Red Team ? au-delà du "buzz word"

Pour ceux qui ne peuvent/veulent consacrer 50 minutes de podcast (NolimitSécu) ni prendre trois minutes pour lire la présentation que nous faisons dans le post : Red Team, Blue Team, nouveaux concepts ou marketing ? je vous conseille de consacrer 10 minutes à la vidéo ci-dessous.

On y découvre une équipe de la compagnie red team security qui conduit plusieurs effractions sur sa cible (une compagnie d'électricité US). 

Cette vidéo souligne les limites (éthique / légale) de cette activité et en définitive nous renseigne plus sur les faiblesses humaines et physiques d'une entreprise que sur ses vulnérabilités logicielles.  

S'il n'est effectivement pas question d'effectuer un audit de vulnérabilité, l'activité présentée dans la vidéo est plus proche d'un audit "physique" qu'autre chose. Pour autant on y voit clairement la différence d'approche entre une "philosophie" pentest et red team.

Le dictionnaire (de la cybersécurité) est vivant !

Un grand merci aux contributeurs du Framapad que nous avions ouvert à l'occasion de la sortie du Dictionnaire de la Cybersécurité et des Réseaux. 

En effet depuis le mois de décembre 2015 ce sont près de 150 termes et entrées supplémentaires qui sont proposés, preuve du dynamisme dans ce domaine. 

N'hésitez donc pas à consulter et proposer de nouvelles entrées (ainsi que votre définition ou votre compréhension du terme si vous le souhaitez). 

Les 3 meilleurs contributeurs recevrons la deuxième édition du Dictionnaire en cadeau (Gil Bates tu commences bien ! :) ).

Merci à tous !

Red Team, Blue Team, nouveaux concepts ou maketing ?

Dans son podcast de référence, l'équipe de NoLimitSécu consacre un épisode à la notion de "Red Team" et de "Blue Team" en cybersécurité.

Dès l'entame, se pose LA question : Quel est la différence entre une prestation d'audit classique et une prestation "Red Team" ? 

Sans surprise, la réponse n'est pas si simple qu'il n'y paraît et dépend de votre interlocuteur. Il semble que les deux notions (audit classique et red team) diffèrent en premier lieu sur les objectifs visés:

"tester l'organisation (dans son ensemble) face à un nombre de scénarios d'attaques réalistes"

il ne s'agit donc pas de fournir un rapport listant l'ensemble des vulnérabilités détectées sur un périmètre fixé. Pour autant, "la tactique" d'une prestation red team ne diffère pas sensiblement d'un audit classique et c'est bien cela qui pose problème. Si certains intervenants du podcast proposent justement de différencier audit et red team par la nature des actions qui seront conduites, se pose rapidement la question des limites juridiques et réglementaires de ce type d'activité. Puis-je usurper un compte personnel d'un employé à son insue ? suis-je autoriser à effectuer des pénétrations physiques sur les sites de l’entreprise, etc... En outre, de nombreuses vulnérabilités existent dans les interactions entre l'entreprise et ses prestataires. Comment dès-lors évaluer le niveau de risque associé ?

Bref un épisode très instructif qui soulève beaucoup de questions un must listen !

Écouter le podcast ICI

Il est en outre intéressant de constater qu'une fois de plus, ce sont des notions empruntées au vocable militaire qui irriguent le marché de la cybersécurité (à l'image de la Threat Intelligence). Il faut d'abord insister sur le fait que ce "process" fait parti des outils utilisés en planification, il s'agit donc de contribuer à l'amélioration de la prise de décision.  Le Red Team s'adresse donc aux décideurs.

Red teaming is the independent application of a range of structured, creative and critical thinking techniques to assist the end user make a better informed decision or produce a more robust product.[Red Teaming Guide]

Dans la terminologie de l'OTAN on parle d'Alternative Analysis. Il n'est donc pas uniquement question de "penser comme un attaquant potentiel", mais il faut revoir et analyser toutes les hypothèses et les étapes du raisonnement qui ont conduit le défenseur à adopter telle ou telle posture, tel ou tel produit et architecture. Pousser à son paroxysme, la démarche red team n'est donc pas simplement la mise en place d'une équipe d'attaquants qui ont "carte blanche" pour ramener des "flags" sur une entreprise cliente (cette phase n'est qu'une étape de la phase "challenge" ci-dessous). 

Dans la floraison des offres, il convient de ne pas succomber à l'effet de mode et de bien exprimer son besoin. Un audit répond à un problème spécifique, la red team à un autre, l'un ne peut se substituer à l'autre !

 

De quoi largement occuper 55 minutes de podcast ! 

Liens utilisé : Red Teaming Guide (UK DoD)