Dans l’un des premiers articles publiés sur Security Insider, “Le Fardeau du pentester”, nous évoquions les difficultés rencontrées lors des tests d’intrusion et autres audits de sécurité pour pouvoir réellement faire “bouger les choses”. Nous évoquions en conclusion le besoin d’une meilleure collaboration entre les équipes de défense et d’attaque. Détaillons aujourd’hui une façon un peu différente d’imaginer le pentest, la purple team.
Une collaboration renforcée entre les auditeurs et les équipes de défense
Le postulat de base d’une approche Purple Team est la nécessité de renforcer l’implication des auditeurs dans les phases post-audit, et leur collaboration avec les équipes client. Il s'agit d’arriver à faire passer la connaissance aux équipes opérationnelles, et pas uniquement le rapport d’audit ou le plan d’action au format Excel.Il ne s’agit évidemment pas pour autant de mettre en oeuvre les recommandations, mais plutôt de s’assurer qu’elles sont comprises, et qu’elles sont efficaces.
Ainsi, suite à la réunion de restitution, il est possible de réaliser des groupes de travail, ou bien des sessions de formation spécifiques à certaines problématiques sécurité. Nous intervenons par exemple directement auprès des équipes de développement lors d’ateliers interactifs, pour expliquer les vulnérabilités, les bonnes pratiques, et démontrer les possibilités d’attaque et les techniques de sécurisation.
L’amélioration des capacités de détection
En plus d’apporter des solutions afin de remédier aux vulnérabilités, il est important d’apporter des éléments sur le volet de la détection et de la réponse à incident. Des constats et recommandations sur l’efficacité de ces mécanismes fait partie des éléments classiques que l’on retrouve dans nos rapports d’audit.La démarche Purple Team va cependant plus loin, puisque des ateliers croisés avec les équipes du CERT-SOLUCOM permettent de faire le point sur les actions qui ont été détectées par les équipes de sécurité opérationnelles, ainsi que celles qui sont “passées sous le radar” du SOC, et constituent ainsi une véritable collaboration entre les équipes Red et Blue.
Ces ateliers sont l’occasion d’échanger sur 3 axes :
- Quelles sont les logs manquants et qui auraient pu améliorer la détection de l’attaque ?
- Quelles règles de corrélations auraient pu permettre de lever un incident à partir des logs existants ?
- Quelles actions d'investigation et de remédiations auraient pu être entreprises au regard des alertes levées ?
Une évaluation récurrente pour initier une boucle vertueuse
Afin de réellement permettre aux équipes de monter en compétence, il est important de réaliser ces exercices de manière régulière. Après un test initial, nous pouvons donc adapter le niveau de technicité de l’audit pour tenter d’être toujours légèrement au-dessus des capacités de détection & de défense du client.Au fil des exercices et du partage de connaissance, on peut alors enfin avoir des métriques intéressantes, notamment sur l’évolution du niveau de sécurité; par exemple : temps de détection d’une attaque, délai de déclenchement du plan de réponse à incident, TTDA ( Time To Domain Admin), etc.
Purple Team pour tous les audits ?
Évidemment, cette démarche Purple Team ne s’applique pas à tout type d’audit : on ne va pas passer 3 fois sur le même site web en espérant y trouver de nouvelles failles. En revanche, ces prestations se déclinent bien sur des périmètres larges, voire le périmètre d’un SI global : chaque itération permet alors de se focaliser sur certaines ressources, et petit à petit de couvrir l’ensemble du SI, tout en améliorant à chaque fois les capacités et compétences des équipes SOC/CERT.