beebright - stock.adobe.com

Comment Holiseum veut aider à tester ses défenses contre les ransomwares

L’entreprise de services numériques joue la carte de l’exercice simulé pour vérifier si la détection, voire le blocage, de la menace se déroule correctement dans le système d’information de son client, dans le réseau et sur les hôtes.

Holiseum, société de conseil, services et formation créée en 2018 et spécialisée dans la cybersécurité, vient d’annoncer le lancement d’un service dit de « tir à blanc de ransomware ». L’idée ? Mettre à l’épreuve les systèmes de détection et de prévention de l’infrastructure en les confrontant à un vrai-faux rançongiciel.

Dans un échange avec la rédaction, Renaud Lifchitz, directeur scientifique d’Holiseum, décrit ce qui se passe, concrètement : « le déplacement latéral, dans le système d’information, est simulé. Cela permet de voir si les systèmes de détection/prévention d’intrusion (IDS/IPS) voient, voire même bloquent, ce trafic ». Mais il s’agit aussi de tester les outils de protection des postes de travail et des serveurs, des hôtes, donc, du réseau, les EPP et EDR. Là, plusieurs méthodes de chiffrement sont testées contre eux. Parce qu’il y a bien chiffrement de fichiers sur l’environnement cible ! Mais il est délibérément inoffensif.

Surtout, comme lors d’un exercice red team/blue team, « on définit avec le client une cible, un répertoire témoin qui sera donc visé ». Et pas question d’aller au-delà.

On l’aura compris, il n’y a pas l’air de reconnaissance manuelle du système d’information comme on a pu le voir dans de nombreuses attaques de ransomware l’an passé. Pas question non plus d’aller marcher sur les plates-bandes d’un I-Tracing, qui réalise des audits d’Active Directory avec Ping Castle, ou d’un Alsid, spécialiste désormais bien connu du domaine. Pas question donc, non plus, de procéder comme certains assaillants en désactivant les EPP/EDR avant de déployer la charge de chiffrement.

Mais dans la chaîne d’attaque, le premier point clé est bien le déplacement latéral. Et pour cela, Renaud Lifchitz souligne qu’il n’y a pas une infinité de techniques. Et le ver employé dans le cadre d’un audit « tir à blanc de ransomware » emploie en toute logique bon nombre de celles-ci : si l’IDS/IPS de l’entreprise peut le détecter, il y a donc de bonnes chances qu’il détecte aussi un assaillant en phase de déplacement latéral manuel.

Quant à ne pas désactiver l’EPP/EDR, c’est bien simple : « le test ne doit pas atteindre à la disponibilité du système d’information ni l’exposer à une véritable menace », explique Renaud Lifchitz.

Mais quid des systèmes d’EPP/EDR susceptibles de détecter le vrai-faux ransomware d’Holiseum par heuristique, avant de le signaler avec les remontées télémétriques pour que l’éditeur développe ensuite une signature ? « Si cela se produit, nous utiliserons un packer ou un outil de maquillage pour le cacher ». Et cela ne manque pas de fonctionner. Mais Renaud Lifchitz se fait tout à la fois rassurant – pour outil – et inquiétant – pour les organisations – : « il n’y a pas tant d’antivirus que ça qui font de la vraie bonne heuristique, et très peu sur un enchaînement d’actions ».  

Mais alors que se passe-t-il après une vraie-fausse attaque réussie ? La plateforme développée par Holiseum produit une cartographie complète des hôtes compromis dans l’environnement et du cheminement utilisé à cette fin. De quoi permettre de se pencher sur ce qui pourrait être mis en place pour éviter la propagation, potentiellement inaperçue, d’une menace comparable dans son environnement.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)