ou manuelle.

Chaque phase est spécifiée et associée aux techniques d’exploitation correspondantes, permettant ainsi de simuler les actions d’un adversaire potentiel et de tester la résilience du système de défense de l’organisation.

Contributions de MITRE à la sécurité

Processus de MITRE ATT&CK

Effectivement, une fois que la technique de test est choisie et que l’exécution de la simulation est effectuée, on peut analyser les résultats au niveau de nos outils de détection, notamment le SIEM. On peut vérifier si les alertes sont bien déclenchées comme prévu.

Si c’est le cas, c’est parfait, cela signifie que notre système de défense est efficace. Si ce n’est pas le cas, cela nous donne l’opportunité d’améliorer notre système défensif. C’est là tout l’intérêt de l’émulation d’adversaire, qui nous permet d’être extrêmement efficaces en simulant des menaces réelles et en testant la robustesse de notre infrastructure de sécurité.

Illustration de l'emulation des adversaires

Le framework permet également d’effectuer différents benchmarks afin d’évaluer si les solutions de sécurité sont capables de détecter ou non les différents TTP (techniques, tactiques et procédures) les plus utilisés par les acteurs de menace. Par exemple, un rapport fourni pourrait comparer l’efficacité des EDR (Endpoint Detection and Response) à travers des tests de détection des différents TTP. Cela permet d’obtenir une certaine comparaison de l’efficacité des solutions EDR et de comprendre si elles sont capables de détecter les TTP les plus couramment utilisés. Cette fonctionnalité du framework offre une utilisation précieuse pour évaluer et améliorer la posture de sécurité de l’organisation.

Processus MITRE pour améliorer la sécurité

Vous pouvez accéder à des informations plus détaillées en suivant le lien fourni. Sur cette matrice d’attaque (https://attack.mitre.org), vous trouverez les différentes tactiques que les groupes de menace peuvent utiliser. Par exemple, dans la tactique « Accès Initial », vous trouverez des techniques telles que la reconnaissance et le développement de ressources, qui peuvent être utilisées par l’attaquant.

D’autres tactiques incluent l’accès aux ressources sensibles du système d’information, l’exécution de commandes, la persistance, l’élévation de privilèges, la collecte d’informations, la communication avec les serveurs C&C (Command and Control), l’exfiltration de données et l’impact sur l’organisation

Comparaison des quatre premiers modèles de sécurité

Vous pouvez cliquer sur l’une des techniques. À partir de là, vous aurez une petite définition, son ID, les sous-techniques qui existent, qui sont rattachées à elle, les plateformes et d’autres informations de métadonnées.

Interface utilisateur du site MITRE

Vous avez aussi d’autres exemples de procédures qui ont été exploitées, notamment ici par des groupes APT.

Techniques de MITRE pour évaluer les menaces

Un peu plus bas, vous avez un onglet « Mitigation« , c’est-à-dire des contre-mesures appliquées vis-à-vis de ces différents éléments.

Exemple d'une procédure de gestion des menaces

Aussi, vous trouverez d’autres éléments relatifs à la détection ainsi qu’aux vecteurs exploités, sans oublier diverses références pour approfondir vos connaissances.

Méthodes de mitigation des menaces

Vous disposez également de l’outil extrêmement puissant « MITRE Navigator » qui vous permet de traiter, gérer, modifier et analyser cette matrice directement. Cela peut s’avérer extrêmement utile dans l’exercice de la Red team et de la Blue team, mais aussi pour répertorier les différentes attaques que vous aurez détectées au niveau du système d’information.

Méthodes de détection et référence

Si par exemple je crée un nouveau calque, je peux choisir le format à exploiter. On a le mode entreprise, mobile et système ICS. Je choisis par exemple la partie entreprise que nous avons déjà déterminée.

Interface utilisateur du MITRE Navigator

Ici par exemple, nous retrouvons les mêmes approches, exactement la même matrice. Je peux changer le nom de cette couche.

Interface pour créer un nouveau layer

Donc il suffit que j’ajoute dans les données documentaires que je lui donne, puis de les poser ici. Je souhaite analyser une information de manière assez basique sur le groupe APT28. Je peux également ajouter d’autres informations à la description, etc.

Résultat de la création du layer

Et là, j’ai le nom affiché.

Interface pour renommer un layer

Je peux ajouter de nouvelles couches et de nouveaux calculs sur lesquels je vais travailler. Ici, par exemple, je peux nommer APT87, qui est un APT qui n’existe pas bien sûr. En revenant ici, je peux donc trouver différents éléments.

Résultat après avoir renommé un layer

Je peux colorier en utilisant différentes couleurs chaque technique que je veux exploiter et les définir à ce moment-là pour mon attaque. Par exemple, si je réalise un exercice de l’équipe rouge ou encore des exercices Je peux colorier en utilisant différentes couleurs chaque technique que je veux exploiter et les définir à ce moment-là pour mon attaque. Par exemple, si je réalise un exercice de l’équipe rouge ou encore des exercices

Je peux ensuite tout effacer en cliquant sur ‘clear’. Sur la barre de recherche, je peux aussi identifier directement différents éléments très intéressants, notamment les techniques, les tactiques et les procédures.

Interface pour renommer un autre layer

Je repars sur les pages que j’ai vues tout à l’heure pour plus de détails. Sinon, je peux aussi choisir des groupes de menace spécifiques comme des groupes APT en sélectionnant, par exemple, le groupe APT Threat. Je peux cliquer sur ‘Sélectionner’ et ensuite choisir une couleur pour identifier les techniques utilisées par ce groupe APT. Je peux également enrichir mes recherches en cliquant sur les TTP concernés et en leur attribuant une couleur. En outre, je peux rajouter, si je le souhaite, des commentaires ou des liens pour enrichir la base de données des actions par groupe APT ou autre.

Interface pour colorer les techniques et tactiques

Maintenant, pour comparer, je veux simplement ajouter un petit plus et choisir ‘Create Layer from Other Layers’. Je sélectionne ‘Autre Pré-attaque’, puis je fais un A plus B, c’est-à-dire que je combine A avec la couche B. Une fois cela fait, je descends et clique sur ‘Create‘.

Interface pour choisir des groupes de menace spécifiques

Remarquez ici que si le score est de 1, c’est le score relatif au groupe APT28. Si le score est de 3, cela signifie que c’est le score 1 pour APT28 plus le score 2 pour APT87, comme spécifié.

Interface pour créer un layer à partir d'autres layers

Maîtriser le Framework MITRE D3FEND pour la Stratégie Blue teaming

D3FEND La matrice D3FEND de Mitre explique la terminologie des techniques défensives de cybersécurité et leur rapport avec les méthodes offensives D3FEND est un schéma dont l’ambition est d’établir un langage commun pour aider les cyberdéfenseurs à partager leurs stratégies et leurs méthodes

Résultat après avoir créé un layer à partir d'autres layers

Introduction au D3FEND

D3FEND « établit une terminologie des techniques de défense des réseaux informatiques afin d’éclaircir les relations précédemment non spécifiées entre les méthodes défensives et offensives » NSA

Utilisation du framework MITRE D3FEND

Schéma D3FEND dans une Stratégie Blue teaming

Cette carte de l’attaque est extrêmement importante, car elle nous permet d’appliquer de bonnes stratégies en temps voulu et d’avoir une sorte de langage commun entre les utilisateurs pour la partie défensive, et non offensive, comme nous l’avons simplement vu dans le MITRE ATT&CK. Elle fournit vraiment une terminologie précise pour la défense et permet d’établir une correspondance entre le modèle offensif et défensif

Logo de la National Security Agency

Les Composants de D3FEND pour la Stratégie Blue teaming

D3FEND est composé de trois éléments essentiels Un graphe de connaissances qui résume les méthodes défensives Une série d’interfaces utilisateur pour accéder à ces données Une façon de mettre en correspondance ces mesures défensives avec le modèle d’ATT&CK

Schéma illustrant le framework D3FEND

Sur le site officiel, la matrice présente différentes étapes clés, offrant une interface intéressante pour la gestion des menaces. Ces étapes incluent le durcissement du système et du réseau, la détection des menaces, l’isolation à différents niveaux d’exécution et de réseau, ainsi que la réduction des menaces.

