Le dilemme des défenseurs - Le besoin de temps et d'outils pour développer les compétences et l'expertise

17 octobre 2023
Mark Wojtasiak
Vice-président de la recherche et de la stratégie des produits
Le dilemme des défenseurs - Le besoin de temps et d'outils pour développer les compétences et l'expertise

Sur Vectra AI , nous croyons en l'importance des tests de sécurité - c'est l'un des meilleurs moyens d'améliorer les compétences et l'expertise des défenseurs et de renforcer la confiance dans le fait que les investissements continus en matière de sécurité continuent à fournir un retour sur investissement.

Au cœur de cette entreprise se trouve l'autonomisation des défenseurs en rendant les tests de sécurité plus faciles, plus efficaces et plus accessibles lorsqu'il s'agit d'exposer les risques, de hiérarchiser les mesures d'atténuation et d'accroître la sécurité. C'est pourquoi nous investissons si fortement dans nos propres équipes, non seulement pour développer et partager leur expertise, mais aussi pour développer et contribuer à l'outillage de la communauté élargie des défenseurs.

"Tout le monde effectue des tests de sécurité 24 heures sur 24, mais vous n'en êtes pas toujours informé à l'avance et vous ne recevez pas toujours le rapport.

Ce sentiment ironique dans la communauté de la sécurité souligne généralement qu'il y a toujours quelqu'un qui sonde la surface d'attaque de l'entreprise - la préférence évidente est que ce sont les défenseurs qui, à leur tour, utilisent ces connaissances pour renforcer et atténuer les risques. La triste réalité est que les défenseurs se heurtent à des obstacles pour effectuer des tests de sécurité internes, qu'il s'agisse du temps, des compétences, de l'outillage ou des coûts sous-jacents de l'activité.

C'est un problème qui nécessite une solution communautaire - et nous sommes fiers de faire partie d'une communauté qui continue à investir dans nos défenseurs. À cette fin, nous mettons en lumière trois projets menés par les membres de notre équipe Vectra AI que nous sommes fiers d'offrir à la communauté des défenseurs :  

  • MAAD-AF
  • ./HAVOC
  • Le DeRF

MAAD-AF

Microsoft 365 & AzureAD - Attack Framework (MAAD-AF), est un outil d'attaque cloud open-source développé pour tester la sécurité des environnements Microsoft 365 & Azure AD à travers l'émulation de l'adversaire. MAAD-AF permet aux praticiens de la sécurité de disposer de modules d'attaque faciles à exécuter qui exploitent les outils et services M365/AzureAD pour émuler les TTP des attaquants sur le site cloud. MAAD-AF est conçu pour rendre les tests de sécurité cloud simples, rapides et efficaces. Grâce à l'absence quasi-totale d'installation et à la facilité des modules interactifs, les équipes de sécurité peuvent tester facilement et rapidement leurs contrôles de sécurité et leurs capacités de détection et de réaction.

https://github.com/vectra-ai-research/MAAD-AF/tree/main

./HAVOC

- ./HAVOC est une plateforme et un cadre d'émulation adversaire en tant que code open-source. La plateforme offre des capacités que les membres de l'équipe violette apprécieront, telles qu'une infrastructure conteneurisée, des services de soutien comprenant des répartiteurs de charge avec des certificats signés par une autorité de certification pour dissimuler votre trafic C2, et des fonctionnalités natives de cloud telles que des déclencheurs pour l'exécution de commandes en réponse à une action, et des URL pré-signées pour le téléchargement et l'envoi de fichiers en toute sécurité. Un opérateur de playbook permet l'exécution autonome de playbooks qui exécutent des opérations adverses complètes de la chaîne d'exécution, telles que la reconnaissance, le mouvement latéral et l'exfiltration.

https://havoc.sh

Le DeRF

Le DeRF (Detection Replay Framework) est un cadre "Attacks-as-a-Service" qui permet d'émuler des techniques offensives et de générer des échantillons de détection reproductibles sur le site cloud. Utilisez le DeRF pour simuler le comportement d'un attaquant, exercer des portefeuilles de détection et valider des contrôles restrictifs sur le site cloud.

https://thederf.cloud

Que vous soyez un gestionnaire d'incidents, un chasseur de menaces, un membre de l'équipe rouge, ou quelque part entre les deux, nous apprécions votre partenariat, nous sommes ouverts à vos commentaires et nous sommes éternellement reconnaissants d'être des membres de la grande communauté des défenseurs qui résolvent ce problème ensemble. Après tout, la défense est un sport d'équipe.

Bonne chasse !

Foire aux questions