Les chercheurs en menaces de Lares rencontrent un large éventail de failles de sécurité et de vulnérabilités lorsqu'ils mènent des exercices Purple Team pour le compte de leurs clients. Au fil du temps, les mêmes erreurs non forcées semblent revenir si souvent que la société Lares avertit les équipes de sécurité qu'elles doivent développer des pratiques normalisées pour se défendre contre elles.L'unité Lares Adversarial Collaboration Unit assiste les clients dans le cadre d'engagements de collaboration défensive et d'évaluations Purple Team, qui combinent des techniques offensives et défensives pour renforcer les protections en matière de sécurité. Les Red Teams imitent les attaquants externes ou internes, tandis que les Blue Teams servent de défenseurs de la sécurité interne. Les Purple Teams aident les deux parties en alignant les tactiques défensives des Blue Teams sur les menaces tentées par les Red Teams.
La firme de sécurité Lares a récemment publié une nouvelle étude mettant en évidence les cinq principales conclusions du Purple Team que les équipes ont rencontrées au cours de l'année écoulée dans le cadre de centaines de missions pour le compte de clients. Les erreurs évitables les plus fréquentes sont l'enregistrement inadéquat ou inutile des événements, le manque de connaissances en matière de sécurité offensive, les relations de codépendance au sein du centre d'opérations de sécurité (SOC), une dépendance malsaine à l'égard des outils et le fait de jeter de l'argent par les fenêtres.
Pour défendre correctement leur organisation, les professionnels de la sécurité doivent connaître les dernières menaces et savoir comment y répondre. En outre, ils doivent éviter de dépendre des outils et se concentrer sur le développement de compétences essentielles qui ne peuvent ou ne doivent pas être externalisées.
Les 5 principales conclusions tirées des recherches Purple Teams de Lares
Enregistrement inadéquat ou inutile des événements : Les événements sont un élément essentiel du dispositif de sécurité de toute organisation. De nombreuses organisations devraient accorder plus d'attention aux événements critiques, ou collectent trop d'événements inutiles qui remplissent l'espace de stockage et masquent des données importantes. Dans leur inattention, elles peuvent négliger des signes importants d'activité malveillante. Les organisations doivent sélectionner avec soin les événements qu'elles collectent pour éviter ces problèmes et s'assurer que tous les points de données collectés répondent à leurs besoins en matière de sécurité. Ce faisant, elles peuvent mettre en place un système de détection et de réponse efficace et améliorer leur position globale en matière de sécurité.
Manque de connaissances en matière de sécurité offensive : La surveillance de l'environnement d'une organisation pour détecter les menaces potentielles exige plus qu'une simple compréhension de base des tactiques, techniques et procédures (TTP) de l'adversaire. Il est important d'identifier quand et comment ces tactiques, techniques et procédures sont utilisées afin de prendre les mesures appropriées pour défendre l'organisation. Par exemple, le contrôle de la sécurité peut nécessiter la surveillance des communications internes afin d'identifier les indicateurs potentiels d'activités malveillantes. En ayant une bonne compréhension de l'environnement de l'organisation et des TTP adverses, les personnes chargées de la surveillance peuvent détecter les menaces et y répondre plus efficacement.
Relations de codépendance dans le SOC : De nombreux centres d'opérations de sécurité (SOC) gérés introduisent de nouveaux problèmes pour les équipes défensives au lieu de les résoudre. Cela se produit souvent parce que les SOC gérés sont confrontés à des délais d'alerte excessifs, qu'ils suppriment les événements critiques et qu'ils ne peuvent pas introduire la télémétrie qui est importante.
Les retards d'alerte surviennent lorsque le SOC géré ne configure pas correctement les outils et les technologies permettant de détecter les incidents de sécurité et d'y répondre. Les événements qui pourraient être utilisés pour contrecarrer les attaques sont retardés ou ne sont jamais vus. En outre, les SOC gérés suppriment souvent les événements critiques en raison de la pression exercée par la direction ou les clients externes. Enfin, les SOC gérés ne parviennent souvent pas à introduire des données télémétriques importantes pour l'incident. En effet, ils sont guidés par des mesures qui ne reflètent pas nécessairement l'impact réel des incidents de sécurité. Par conséquent, de nombreux SOC gérés ne parviennent pas à fournir les informations et les données nécessaires pour comprendre et traiter les causes profondes des menaces de sécurité.
Une dépendance malsaine à l'égard des outils : Un autre problème concerne les défenseurs qui deviennent trop dépendants des solutions de détection et de réponse au niveau des terminaux (EDR) et de détection et de réponse étendues (XDR), s'attendant à ce qu'elles trouvent tous les mauvais acteurs. Cet état d'esprit peut conduire à des faux positifs et à des attributions erronées. L'EDR et l'XDR doivent être considérés comme des éléments d'une solution de sécurité plus large, et non comme le seul point de surveillance. Ce n'est qu'en adoptant une approche plus holistique de la sécurité que les organisations pourront garder une longueur d'avance sur le paysage des menaces.
Jeter l'argent par les fenêtres : Il est également fréquent que les organisations externalisent leurs connaissances en matière de mesures défensives. Bien que cette solution puisse sembler la plus simple, elle fait plus de mal que de bien en empêchant les employés d'acquérir les compétences essentielles dont ils ont besoin pour être efficaces et en coûtant plus d'argent à l'entreprise au fil du temps. Au lieu d'externaliser toutes les connaissances en matière de sécurité, les entreprises devraient investir dans leurs employés et leur permettre d'apprendre et de se développer. Les entreprises devraient également mettre en œuvre des mesures de détection et de protection qui correspondent directement aux méthodes et aux mécanismes de l'adversaire. Cette approche permet aux employés d'acquérir les compétences dont ils ont besoin pour réussir, tout en permettant à l'organisation d'économiser de l'argent à long terme.
Dans l'environnement de cybersécurité actuel, qui évolue rapidement, il ne suffit pas de comprendre les tactiques de l'adversaire. Les équipes de sécurité doivent également rester attentives aux problèmes potentiels qui peuvent découler de leurs propres mesures défensives.
Source : Rapport intitulé "Introducing the Top 5 Purple Team Findings of 2022" publié par Lares
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des conclusions de l'étude Purple Team de Lares ? Trouvez-vous qu'elles sont pertinentes ?Voir aussi
Des failles ont été découvertes dans 82 % des applications du secteur public, les taux de correction sont également parmi les plus bas et les plus lents par rapport aux autres secteurs industriels Les grandes entreprises technologiques et les projets de logiciels libres sont parmi les plus vulnérables aux cyberattaques, d'après une récente étude de AtlasVPN 53 % des organisations ont été victimes de cyberattaques dans le cloud au cours des 12 derniers mois, le phishing étant le plus courant, puisque 73 % des répondants y ont été confrontés, selon Netwrix 82 % des DSI estiment que leur entreprise est vulnérable aux cyberattaques visant les chaînes d'approvisionnement en logiciels, suite au passage au développement en mode cloud natif, selon Venafi