Les mesures défensives reposent sur ces étapes, qui sont définies de manière claire, avec des relations entre les interfaces et les techniques du MITRE, couvrant les aspects de durcissement, de détection et de piégeage pour détecter les tentatives malveillantes au niveau du réseau

Liste des composants du framework D3FEND

En cliquant sur la technique défensive, carrément un code du MITRE avec la définition de fonctionnement et de considération, et différentes considérations à prendre en charge ou à reconnaître. Je peux aussi simuler directement les différentes interfaces qui sont à défendre. Comme vous pouvez le voir en choisissant l’interface certificate à sécurité, je peux donc créer et retrouver les différentes infos sur cette interface.

Interface utilisateur du site DEFEND

Maîtriser le Framework DETT&CT pour la Stratégie Blueteaming

Introduction à DETT&CT

Le Framework DeTT&CT, développé en open source par le Centre de Cyberdéfense de Rabobank, vise à relever un défi majeur en cybersécurité. Il se concentre sur les équipes bleues utilisant le modèle MITRE ATT&CK, offrant une solution pour évaluer et comparer la qualité des journaux de données, la visibilité et la détection.

Cela permet aux équipes bleues d’identifier rapidement les lacunes dans la couverture de détection ou de visibilité, les aidant à prioriser l’intégration de nouvelles sources de journaux pour renforcer leur posture de sécurité.

Installation et Démarrage

L’installation de DeTT&CT peut se faire facilement, que ce soit en optant pour une installation locale. Si vous prévoyez de documenter la couverture de détection de votre organisation avec ATT&CK Navigator, il est vivement recommandé d’opter pour une installation locale de DeTT&CT.

Les étapes suivantes ont été effectuées sur une machine virtuelle Ubuntu

  • Pour installer DeTT&CT, exécutez les commandes suivantes :

En entrant en mode sudo avec la commande <sudo –s> entrer votre mot de pass root

Interface utilisateur du site DEFEND

Lancez une mise à jour en tapant <apt update>.

Interface pour installer DeTT&CT

Définir la disposition du clavier en français avec la commande <setxkbmap fr>

Interface pour effectuer une mise à jour

<Apt install git>pour installer le système de contrôle de version git

Interface pour définir la disposition du clavier en français

Tout d’abord, nous allons cloner un dépôt Git situé à l’URL suivante à l’aide de la commande suivante :

Interface pour installer Git

Nous allons lister les fichiers et les répertoires dans le répertoire actuel avant d’afficher le contenu du fichier requirements avec les commandes suivantes Haut du formulaire

  • cd DeTTECT
  • ls
  • cat requirement
Interface pour cloner un dépôt Git

En tapant la commande <pip install -r requirements.txt> pour installer les dépendances d’un projet Python, par défaut, il ne sera pas installé sur votre machine. Cela signifie que vous devez l’installer avec la commande <apt install python3-pip>. Ensuite, vous pouvez réexécuter l’installation à l’aide de la première commande.

Interface pour lister les fichiers et répertoires
Interface pour installer les dépendances d'un projet Python
Exemple d'un problème d'installation

Une fois installé, vous pouvez soit utiliser l’interface de ligne de commande, soit lancer l’éditeur DeTT&CT.

Pour lancer DeTT&CT Editor, tapez la commande suivante :

python3 dettect.py editor

editor: démarrer l’éditeur DeTT&CT localement

Solution pour corriger un problème d'installation

Comme vous pouvez le voir dans la dernière ligne, nous sommes désormais en mesure d’ouvrir l’éditeur DeTTECT via une URL et de commencer à interagir avec lui. Une fois que la page Web est affichée, notre première étape consiste à ajouter des sources de données. Cela nous permet de définir, pour DeTTECT, les journaux que nous capturons, afin de pouvoir évaluer qualitativement la visibilité que nous avons sur nos sources de journalisation.

Interface pour lancer DeTT&CT Editor

Gestion des Sources de Données dans la Stratégie Blue teaming

  • Accédez à DeTT&CT Editor, sélectionnez Data Sources et créez un new file.
Interface utilisateur de DeTT&CT

Dans cette situation, nous souhaitons indiquer à DeTTECT comment les journaux sont collectés pour les points de terminaison Windows. Nous pouvons accomplir cela en sélectionnant l’option « Ajouter une source de données ». Cela nous permet de partager l’approche collective que nous adoptons pour gérer ces données importantes

Interface pour accéder à DeTT&CT Editor

Dans la continuité, nous définissons la source de données comme les journaux d’événements Windows. L’outil offre des options que vous pouvez sélectionner au fur et à mesure de la saisie. Ces choix correspondent aux sources de journalisation dans les matrices MITRE ATT&CK, comme évoqué précédemment.

Processus de collecte des journaux pour les points de terminaison Windows

En poursuivant, nous incorporons la date d’enregistrement et de connexion de la source de données, tout en déterminant sa disponibilité pour l’analyse des données et son état d’activation.

Interface pour définir la source de données

Maintenant, entrons dans la phase où nous explorons le contenu de vos données. Dans la section à venir, je détaille la qualité des données obtenues à partir de ma configuration de journalisation des événements Windows. Par exemple, il est possible que je ne capture que les journaux système Windows, ce qui pourrait réduire ma visibilité globale. Je modifie donc les paramètres en conséquence.

Interface pour incorporer la date d'enregistrement et de connexion

J’applique la même méthodologie à toutes mes sources de données, aboutissant à quelque chose qui ressemble à ce que vous pouvez voir ci-dessous.

Interface pour explorer le contenu des données

Dans un environnement de production, la liste serait beaucoup plus longue, en supposant que vous disposez de plus que quelques sources de journalisation. Il est important de noter que la qualité et la couverture de la journalisation varient en fonction du système ou de l’outil évalué. Vous pouvez obtenir de nombreuses informations détaillées à partir d’un type de périphérique réseau, tandis qu’un autre fournit des informations de journalisation assez limitées. Assurez-vous de refléter cette différence dans les sources de données que vous ajoutez.

Une fois que toutes les sources de données de votre environnement sont ajoutées, cliquez sur « Save YAML file »

Interface pour explorer les données

Conversion de Fichiers pour Blue teaming

Passons maintenant à l’étape suivante qui implique la conversion du fichier YAML en JSON afin qu’il puisse être utilisé dans l’outil ATT&CK Navigator. De retour dans la fenêtre du terminal sur ma VM Ubuntu, je procède à la conversion du fichier YAML en JSON.

Le résultat obtenu et présenté ci-dessous :

En accédant au chemin DeTTECT/, nous pouvons visualiser l’ensemble des sources de données en tapant simplement la petite commande en mode root : <sudo python3 dettect.py generic –ds>.

Interface pour enregistrer un fichier YAML

Maintenant, après avoir généré notre fichier qui se trouve dans le dossier « downloads », nous avons une petite source de données avec des détails. Ce que nous venons d’accomplir est la génération d’un fichier JSON que je viens d’utiliser sur le navigateur.

  • Cd Downloads
  • Ls
  • Cat data_sources_num.json
Interface pour convertir un fichier YAML en JSON

Le résultat obtenu et présenté ci-dessous :

Interface pour convertir un fichier YAML en JSON

superposition des Données DETT&CT sur la Matrice ATT&CK dans Blue teaming

Vient maintenant la partie intéressante : observer comment les sources d’enregistrement de données de votre organisation s’alignent sur le framework ATT&CK. Cela offre un aperçu visuel du niveau de couverture et de visibilité potentiel sur les différentes techniques et tactiques utilisées par les adversaires.

Nous superposerons notre fichier data_sources_example_1. json  (créé dans la section précédente) au-dessus du navigateur MITRE ATT&CK. Tout d’abord, explorons le navigateur MITRE ATT&CK, accessible ici : https://mitre-attack.github.io/attack-navigator/

Je sélectionne Open Existing Layer – – > Upload from Local , puis je navigue jusqu’à l’emplacement où j’ai enregistré mon fichier data_sources_num.json

Résultat d'un fichier JSON généré

Regardez la visualisation que j’obtiens ! Haut du formulaire

Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.

Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.

Interface utilisateur du MITRE ATT&CK Navigator

Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.

Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.

Découvrir la Notion du Biais du Survivant dans Blueteaming

Pendant la Première Guerre mondiale, les États-Unis ont tenté d’améliorer la résistance de leurs avions en analysant les impacts de balles sur les avions de retour du front.

Cependant, cette approche a eu des conséquences imprévues : les avions étaient toujours endommagés et consommaient plus de carburant, rendant les missions plus longues. En ajustant la stratégie pour ajouter un blindage sans affecter négativement les performances, davantage d’avions ont survécu aux attaques.

Visualisation obtenue dans MITRE ATT&CK Navigator

Cet exemple devrait servir de leçon : les équipes de défense (Blue Team) peuvent appliquer cette leçon à leur contexte. Il ne s’agit pas seulement de traiter les données d’intrusion et les TTP de manière générale, comme présenté dans des frameworks connus, c’est très important à ce moment-là, mais il faut aussi analyser et améliorer sa stratégie de collecte et d’analyse des logs pour avoir une vue d’ensemble complète des zones de vulnérabilité qui ne sont pas connues.

Découvrir les IOC (Indicateurs de Compromission) pour la Stratégie Blueteaming

Exemples d’IoCs

Des données peuvent être collectées à partir des systèmes d’exploitation, du réseau, de la mémoire, etc. Cela peut inclure un nom de fichier, un fichier de log, une adresse IP, un domaine, etc.

Les données collectées sont utilisées pour détecter un incident potentiel et mettre en quarantaine les fichiers infectés afin de simplement empêcher une escalade de l’attaque, voire de mettre fin à l’attaque complètement. Il est important de noter que les IOCs sont basés sur une approche réactive utilisée pour suivre les acteurs de menace. Par conséquent, lorsqu’un IOC est trouvé sur une machine, quelle que soit sa nature, il y a de fortes chances que le système ait déjà été compromis

Exemple illustrant le biais du survivant

Cycle de Vie d’un IOC dans une Stratégie Blueteaming

Le cycle de vie d’un IOC est plus ou moins simple. Tout commence par la collecte de données, qui est la clé de tout. Il est très important d’avoir une stratégie de collecte de logs ciblée et stratégique. À partir de là, les données sont analysées. Cette analyse est effectuée par des équipes de la blue team, des équipes des centres de CSIRT, etc. Mais aussi, on peut trouver des équipes de threat hunting qui ne travaillent pas nécessairement dans les SOC, voire même des équipes traditionnelles d’analyse de logs de manière globale. À partir de l’analyse des indicateurs d’un comportement anormal, on remonte pour valider la réalité du compte.

Ensuite, on crée ces différents IOCs, que l’on va ensuite déployer grâce à des SIEM et des outils d’analyse. Nous verrons cela dans la partie sur l’analyse des malwares avec Redline, comme nous pourrons le voir dans la prochaine partie, ces outils nous permettent d’identifier soit de limiter le cas, soit d’arrêter complètement l’attaque sur le périmètre infecté

Exemple d'IOCs pour identifier les menaces

IOCs vs IOAs dans Blueteaming

Les indicateurs de compromission (IOC) sont réactifs, identifiant des éléments tels que les logiciels malveillants ou les adresses IP compromises après une attaque. Les indicateurs d’attaque, quant à eux, adoptent une approche proactive, similaire au threat hunting, en recherchant des signes potentiels d’attaques.

Une analogie simple serait l’arrivée de la police sur une scène de crime après que le crime a eu lieu pour récupérer des IOC réactifs, tandis qu’une approche proactive anticiperait la scène de crime potentielle avant qu’il ne se produise

Exemple d'IOCs pour la détection des menaces

Reference : Le site official de la figure ioa vs ioc

https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/ioa-vs-ioc/

En d’autres termes, l’IOC est un indicateur réactif qui peut être recueilli après une compromission, tandis que l’indicateur d’attaque représente des indicateurs collectés en cours de compromission, c’est-à-dire une analyse en temps réel. L’IOC représente une analyse suite à la compromission.

Différences entre IOCs et IoAs

Reference : Le site official de la figure ioa vs ioc

https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/ioa-vs-ioc/

Appréhender le Cycle de Précipitation des IOCs dans Blueteaming

Le Pipeline de Précipitation dans Blueteaming

Le pipeline est une application concrète de la décroissance de l’importance des indicateurs de compromission dans le domaine de la sécurité informatique. Adapté à chaque organisation en fonction du niveau de confiance des IoC de menace et du contexte spécifique, il permet de gérer efficacement ces indicateurs.

Les organisations peuvent établir un pipeline d’obsolescence pour les indicateurs non pertinents, les soumettant à un processus de réduction de confiance.

Cette démarche peut devenir complexe selon la source du signal et la maturité de l’enrichissement des données. Les indicateurs progressent dans le pipeline, leur criticité étant calculée en fonction de leur observation et de leur mise à jour récente. Il est important de souligner qu’un indicateur conserve toujours une valeur analytique, même s’il peut recevoir une réponse de faible confiance.

Tableau montrant le pipeline de dépréciation

Appréhender la "Pyramid of Pain" dans la Stratégie Blueteaming

Schéma de la Pyramid of Pain

Il faut savoir que dans les réseaux, on trouve différents IoC qui indiquent qu’une attaque est en cours ou qu’une attaque a déjà été perpétrée. En observant cette pyramide, on peut déterminer et avoir différentes idées sur les IoC, ce qui rend plus facile la détection, même pour les plus complexes et difficiles à repérer qui passent entre les mailles du filet généralement. Au niveau des IoC traditionnels, c’est généralement assez facile à détecter, comme par exemple des valeurs de hachage de fichiers, des adresses IP ou des domaines. Jusqu’ici, c’est vraiment très simple.

En revanche, lorsque l’on arrive au niveau supérieur, notamment sur la partie réseau, cela devient un peu plus compliqué, surtout avec des paramètres et des indicateurs assez volatils. En ce qui concerne les outils, c’est également assez compliqué de les détecter, surtout s’ils ont été développés par les acteurs de menace eux-mêmes. Reconnaître ces solutions est extrêmement difficile et nécessite un processus d’analyse et des compétences techniques.

De plus, une simple mise à jour ou une modification des outils d’attaque peut contourner la plupart des solutions de sécurité. Malheureusement, détecter ces outils peut s’avérer très compliqué.

Enfin, il y a les TTP utilisés par l’attaquant. De la même manière qu’on reconnaît l’artiste par son savoir-faire, on reconnaît un groupe d’acteurs de menace par son modus operandi. Une Blue Team compétente est donc capable de détecter une attaque d’un groupe d’acteurs de menace, aussi appelé adversaire. L’intelligence des menaces est d’une importance cruciale dans la connaissance de l’adversaire. Encore une fois, il est primordial d’être très compétent dans la partie Blue Team car c’est la base pyramidale de tout ce que l’on fait.

Conclusion

En conclusion, une stratégie Blue Teaming bien élaborée est indispensable pour toute organisation souhaitant assurer une protection robuste contre les cybermenaces. L’intégration d’outils et de méthodologies comme MITRE ATT&CK et DeTT&CT permet non seulement de détecter et de répondre efficacement aux incidents, mais aussi de prévoir et de neutraliser les menaces potentielles avant qu’elles ne causent des dommages significatifs. En adoptant une approche proactive et en restant constamment à jour avec les dernières techniques de défense, les équipes de sécurité peuvent maintenir un haut niveau de résilience contre les attaques cybernétiques.

ÉTIQUETÉ : Blue teaming
Partager cet article
Par L'Équipe Alphorm Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.
Laisser un commentaire