Halberd : L'outil open-source qui démocratise les tests de sécurité multi-Cloud

2 octobre 2024

Halberd : L'outil open-source qui démocratise les tests de sécurité multi-Cloud

Dans le paysage en constante évolution de la sécurité cloud , rester à l'affût des menaces revient à essayer d'atteindre une cible mouvante les yeux bandés. Les équipes de sécurité sont confrontées à un défi de taille : comment tester la sécurité de manière cohérente et efficace sur plusieurs plates-formes cloud sans se ruiner ni épuiser l'équipe. Alors que l'adoption de cloud s'accélère, le besoin d'outils de test de sécurité accessibles et complets n'a jamais été aussi grand. Halberd, l'outil de test de sécurité open-source, est sur le point d'améliorer la façon dont nous abordons les évaluations de sécurité sur cloud .

Halberd vise à démocratiser les tests de sécurité. Nous pensons que toute personne souhaitant effectuer des tests de sécurité devrait pouvoir le faire sans contraintes de ressources disponibles telles que les compétences, le personnel, le temps ou le budget. En fournissant un outil intuitif et accessible, Halberd permet aux organisations de toutes tailles de prendre le contrôle de leurs tests de sécurité sur cloud .

Pourquoi Halberd ? Parce que la sécurité de Cloud ne doit pas être une science exacte

Regardons les choses en face : tester la sécurité de cloud sur Entra ID, M365, AWS et Azure peut donner l'impression de jongler avec des tronçonneuses tout en faisant du monocycle. Chaque plateforme a ses particularités et l'élaboration d'une évaluation complète de la sécurité nécessite souvent un mélange d'outils et de scripts. Halberd vise à changer cela en offrant une interface unifiée et intuitive pour exécuter des techniques d'attaque sur de multiples surfaces cloud .

Comme j'aime à le dire, "les problèmes complexes n'ont pas besoin de solutions complexes". Cette philosophie est au cœur de la conception de Halberd.

Halberd : votre nouvel acolyte favori pour les tests de sécurité

Halberd est un outil de test de sécurité open-source qui permet aux professionnels de la sécurité d'évaluer de manière proactive leurs défenses cloud . Grâce à son interface web élégante, Halberd rend l'exécution de techniques d'attaque complexes aussi facile que de commander une pizza en ligne (sans les glucides et les regrets).

Il est important de noter que si Halberd est un outil puissant pour les tests de sécurité, il ne remplace pas un exercice complet de l'équipe rouge. Il est plutôt conçu pour combler les lacunes des tests de sécurité réguliers dues à des contraintes de ressources ou à d'autres défis. Halberd permet aux équipes d'effectuer des évaluations de sécurité fréquentes et ciblées, en complément de stratégies de sécurité plus complètes.

Capture d'écran de l'interface de Halberd montrant les TTPs

La sauce secrète de Halberd : Simplicité, rapidité et efficacité

Simplicité : L'interface utilisateur intuitive de Halberd signifie que vous n'aurez pas besoin d'un doctorat en science des fusées pour exécuter des tests de sécurité avancés.
Rapidité : Déployez rapidement et commencez à tester plus vite que vous ne pouvez dire "cloud misconfiguration".
Efficacité : Exécuter des techniques d'attaque réelles pour identifier les failles de sécurité avant que les méchants ne le fassent.

Halberd n'en est qu'à ses débuts, mais il est déjà très performant avec plus de 80 techniques uniques sur Entra ID, M365, AWS et Azure. Et comme un bon vin ou votre fromage préféré, il ne fera que s'améliorer avec le temps (et les contributions de la communauté).

Qu'est-ce qui distingue Halberd ?

Halberd n'est pas là pour remplacer votre boîte à outils existante, mais pour la renforcer. Alors que d'autres outils peuvent exceller dans des domaines spécifiques, Halberd vise à être votre guichet unique pour les tests de sécurité multicloud . Son interface web le rend accessible aussi bien aux pentesters chevronnés qu'à ceux qui font leurs premiers pas dans le monde de la sécurité cloud .

Gestion aisée des accès multiplesCloud

L'une des caractéristiques les plus remarquables est la facilité de gestion des accès qu'offre Halberd. La gestion des accès sur plusieurs plates-formes cloud peut être un cauchemar, mais Halberd simplifie ce processus. Vous pouvez facilement établir, visualiser et gérer l'accès à divers environnements cibles à partir d'un seul outil. Cette gestion centralisée des accès rationalise votre processus de test en offrant une visibilité claire sur vos identités de test.

Capture d'écran de Halberd montrant une gestion simplifiée de l'accès à plusieurs sitescloud

Attaquer les Playbooks avec Automator

La fonction Automator porte les capacités de Halberd à un niveau supérieur. En créant des carnets d'attaque, vous pouvez facilement exécuter des scénarios d'attaque complexes en plusieurs étapes d'un simple clic. Vous devez tester votre processus de réponse aux incidents ? Créez un playbook qui simule une chaîne d'attaque réaliste. La fonction de planification permet d'effectuer des tests répétés, ce qui garantit que vos défenses restent solides au fil du temps et ne rencontrent pas de défaillances silencieuses. De plus, la possibilité de partager et d'importer des playbooks signifie que vous pouvez tirer parti de la sagesse collective de la communauté de la sécurité, en mettant facilement en œuvre des cas de test développés par d'autres experts.

Mais voici le meilleur : vous vous souvenez de l'époque où il était mal vu de copier les devoirs à l'école ? Eh bien, dans le monde de Halberd, nous l'encourageons ! La possibilité de partager et d'importer des playbooks signifie que vous pouvez "copier" les "devoirs de sécurité" d'autres experts. N'hésitez donc pas à utiliser le playbook génial que votre collègue a créé - nous ne le dirons pas. Après tout, pourquoi réinventer la roue quand vous pouvez emprunter celui d'un autre, qui est en parfait état ? N'oubliez pas d'offrir un café au créateur du manuel original !

Sous le capot, Halberd exploite des méthodes puissantes et spécifiques à la plate-forme pour interagir avec les différents environnements cloud :

Microsoft Graph
AWS SDK pour Python (boto3)
Azure CLI et Azure SDK pour Python

Halberd peut ainsi effectuer des tests approfondis et précis sur toutes les plateformes supportées, tout en présentant une interface unifiée à l'utilisateur.

Rapports

Les capacités de reporting d'Halberd sont également particulièrement utiles. L'outil enregistre les techniques exécutées au cours de vos sessions de test et génère un rapport complet, riche en données. Ces rapports fournissent

Un résumé avec des indicateurs clés, y compris le nombre total de techniques exécutées, les taux de réussite et la durée des tests.
Ventilation détaillée des tactiques et des techniques utilisées, avec le nombre d'exécutions et les taux de réussite.
Analyse par source, montrant quelles identités ou quels systèmes ont été utilisés pour effectuer les tests
Les journaux chronologiques de l'exécution de chaque technique, y compris les horodatages, les résultats et les cibles.
Représentations visuelles des données sous forme de tableaux et de graphiques pour une interprétation aisée

Ce niveau de détail transforme les données de test brutes en informations exploitables, aidant les équipes de sécurité à comprendre rapidement les forces et les faiblesses de leur environnement cloud .

Testez tôt, testez souvent : Votre Cloud vous remerciera

N'oubliez pas : cloud security n'est pas une affaire ponctuelle. C'est un processus continu, comme essayer de garder sa boîte de réception à zéro ou de maintenir un démarreur au levain. Des tests réguliers sont essentiels pour garder une longueur d'avance sur les menaces, et Halberd facilite l'intégration des évaluations de sécurité dans votre routine.

Rejoignez la révolution des hallebardes !

Nous lançons un appel à tous les enthousiastes de la sécurité sur cloud , aux chasseurs de bogues et à tous ceux qui ont déjà murmuré "il doit y avoir une meilleure façon de faire" en testant les environnements cloud . Faites tourner Halberd, mettez-le à l'épreuve et faites-nous savoir ce que vous en pensez. Et si vous vous sentez particulièrement inspiré, pourquoi ne pas contribuer au projet ? Ensemble, nous pouvons faire en sorte que les tests de sécurité de cloud soient moins un casse-tête et plus... un casse-tête un peu moins important.

La hallebarde en action : Une plongée technique en profondeur

Mettons les mains à la pâte et voyons la hallebarde en action. Voici un exemple de la simplicité d'exécution d'une technique :

Naviguer vers la page Attaque
Sélectionnez votre environnement cible (par exemple, Entra ID).
Choisir une tactique (par exemple, l'accès initial)
Choisir une technique (par exemple, Établir l'accès via le flux de codes de l'appareil)
Configurer les paramètres techniques requis
Cliquez sur "Exécuter la technique".

