Les récentes attaques prouvent que les pirates aiguisent sans cesse leurs techniques et compétences. Après tout, leur objectif est de connaître le réseau d’une entreprise mieux qu’elle-même, en exploitant les vulnérabilités, mêmes mineures, pour mener à bien leur mission. Par conséquent, il est impératif d’adopter un état d’esprit similaire à celui des hackers afin de conserver une longueur d’avance sur eux. C’est pourquoi un nombre croissant d’organisations font appel à des Red Team, dont le rôle est de constamment améliorer les pratiques en termes de sécurité.
Le service Red Team de CyberArk permet ainsi aux entreprises de tester de manière sécurisée leur aptitude effective à contrer une cybermenace. Pour cela, il a recours à une variété de tactiques, de techniques et de procédures (TTPs), utilisées lors des « vraies » attaques, afin de lever le voile sur les vulnérabilités, d’évaluer les procédures de sécurité et d’identifier les zones d’améliorations au sein des organisations. Interview pour Solutions Numériques de Shay Nahari, directeur du Service Red Team chez CyberArk, qui explique leur méthode ainsi que les objectifs de ces simulations d’attaques. Le piratage éthique, tout un art !
Pourquoi des entreprises souhaitent-elle des simulations d’attaque ?
Elles nous demandent de tester les capacités de leur équipe à détecter et à répondre à des menaces visant leur infrastructure. En pensant et en agissant comme de vrais hackers, nous leur permettons de faire face aux conditions d’une attaque réelle et d’en tirer des enseignements.
Comment préparez-vous une simulation ?
En amont, nous effectuons un travail de reconnaissance et tentons d’en apprendre le plus possible sur l’entreprise, ses employés ainsi que les mesures de sécurité en place. Pour ce faire, nous déployons des méthodes variées, telles que la collecte d’informations sur des sources publiques, notamment LinkedIn et autres réseaux sociaux. Forts de ces données, nous utilisons généralement des logiciels malveillants personnalisés dans le but de contourner les mesures de sécurité. Ensuite, nous pouvons tirer profit d’une vulnérabilité, d’un serveur externe, ou encore user d’ingénierie sociale pour pénétrer le réseau. Cette dernière technique consiste à tromper un utilisateur afin d’obtenir un bien, un service ou des informations clé.
Est-ce facile de pénétrer un réseau basique ? Que faîtes-vous une fois à l’intérieur ?
Qu’importe le réseau, il existe toujours une porte pour y accéder. C’est pourquoi les entreprises doivent reconsidérer leur attitude vis-à-vis des cyberattaques : il ne s’agit pas de savoir « si » mais « quand » elles seront visées ! Les organisations doivent donc partir du principe qu’une intrusion est déjà en cours et qu’une ressource, ou plusieurs, est actuellement compromise.
En qui concerne notre action, une fois à l’intérieur, nous tentons toujours d’exploiter dans un premier temps le niveau de confiance au sein de l’entreprise. Il se traduit souvent par des identifiants : les mots de passe, le hachage, les clés SSH… Nous abusons de cette confiance en nous faisant passer pour des utilisateurs réels, en imitant leurs comportements habituels, ce qui rend l’intrusion très difficile à détecter.
Que se passe-t-il une fois qu’il y a une brèche dans la sécurité du réseau ?
Une fois que nous avons un pied dans le réseau, nous prenons notre temps pour nous familiariser avec les éléments qui nous entourent. En effet, la plupart des informations dont nous avons besoin pour aller plus loin peuvent être récoltées dans l’environnement ciblé en abusant seulement de la confiance, et sans avoir besoin des droits administrateurs. Par exemple, grâce à des droits d’accès standards, nous pouvons questionner le Active Directory (AD), c’est-à-dire le service centralisé d’identification et d’authentification du réseau, dans le but d’apprendre la topologie du réseau, de cartographier les utilisateurs et les groupes, et de déterminer la répartition des droits d’accès parmi le réseau. Nous pouvons de plus connaître les heures et les lieux de connexions, ainsi que les droits associés. Dès lors, il devient possible de tracer une carte du réseau et de créer un chemin d’attaque.
