Le CISA révèle la nécessité de tests de sécurité offensifs continus

4 décembre 2024

Le CISA révèle la nécessité de tests de sécurité offensifs continus

Attendre pour répondre à une attaque signifie souvent réagir trop tard. Les adversaires modernes utilisent des méthodes de plus en plus sophistiquées pour contourner les défenses traditionnelles, laissant les organisations vulnérables. La récente évaluation de Red Team de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) souligne les défis techniques auxquels les organisations sont confrontées pour sécuriser leur infrastructure. Grâce à des simulations d'attaques avancées, l'équipe de la CISA a réussi à compromettre des systèmes critiques, mettant en évidence les lacunes des stratégies de détection et de réponse.

Dans cet article, nous mettrons en évidence les principaux enseignements des conclusions de la CISA et expliquerons comment les tests de sécurité continus et offensifs peuvent renforcer les défenses de votre organisation contre les menaces du monde réel.

Ce qu'a révélé l'évaluation de l'équipe rouge de la CISA

L'équipe Red Team de la CISA a réussi à compromettre le domaine et les systèmes commerciaux sensibles d'une organisation d'infrastructure critique. Les principaux enseignements tirés de cette expérience sont les suivants

Dépendance excessive à l'égard de la Endpoint Détection et réponse (EDR): La dépendance de l'organisation à l'égard des solutions basées sur l'hôte a laissé d'importantes lacunes au niveau de la couche réseau.
Absence de protections au niveau du réseau: Une segmentation et une surveillance insuffisantes ont permis aux attaquants de se déplacer latéralement et de persister sans être détectés.
Occasions de détection manquées: Des techniques telles que Kerberoasting, les tickets d'or et les mouvements latéraux à l'aide d'informations d'identification volées ont permis de contourner les contrôles existants.

Ces résultats soulignent le besoin urgent de tests de sécurité offensifs continus qui simulent les techniques d'attaque modernes.

*Chronologie des activités de l'équipe rouge de la CISA en matière de cybermenaces*

Arguments en faveur des tests de sécurité offensifs continus

Alors que les outils de sécurité traditionnels sont axés sur la défense, les tests offensifs permettent de valider la capacité de votre organisation à détecter les attaques réelles et à y répondre. Voici pourquoi c'est important :

Simuler des attaques réelles : Les tests imitent les techniques adverses telles que les canaux de commandement et de contrôle (C2), la reconnaissance, les mouvements latéraux et l'exfiltration de données.
Révéler les vulnérabilités cachées : Identifier les mauvaises configurations et les lacunes, par exemple dans la segmentation du réseau ou la gestion des identités, avant que les attaquants ne le fassent.
Améliorer les capacités de détection : Les tests continus permettent d'affiner les outils de détection afin de repérer les techniques qui ont échappé aux défenses traditionnelles dans le passé.

Comment Vectra AI vous aide à garder une longueur d'avance

Vectra AI fournit des solutions avancées adaptées aux vulnérabilités mises en évidence par l'évaluation de la CISA :

Capacités de détection complètes

Grâce à nos mécanismes de détection avancés, Vectra AI identifie les menaces cachées à travers les canaux de commande et de contrôle, les mouvements latéraux et l'exfiltration de données. Par exemple :

Détection des tunnels cachés, tels que les tunnels HTTP, DNS et HTTPS, que les adversaires utilisent pour des communications secrètes.
Surveillance des opérations anormales d'Active Directory, y compris les demandes de réplication indiquant des attaques DCSync.
Des informations sur l'utilisation abusive des privilèges, comme l'activité inhabituelle des comptes sur les hôtes, ce qui permet de détecter rapidement les mouvements latéraux.
Identifie Kerberoasting et alerte sur les demandes de tickets de service Kerberos malveillants qui pourraient conduire à la compromission de comptes privilégiés.

Services de sécurité offensive

Le Vectra AI Offensive Security Hub est un ensemble d'outils, de ressources et d'environnements protégés permettant d'évaluer et de tester la résilience des clients en matière de cybersécurité en tant qu'organisation et en tant qu'individu. Comprenez où vos défenses actuelles sont insuffisantes et identifiez les domaines à améliorer grâce à nos analyses des lacunes offensives :

Analyse des lacunes du réseau : Validez la résilience de vos contrôles réseau contre les méthodes d'attaques réelles, y compris les mouvements latéraux, les montages C2 et l'exfiltration de données.
MAAD-AF et Halberd: Outils d'émulation d'attaques open-source pour cloud et l'analyse des lacunes en matière d'identité, simulant des attaques sur Azure AD, AWS et d'autres plateformes avec une configuration minimale.

Principaux enseignements pour les équipes SOC

À partir des conclusions de la CISA, voici ce que votre équipe peut mettre en œuvre dès aujourd'hui :

Adopter détection et réponse aux incidents (NDR): Compléter l'EDR par une surveillance robuste du réseau afin de détecter les menaces se déplaçant latéralement ou ciblant les couches du réseau.
Validation continue : Testez régulièrement vos défenses contre les techniques MITRE ATT&CK et affinez les règles de détection.
Investissez dans la formation et les ressources: Dotez votre équipe des outils et des connaissances nécessaires pour identifier et traiter les menaces en constante évolution.

Adoptez une approche proactive pour renforcer votre sécurité

Les enjeux sont importants, mais la solution est à portée de main. En adoptant une approche proactive de la cybersécurité, les organisations peuvent passer de défenses réactives à des stratégies résilientes et adaptatives.

Grâce à la plateformeVectra AI , qui exploite des capacités de détection avancées telles que l'identification des tentatives de Kerberoasting , les organisations peuvent découvrir les lacunes de leurs défenses et renforcer leur réponse aux méthodes d'attaque modernes.

En combinant ces détections avec nos services de sécurité offensive, nous permettons aux équipes SOC de tester, valider et améliorer de manière proactive leurs défenses contre les menaces sophistiquées.

Passez à l'étape suivante : Regardez nos démonstrations autoguidées pour voir Vectra AI en action, ou demandez une analyse des lacunes pour découvrir les vulnérabilités et renforcer vos défenses dès maintenant.

Vous voulez en savoir plus ?

Vectra AI est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra AI couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra AI pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous