cesar

C&ESAR 2017 - J2

g4l4drim

g4l4drim

8 min read

Matinée consacré à l’entrainement des équipes de détection.

Formation des opérateurs – Thalès.

En cyber SSI   l’humain c’est la clef, il faut donc être capable d’entrainer et d’évaluer les acteurs de la sécurité, de mettre en oeuvre les processus de réponse sur incident dans des cas concrets, et apporter la preuve au normatif que le système est sécurisé. Les menaces sont soit rapides et massives, type wannacry, ou bien furtive et au long court (APT). Pour ce faire, Thalès propose une plateforme d’entrainement cyberRange ( qui reprend les concepts d’hynesim, devenu HNS Platform. Sysdream à son équivalent avec Malice, Airbus DS n’est pas en reste). Il s’agit d’un gros bloc de virtualisation avec une IHM, un simulateur de traffic, etc.. Bref, c’est une sandbox géante ou l’on viens simuler son SI pour former les opérateurs, ou mener des pentests sur une plateforme similaire à la production sans risquer de la casser (ça c’est quand ton PRA est en mousse). Exemple avec la formation d’opérateurs de communication de frégate. Un opérateur peut parfois être très précautionneux avec des nouveaux équipements, et du coup le simulateur permet de leur laisser faire des erreurs, et de les confronter à des attaques informatique sans risquer de casser la frégatte.

Retex d’audit red-team

Le RSSI Sodifrance un de ses pentester nous offrent un retour d’expérience sur leur travail. La durée d’une mission red-team est longue, plus longue qu’un pentest classique, avec un périmètre qui s’étend à l’intégralité de l’entreprise. Parfois cela implique de se déplacer physiquement sur les sites, et de définir des profils d’attaquants proposé aux équipes. Le Red-Team nécessite une maturité forte en SSI, et des équipes de supervision et de réponse à incident. La red-team est souvent commandité par le commité de direction, plutôt que par l’équipe sécurité, et personne n’est prévenu. Il faut tenir compte des contraintes légales lorsque certains sites de l’entreprise sont à l’étranger. Pendant l’audit, le SI est vivant, et sa topologie peut bouger, certaines parties rendues indisponible du fait des opérations effectués par les sysadmins, etc…

Pour les actions physique, il faut prévoir des autorisation & dérogations à sortir au cas ou les red-teamer se fassent attraper. Les scénarios d’attaques mis en oeuvre reposent sur des éléments permettant d’atteindre le but fixé. Les phases de ce scénario se reposent sur la killchain. Un concept US d’analyse des attaques afin de mettre en oeuvre des contre-mesures sur chaque étapes de cette killchain. Cartographie du réseau, mise en oeuvre d’une infrastructure sur l’internet pour mener des scans, héberger des faux sites, récupérer des informations sur l’internet (OSINT). Pour le phishing, il faut un nom de domaine « crédible », et un scénario incitatif pour que la victime ouvre un document malveillant, ou se connecter à une interface web familière.

Coté pentest physique, on retrouve les bon vieux kits de crochetages, les zones fumeurs, les parkings des visiteurs, des arrêts de bus pour auditer le wifi, etc… Des clefs usb piégés c’est pas mal non plus. Les attaques doivent se faire à de bons moments pour éviter d’éveiller les soupçons. A noël, des vrais attaques de phishing peuvent avoir lieu en parallèle, ce qui permet de passer inaperçu noyé dans la masse. Une fois l’accès obtenu, on peut se balader dans le SI du client, mais il faut s’assurer d’abord de la persistance de l’accès. Tâches planifiés, modifications de registre, attaques wmi, de nombreuses techniques inspirés du monde du malwares sont employables.

L’exfiltration de données consiste à rapatrier les preuves de la réussite de l’intrusion de façon discrète: pastebin, ping, dns, tout est bon pour faire sortir l’information sans se faire repérer par le SOC. Une fois que l’auditer à assez d’information, il va pouvoir s’attaquer à l’AD, en répétant le classique recyclage de mots de passes.

Une fois l’audit réalisé, il faut faire une restitution à chaud, orienté démonstration d’attaque et non remédiation. La question se pose souvent de restituer ou pas aux équipes de sécurité qui n’apprécierons pas les résultats si l’intrusion à réussi. L’objectif c’est de susciter le débat et de faire évoluer positivement les pratiques. Pour le phishing, il vaut mieux avoir une communication positive, en encourageant les équipes à faire des efforts.

Retour d’expérience sur un exercice de fin d’année à l’ENSIBS

Le thème de l’exercice de fin d’année de la dernière promotion reposait sur un exemple de SI Hospitalier. La priorité d’un hopital, c’est le patient, et un grand nombre d’applications doivent fonctionner 24/24 pour assurer les services dont dépendent les patients: imagerie, analyses, suivis du dossier, gestion de l’emploie du temps des blocs opératoires, etc… Ce qui fait un terrain de jeu idéal pour les étudiants. L’entrainement se fait pendant la dernière année et sur 6 mois.

Le scénario démarre avec une infirmière qui fait une vidéo virale, qui met sous tension l’hopital, en paralelle de la difusion, la red-team va lancer ses attaques. Les activistes font fuiter le dossier d’un VIP, et défigurent le site web de l’hopital. Le VPN entre la prison et l’hopital va tomber et il va falloir le remettre en état sous 4h, sous peine de voir arriver un prisonnier à l’hopital. Meeting avec le directeur de l’hopital pour la blue team sous pression, avec en paralelle de nombreuses attaques en disponibilité, des alarmes incendies incontrôlables, etc… (un scénario catastrophe digne d’un die-hard 4). Le tout pour mettre sous stress les étudiants pendant 5 jours.

