Fidèles lecteurs, plus besoin de vous abreuver de “Design Under Fire”, de “Safely Hack Yourself Before Others Do”, … et autres joyeusetés empruntées au fabuleux monde des tests d’intrusion.

Aujourd’hui nous nous intéressons à ces outils presque futuristes que sont les Breach & Attack Simulators !

OUI il faut pouvoir jouer un coup d’avance sur la menace,

OUI il faut renforcer ses capacités en détection et en réponse aux incidents de sécurité,

OUI il faut maîtriser a minima ses écosystèmes, des flux de données et ses systèmes d’information,

OUI il faut se mettre dans la peau de la, voire des, menaces,

OUI il faut être agile en défense,

OUI il faut gagner en temps, en coût et en efficacité pour une évaluation régulière sinon permanente de son exposition aux risques cyber,

OUI il faut parler sécurité dans un langage compréhensible par les “autres”, ces derniers étant toutes celles et ceux qui n’ont ni l’âme d’un geek, ni la capacité ou la volonté de comprendre un jargon technicien, anxiogène, culpabilisateur…

Oui, mais comment y parvenir ?

Depuis un peu plus d’un an, chez Knock Knock nous partageons notre vision pour un HackerInResidence© et vous faisons état régulièrement de nos avancées, des obstacles rencontrés et surmontés… ou pas 😉 et surtout des enseignements nourris par l’expérience de nos équipes ou des nombreux échanges “terrain” que nous avons avec nos prospects, clients ou partenaires.

Nous avons pris le parti de travailler sur une automatisation des tests d’intrusion et une émulation du comportement d’un attaquant grâce à l’Intelligence Artificielle.

Souvent, des initiés nous ont rétorqué : mais vous faites donc du Breach & Attack Simulation (BAS) ?

Le BAS, tel que défini à l’origine par Gartner, repose sur de la “simulation de menace” c’est à dire une émulation de l’ensemble de chaîne d’attaque (cyberattack kill chain) et des véhicules employés, comme à titre d’exemple : le hameçonnage, mauvais comportement utilisateur, transfert de malware, infection de machines et même des attaques persistantes avancées (APT) sophistiquées. Les Breach & Attack Simulations sont opérées par des Red Teams, et par certains logiciels permettant des simulation automatiques, à la demande ou même 24h/24.

Une attaque persistent avancée, telle que reproduite par des équipes Red Team,
et certains logiciels Breach & Attack Simulators

Autrement dit, j’ai construit une plateforme censée résister à une charge d’une tonne : je teste en posant dessus une demi-tonne, puis une tonne, puis une tonne et demie, etc. jusqu’à ce qu’elle commence à flancher. 

Avec le BAS est nourri de l’expérience de l’organisation, des incidents de cybersécurité vécus, de la sensibilité de l’auteur de ses scenarii, de ses compétences, des apports de la CTI ou renseignement sur la menace, …

Le scénario est écrit à l’avance. 

Notre quête va bien au-delà !

Un scénario écrit à l’avance est … écrit à l’avance, il est déterministe, et donc par nature limité dans la variété des situations évaluées : il ne tient pas compte de la temporalité, de la capacité d’un.e hacker à s’adapter, se cacher, recommencer, ou utiliser d’autres techniques d’intrusion.

Dans la vraie vie, l’attaque dite « persistante avancée” ou APT, a de fortes chances de se produire assez différemment de ce qui aurait pu être recensé ou imaginé.

Comment simuler un mouvement latéral bien précis ou circonstancié ? Comment se mettre véritablement dans la peau d’un attaquant qui convoite des données bien particulières ? Comment écrire à l’avance et précisément les mouvements latéraux que la menace aurait besoin d’opérer ?

Reproduire le comportement d’un.e hacker

Chez Knock Knock, nous ambitionnons donc d’aller bien au-delà des scénarios écrits et courus d’avance. 

Notre HackerInResidence© a vocation à incarner, comme nous l’a dit l’un de nos amis RSSI suite à notre pitch startups au Risk Summit 2021, des centaines voire des milliers de “El Professor” (coucou La Casa De Papel).

Il s’agit de personnifier le plus fidèlement possible la menace, en se nourrissant de Cyber Threat Intelligence et d’expérience, mais également et surtout d’autant de motivations, de compétences, de doutes, de contextes géo-politiques divers, variés et surtout nouveaux, quitte à ce qu’ici ou là, les chemins soient saugrenus, farfelus, … , inattendus. 

Un module BAS, au même titre qu’un scan de vulnérabilités comme OpenVas, ou un outil d’exploitation comme Metasploit, est naturellement intégré à notre HackerInResidence©. Le BAS est donc nécessaire mais loin d’être suffisant.

C’est à ce prix là qu’un véritable coup d’avance pourra être joué face à cette menace sans cesse ingénieuse, professionnelle et létale.

Et vous, comment faites-vous pour garder un temps d’avance sur la menace ? 🤓

Dites le nous en commentaire ou encore en interagissant avec nous sur les réseaux sociaux !