Pendant ces simulations, nous ne ciblons idéalement que les ressources internes qui peuvent nous permettre de gagner en droits d’accès, ou qui nous conduisent à la donnée sensible désirée, qu’elle soit relative à la finance, ou à la propriété intellectuelle, pour ne citer qu’elles. Dans les environnements Windows, l’AD contient toute sorte d’informations essentielles. Et même si la cible se trouve dans un environnement différent, les utilisateurs et le système d’information se révèlent très utiles pour déterminer la voie d’attaque la plus rapide.
Que faîtes-vous une fois que la stratégie pour pénétrer le réseau est établie ?
Dès que nous avons une voie d’attaque, nous avons besoin de nous déplacer latéralement dans le réseau. Mais avant de pouvoir faire cela, nous avons besoin d’augmenter les privilèges à notre disposition, ou d’abuser de la confiance des utilisateurs. Ensuite, nous pouvons commencer à chercher les identifiants, ils sont en effet partout ! A moins de maintenir une sécurité opérationnelle très stricte, une connexion à distance peut par exemple nous suffire pour contrôler tout l’AD.
Puis, nous essayons de « nous installer », ce qui se traduit par tenter d’abuser d’outils locaux en réutilisant les identifiants trouvés précédemment. Nous répétons cette procédure à chaque nouveau système compromis, gagnant ainsi des accès à d’autres terminaux, jusqu’à obtenir « l’admin domaine », possédant tous les droits de gestion du réseau. Lorsqu’il est acquis, le but est de parvenir à rester caché et d’atteindre les données sensibles visées.
Comment restez-vous justement cachés dans le réseau ?
Nous nous efforçons de laisser le moins et les plus petites traces possibles. Ainsi, WMI ou Powershell sont préférables à distance lors de déplacements latéraux car ils laissent bien moins de preuves tangibles, comparés à PSexec par exemple. Nous utilisons aussi des outils locaux pour éviter les tactiques de défense. Ainsi, Powershell donne accès à tout le langage .Net, et d’autres permettent de compiler des codes dès la source sur Windows sans incorporer de programmes externes aux systèmes. De plus, en évitant de toucher au disque et à la mémoire, la détection et la recherche des activités malveillantes deviennent bien plus difficiles pour l’entreprise.
Comment les entreprises peuvent-elles se protéger alors ?
Le plus important en termes de sécurité pour une organisation est de considérer que la brèche est déjà existante. Autre point essentiel : partir du principe que le réseau interne est tout aussi hostile que l’externe. Quant à la réduction des risques, l’une des techniques majeures est de limiter l’obtention des informations de l’AD par les utilisateurs internes. Bien souvent, il est possible de restreindre l’accès à certaines données. Et moins les attaquants disposent d’informations, plus il devient compliqué pour eux (et pour nous !) de se frayer un chemin.
Il est également important de mettre en place une authentification à deux facteurs, lorsque cela est possible, ainsi que de changer les mots de passe régulièrement et les rendre aléatoires afin que leur déchiffrement soit chronophage pour les hackers. De plus, il faut gérer étroitement les droits d’accès : éviter de donner des droits administrateurs locaux standards, rendre uniques les comptes administrateurs locaux et garder les comptes privilégiés à un nombre minimum. Ainsi, les entreprises optimisent leur sécurité et rendent les mouvements latéraux plus difficiles pour les cybercriminels.
En outre, les organisations doivent comprendre et définir l’activité habituelle sur leur réseau, créant alors un point de comparaison pour le trafic interne. Sans cela, il est en effet impossible de séparer ce qui est douteux de ce qui ne l’est pas. Et enfin, il faut empêcher autant que possible les communications machine-to-machine.