Ce scénario à été construit à partir de l’ensemble des faits redoutés de l’hôpital voisin, afin de les mettre en musique techniquement. En sortie d’exercice, les étudiant ont pu jouer de la gestion de crise, pra/pca, restauration de systèmes à partir des backup, utilisation des procédures dégradés etc…

RedTeam vs BlueTeam – du concept au retour d’expérience.

Pourquoi mener un tel exercice?  Du risque imaginé au travers des scénarios au risque évité par les audits et autres pentest, il reste à jouer la matérialisation du risque qui doit être maîtrisé par la Lutte informatique Défensive. Lorsqu’un ensemble de systèmes sont interconnectés, on peut se retrouver confronté à un risque systémique, et à un potentiel effet domino. L’objectif de la RedTeam est de mimer cette menace afin de pouvoir jouer le panel de la réponse à incident. Un tel exercice doit se préparer minutieusement, et la les militaires ont de l’expérience dans le déroulé d’exercices. Périmètre d’exercice, renseignement disponible pour la red-team, règles d’engagement, profil de la menace, font partie des nombreux éléments à prendre en compte. L’exercice s’organise avec une équipe d’animation, une équipe qui simule la vie utilisateur, une équipe d’admin en support qui connait très bien son SI. Du coup un tel exercice peut vite devenir très volumineux avec une centaine d’acteurs.
Pour les rouges, il  est intéressant de ne pas trop les contraindre voir de les laisser s’attaquer aux systèmes employés par la blue-team. En fin d’exercice, il faut rassembler la blue-team avec la red-team pour constituer une purple-team chargée de faire le ménage et de s’assurer que la remise en état du système est complète. Il ne faut pas non plus négliger le coût de préparation au niveau RH, et le coût de la phase d’assainissement ou l’on devra changer les mots de passes perdus ou cassés.

Exemple avec un exercice red-team de vol d’information sur une application web d’un intranet peu connecté. La récupération d’information sur la cible par l’OSINT est un classique, puis mise en oeuvre d’un scénario de phishing avec des thématique qui touchent largement: retraite, cadeaux, CE. Mise en place d’un site « réaliste » et typosquatté pour collecter les informations des victimes, puis diffusion d’un document piégé. Une fois à l’intérieur, il faut localiser l’administrateur du SI pour en compromettre la machine de l’administrateur. Parfois, on à de la chance, et on tombe sur un accès faible sur l’AD. Une fois la machine de l’administrateur sous contrôle, on peut récupérer dans le navigateur les mots de passes, et si ces derniers ne sont pas protégés par un mot de passe maître, la partie est terminée. Reste la partie restitution, ou la encore il faut rester positif dans la communication, et la répétition de ces exercices améliore la réactivité de la blue-team et la résilience des usagers face à des attaques. Car un phishing signalié à temps à vite fait de couper l’herbe sous le pied de la red-team.

Table ronde sur la formation et la conduite d’exercices.

La formation est un prérequis pas toujours nécessaire, car il existe aussi des auto-didacte. Cependant c’est un axe fort d’investissement au sein du ministère des armées. De même les écoles s’appuient fortement sur des intervenants extérieurs. Les profils techniques en sécurité se raréfient sur le marché, et les profils formés ne sont pas forcément que des gens issus du technique lorsqu’on cherche des managers d’équipes. Les connaissances techniques sont périssables dans le temps, et nécessitent un effort de veille et de formation tout au long de la carrière professionnelle. Bien que les dirigeants soient demandeurs d’exercices type Red-Team, comment peut on lever les barrières à la mise en oeuvre de telles démarches ? Souvent ça se fait assez naturellement lorsque le client est à l’initative d’une telle démarche, il est souvent passé par des audits et des pentest sur périmètre restreint avant d’engager ce type d’exercices.  Le fonctionnement entre les équipes n’est pas toujours fluide, et ce type d’exercice permet de dé-risquer les problèmes de communication ou de fonctionnement qui n’apparaissent qu’en cas de crise. Les équipes de sécurité sont souvent surbookés et ne vont pas être à l’initative d’un exercice qui va forcément devoir les déconnecter de leur quotidien et de la production. Il faut donc une volonté des dirigeants pour forcer ces équipes à se « déconnecter » le temps de l’exercice. La question de la labellisation des personnes à l’issue d’un exercice de formation est posée par les dirigeants clients d’exercices. Les exercices mettant en oeuvre une ou plusieurs équipes, et il est difficile d’aller mettre un label sur une équipe potentiellement éphémère. Coté militaire à l’étranger, certains exercices peuvent avoir une valeur qualifiante pour les équipes.
Ces exercices mettent en oeuvre les relations humaines au sein d’une équipe et entre les équipes, et du coup il est bon d’avoir des éléments de management en situation de crise. Ainsi on peut mettre sous stress des processus de reprise d’activité ou de réponse à incident. A la suite de l’exercice, il faut capitaliser, partager les expériences, mettre à jour les process, et identifier les marges de manœuvres disponible pour répondre à la crise. Lors des phases de reconnaissance, un certain nombre de données sont collectés sur les membres de l’entreprise cible, ces données n’ont bien entendu pas vocation à être conservés. La RGPD/GDPR va venir contraindre les prestataires et les entreprises afin que la sécurité des données personnelles soit progressivement intégrée par défaut comme c’est requis.

Read more