[COMPTE RENDU FIC] La Purple Team : les nouvelles démarches de tests et d’audits de sécurité, Thomas Gayet, Directeur du CERT digital.security

Synopsis du FIC : Red Team, Purple Team, Bug Bounty … Ces nouvelles démarches promettent des approches novatrices pour évaluer ou renforcer la sécurité de vos systèmes d’information. Quelles sont leurs avantages supposés ? Sont-elles adaptées à tous les contextes ? Le directeur du CERT digital.security a partagé sa vision à l’occasion du FIC 2019 à Lille.

***

La Purple Team est le résultat de la collaboration entre la Blue Team et la Red Team. Elle consiste à aligner les objectifs Red Team et Blue Team pour améliorer la défense du SI en créant une coopération vertueuse.

A l’origine, la Blue Team et la Red Team se distingue par leurs missions et leurs objectifs à atteindre.

La Blue Team est :
– Une équipe (SOC, Equipe SSI…) souvent interne, ayant peu pratiqué d’attaques sur un SI
– Se renseigne sur les attaquants
– Analyse des attaques et des malwares
– Assure la surveillance permanente du SI
– Et mène des investigations inforensiques

A l’inverse, la Red Team :
– Se compose principalement de pentesteurs
– L’équipe est souvent externe et contribue peu à la sécurisation d’un SI
– Elle collecte des informations sur la cible, recherche des vulnérabilités
– Elle utilise de l’ingénierie sociale
– Et mène des intrusions physiques et logiques

La Blue Team assure la défense du SI alors que la Red Team attaque et tente de rentre dans le réseau.

Leurs approches et objectifs diffèrent donc :

     La Red Team tente des intrusions ponctuelles. Si l’attaque est réussie, le Red Team gagne sans pour autant améliorer la détection. La RT produit également un rapport trop dense, se focalisant sur les vulnérabilités à corriger. Enfin, elle ne connait pas les mécanismes de détection.
En réponse, la Blue Team fait des blocages ponctuels. Cependant, en gagnant, les TTP’s (techniques, tactiques et procédures) ne sont pas améliorés. Son action se focalise sur les vulnérabilités reportées mais se confronte à une méconnaissance des mécanismes d’attaque.

    La Purple Team conduit des tests d’intrusions de type Red Team dans le but de favoriser l’entrainement de l’équipe Blue Team. Elle a ses propres objectifs et vise à améliorer les capacités de détection de l’équipe Blue Team à travers la création et l’utilisation de nouvelles règles > Sources de logs > Règles de détection et corrélation > Actions à envisager selon les événements (anticipation des scénarii d’attaques). Elle maintient l’équipe Blue Team en situation d’éveil permanent face aux attaquants et cas de détection, elle débloque les attaques Red Team pour continuer d’apprendre sur la détection des étapes ultérieures. La PT permet également à l’équipe RT d’affiner les méthode d’attaques pour s’adapter aux mécanismes de détection mis en œuvre sur le Système d’Information concerné.
In fine, la réussite ou l’échec de l’intrusion est une victoire pour la sécurité et la boucle d’amélioration continue pour la sécurité du SI.
Organisation de la Purple Team :
– Les intervenant RT sont intégrés à l’équipe BT par une proximité physique
– Une rotation des pentesteurs est assurée pour faire varier les approches : TTPs différents
– Réalisation de scénarios dans la durée : intrusion initiale, pivotage…

La PT s’organise aussi autour de scénarii d’attaques. Elle va définir des périmètres et des moyens > Technique, Ingénierie sociale, Intrusions physiques, etc. Elle va mettre en place des objectifs attendus > définition des trophées, Détection d’une attaque spécifique, Test d’un mécanisme de sécurité, etc. Elle mise enfin sur une capitalisation et organisation du transfert de connaissance par un pilote unique.

digital.security propose un modèle de Purple Team :

Elle propose une approche permanente (10jh/mois)
– Intervenants Red Team intégrés à l ’équipe Blue Team (ou à proximité)
– Rotation des intervenants pour faire varier les approches pentests (TTPs différents)
– Réalisation de scénarios dans la durée (intrusion initiale, pivotage, etc.)

Ainsi qu’un expert pilote de la prestation (2jh/mois)
– Périmètres et moyens : Technique, Ingénierie sociale, Intrusions physiques, etc.
– Objectifs attendus : Définition des trophées, Détection d’une attaque spécifique, Test d’un mécanisme de sécurité, etc.
– Livrables : création de tickets concrets pour améliorer la détection (pas de rapports)
– Mise à disposition de rapports méthodologiques par la Red Team pour référence

L’équipe du CERT digital.security se tient à votre disposition pour toute informations complémentaires sur la Purple Team.