Capture d'écran de la console d'attaque dans Halberd

La gamme de techniques d'Halberd permet de réaliser des tests complets dans différents scénarios. Par exemple :

Escalade des privilèges : Essayez d'attribuer un rôle d'annuaire à un utilisateur dans Entra ID ou d'assumer un rôle dans AWS.
Exfiltration de données : Testez vos contrôles DLP en tentant d'exfiltrer des données d'un bac S3 ou de la boîte aux lettres d'un utilisateur.
Persistance : Simulez un attaquant créant un compte backdoor ou invitant un utilisateur externe à votre Entra ID.

La hallebarde en action : Un scénario d'attaque à plusieursCloud

Plongeons dans un scénario plus complexe et réaliste qui démontre la puissance des capacités de test multicloud de Halberd. Imaginez que vous souhaitiez tester les défenses de votre organisation contre une attaque sophistiquée qui s'étend à Entra ID, M365 et Azure. Voici comment vous pourriez utiliser Halberd pour simuler cette chaîne d'attaque :

Commencez par utiliser la technique "EntraDeviceCodeFlowAuth" de Halberd pour simuler l'accès à Entra ID et M365 en utilisant des informations d'identification compromises.
Ensuite, utilisez la technique "EntraEnumerateApps" pour reconnaître les applications dans votre environnement.
Utilisez "GenerateAppCredentials" pour créer de nouvelles informations d'identification pour une application trop permissive que vous avez identifiée.
Avec ces nouveaux identifiants, utilisez "EntraEstablishAccessAsApp" pour obtenir l'accès à l'application.
En utilisant cet accès élevé, simulez la création d'un compte de porte dérobée avec "EntraCreateBackdoorAccount".
Escaladez les privilèges en assignant des droits d'administrateur global à ce nouveau compte en utilisant "EntraAssignDirectoryRole".
Passer à Azure, en utilisant "AzureElevateAccessFromEntraId" pour élever l'accès du compte de la porte dérobée à "User Access Admin".
L'escalade se poursuit dans Azure en accordant des droits au "propriétaire" avec "AzureAssignRole".
Enfin, démontrez l'impact potentiel en exposant publiquement un compte de stockage à l'aide de "AzureExposeStorageAccountPublic".

Ce chemin d'attaque traverse plusieurs services cloud , démontrant comment un attaquant du monde réel pourrait passer d'un accès initial à Entra ID pour finalement compromettre des données sensibles dans Azure. Avec Halberd, vous pouvez exécuter toute cette chaîne de techniques de manière transparente, sans passer d'un outil ou d'une interface à l'autre.

La beauté de Halberd réside dans sa capacité à simuler sans effort des scénarios aussi complexes et multiplateformes. En fournissant une interface unifiée pour les tests sur Entra ID, M365, Azure et AWS, Halberd permet aux équipes de sécurité de :

Émulation réaliste d'attaques sophistiquées en plusieurs étapes couvrant différents services cloud .
Identifier les points faibles potentiels dans les configurations de sécurité multiplateformes.
Tester les procédures de réponse aux incidents dans plusieurs environnements cloud simultanément.
Rationaliser le processus de test, en réduisant le temps et la complexité des évaluations complètes de la sécurité sur le site cloud .

N'oubliez pas que si cet exemple se concentre sur les services Microsoft, les capacités de Halberd s'étendent également à AWS, ce qui permet de réaliser des simulations d'attaques multiples encore plus complexes à l'adressecloud .

En s'appuyant sur Halberd pour effectuer des tests aussi complets, les organisations peuvent obtenir une vision holistique de leur posture de sécurité cloud , en identifiant et en corrigeant les vulnérabilités qui pourraient passer inaperçues si l'on testait chaque plateforme de manière isolée. C'est comme avoir un couteau suisse pour les tests de sécurité sur cloud - polyvalent, efficace et toujours prêt à l'action.

Commencer à tester avec Halberd

Pour des informations plus détaillées sur les capacités de Halberd, les instructions d'installation et les guides d'utilisation, n'hésitez pas à consulter le wiki Halberd.

Pour reprendre les mots d'un sage professionnel de la sécurité (moi, à l'instant) : "Pourquoi passer des heures à bricoler des tests de sécurité alors que vous pourriez siroter un café et regarder Halberd faire le gros du travail ?"

Alors, qu'attendez-vous ? Prenez votre hallebarde et commencez à pirater - dans le respect de l'éthique, bien sûr. Vos nuages vous remercieront, et qui sait ? Vous pourriez même vous amuser un peu en chemin.

Vous voulez en savoir plus ?

Vectra® est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous