Comment fonctionne la simulation d'attaque par brèche ?

Les administrateurs de sécurité complètent de plus en plus leurs tests d’intrusion – ou pentest, pour penetration testing – par des outils automatisés de simulation d’intrusion et d’attaque afin de mieux examiner et valider la posture de sécurité et la santé globale de leurs infrastructures de réseau en temps réel. Les outils de BAS – pour Breach and Attack Simulation – fonctionnent en continu ou à des heures programmées pour fournir aux équipes de sécurité une vue en temps réel de la sécurité du réseau. Avec les outils de BAS appropriés, les équipes de sécurité peuvent non seulement mettre l’accent sur les contrôles de sécurité, les évaluer et les valider, mais aussi améliorer le délai moyen de détection et le délai moyen de réaction. Chacun de ces outils de simulation de brèche et d’attaque est flexible, peut s’adapter à la plupart des configurations de sécurité et peut être utilisé dans la plupart des organisations des secteurs privé et public et des secteurs économiques. L’essentiel est de choisir le système qui correspond le mieux aux exigences de sécurité de votre organisation. AttackIQ utilise le framework Mitre ATT&CK pour effectuer des simulations. Sa plateforme de post-exploitation permet de déterminer l’impact des simulations.

Les solutions BAS fournissent des évaluations automatisées qui aident à identifier les faiblesses dans le système défensif du SI d'une organisation. Les outils BAS fonctionnent en exécutant des attaques simulées contre l'infrastructure IT d'une organisation. Ces attaques simulées sont conçues pour imiter les menaces du monde réel et les techniques utilisées par les cybercriminels. Les simulations testent la capacité de l'organisation à détecter, analyser et répondre aux attaques. Après avoir exécuté les simulations, les plateformes BAS génèrent des rapports mettant en évidence les contrôles de sécurité défaillants. Les principales caractéristiques des technologies BAS incluent les tests automatisés, la modélisation des menaces, la couverture de la surface d’attaque et la validation des contrôles de sécurité. Les outils BAS simulent des techniques d'attaque complètes pour préparer les défenses contre les menaces réelles. Les simulations cartographiées sur des frameworks tels que MITRE ATT&CK valident l'état de préparation face aux comportements adverses connus. Les tests BAS fréquents aident à évaluer la posture de sécurité au fil du temps et à garantir que des processus appropriés de réponse aux incidents sont en place. Les correctifs de vulnérabilité peuvent également être mieux hiérarchisés en fonction de l’exploitabilité observée plutôt que de la simple gravité CVSS.

Les simulateurs d'attaques simulent souvent le trafic d'attaque réel, mais les contraintes peuvent différencier le trafic simulé du trafic réel. Selon la simulation, une carte de détection peut ne pas décrire exactement comment la technique simulée a été détectée. Par exemple, le nombre de tentatives de connexion infructueuses associées à une attaque par force brute simulée via le protocole RDP peut être nettement inférieur au nombre de tentatives de connexion infructueuses lors d'une attaque par force brute réelle. UN [Simulation] Force brute RDP la détection apparaît, car cette simulation a été détectée avec une sensibilité accrue. Ces outils permettent aux analystes de créer une campagne contre les menaces qui imite les techniques d'attaque afin d'évaluer la couverture des outils de sécurité. Le système ExtraHop applique des techniques d'apprentissage automatique et une surveillance basée sur des règles aux données filaires afin de détecter les attaques réelles et simulées. Une carte de détection apparaît pour les techniques d'attaques simulées qui ont été générées par un simulateur d'attaque, telles que Mandiant Security Validation. Les cartes de détection décrivent comment le système ExtraHop détecte les techniques et les comportements d'attaque du monde réel. Chaque détection possède un carte de détection qui identifie la cause de la détection, la catégorie de détection, le moment où la détection s'est produite, l'indice de risque et les participants, tels que l'équipement exécutant le simulateur d'attaques.

Les outils de simulation d’attaques et de brèches visent principalement à tester en continu les contrôles de sécurité déployés dans l’infrastructure. Les outils de BAS simulent systématiquement les menaces et les brèches. Ils peuvent simuler un maliciel ou l’exploitation d’une vulnérabilité, comme y recourir réellement – mais par exemple, avec un logiciel malveillant dont les capacités néfastes ont été désactivées, ou encore avec des cibles simulées. Les actions de pré et post-exploitation sont en revanche bien réelles : reconnaissance, déplacement latéral, et tentatives d’exfiltration de données. Les outils de BAS permettent d’éprouver les contrôles préventifs, les systèmes de détection, mais également les processus de supervision et de réponse à incident. Ils aident également à identifier les vecteurs d’attaque. Ainsi, les analystes expliquent que ces outils aident à répondre à des questions telles que : où pourrait commencer aisément une attaque ? L’attaque est-elle bloquée avant d’attendre sa cible ? La bonne alerte a-t-elle été déclenchée ? Un analyste a-t-il réagi à temps ?