Maksim Kabakou - Fotolia
SafeBreach veut mettre à l’épreuve les défenses de sécurité
Figurant parmi les finalistes de l’Innovation Sandbox de RSA Conference, cette jeune pousse veut industrialiser le test en continu des mécanismes de protection du système d’information, en simulant les actions de pirates.
C’est en 2014 que Guy Bejerano a fondé SafeBreach avec Itzik Kotler, ancien de la célèbre unité 8200 de l’armée israélienne que certains ont pu rencontrer en France à l’occasion de la conférence Hackito Ergo Sum. Et ils ont su s’entourer. Amit Kelin, le vice-président chargé de la recherche en sécurité de SafeBreach, était avant cela directeur technique de Trusteer, racheté par IBM à l’été 2013. Craig Rosen, vice-président et RSSI de FireEye, compte parmi les conseillers de SafeBreach.
Dans un entretien avec la rédaction, Guy Bejerano explique le concept de base sur lequel s’est construit SafeBreach : « ne pas attendre que vienne l’attaque ». Selon lui, la sécurité informatique fait, pour l’essentiel, tout le contraire : « nous attendons que l’attaquant fasse un premier mouvement », et là le temps devient essentiel pour tenter de maîtriser la brèche et de limiter les dégâts. Et cela lui semble d’autant plus regrettable et paradoxal que « pour la plupart des brèches qui sont survenus à travers le monde, les entreprises disposaient généralement déjà des moyens nécessaires à leur prévention ». Ne manquait en fait que « la compréhension de ce que peut faire un pirate » et le temps de le bloquer en amont.
Les outils de SafeBreach doivent donc permettre de « simuler de réelles méthodes d’attaque au sein de n’importe quel système donné ». Et il ne s’agit pas d’analyse statique de configuration, mais bien de simulation dynamique « parce que c’est cela qui valider les contrôles de sécurité en place, et permettre d’identifier les véritables faiblesses ».
Déployer tout un réseau de simulateurs
Pour ce faire, SafeBreach déploie des simulateurs « sur le réseau, le point de terminaison, un mobile. Cela n’a pas d’importance ; ils vont travailler ensemble comme un seul réseau et jouer à la guerre ensemble ». Par exemple, un simulateur interne peut essayer de communiquer avec un simulateur externe : le premier jouera le rôle d’un poste de travail compromis, et le second, celui d’un serveur de commande et de contrôle. « Vous saurez alors votre IPS et vos autres protections réseau voient ce trafic et l’arrêtent ». Les rôles des simulateurs sont appelés à changer régulièrement, pour tester d’autres scénarios, comme le téléchargement d’un code malveillant après une compromission initiale par une pièce jointe malicieuse, ou encore une tentative de mouvement latéral, voire d’exfiltration de données. Les charges utiles mises en œuvre ne sont toutefois que des artifices et sont donc inoffensifs pour l’environnement.
« De base, notre technologie nous permet d’effectuer tous les mouvements élémentaires d’une attaque, et de les jouer indépendamment des résultats des actions précédentes pour, au final, analyser l’ensemble » car, explique Guy Bejerano, « entre deux points, il y a des options multiples pour avancer. Nous les combinons toutes ensemble ».
Rester informé des méthodes des attaquants
Si le concept peut se montrer séduisant, encore faut-il maîtriser les méthodes utilisées par les pirates. « Tout le contenu est produit par nos laboratoires en Israël. Il y a là des experts en sécurité avec beaucoup d’expérience, venant de l’armée. Ils ont la connaissance des méthodes d’intrusion, et étudient les nouvelles méthodes dès qu’elles émergent […] pour les modéliser sur notre plateforme. Partant de là, elles seront jouées et mises à disposition de nos clients ».
La plateforme de SafeBreach ne relève donc pas de la recherche de vulnérabilités : « ils parcourent une base de données de vulnérabilités et vous disent lesquelles ils ont trouvées au sein de votre infrastructure. C’est important et c’est très bien, mais cela ne permet pas de répondre à la question ‘ok, mais qu’est-ce que peut faire l’attaquant avec ça ?’ ». Et de revendiquer ainsi une complémentarité.
Guy Bejerano insiste aussi sur la différence de son approche d’avec celle des tests d’intrusion – ou pentest : « tout d’abord, ces tests sont ponctuels, et se font généralement de l’extérieur pour fournir des informations sur des connues présentes dans votre environnement. Le cas échéant, vous pourrez traduire cela par la suite en impact métier pour hiérarchiser des actions correctrices. Mais le pentest ne permet pas d’étudier l’ensemble de la chaîne d’attaque ».
Un processus d’amélioration continue
Pour tenir toutes ses promesses, l’utilisation de la plateforme de SafeBreach doit se faire en continu, dans le cadre des processus opérationnels des équipes de sécurité du système d’information. « Généralement, nos clients déploient nos simulateurs sur leur infrastructure et les utilisent en deux phases. La première consiste à identifier les principales faiblesses et à planifier leur correction. Une fois que c’est fait, il s’agit de valider en continu que ces nouveaux contrôles fonctionnent effectivement. Et l’on se déplace ensuite d’une partie du SI à une autre, jusqu’à reboucler. De notre côté, nous fournissons de nouveaux contenus de simulation de manière hebdomadaire ».
La plateforme de SafeBreach peut ainsi d’interfacer avec un SIEM ou une solution de ticketing. Les simulateurs se déploient sous forme d’agents pour les points de terminaison ou d’appliances virtuelles au sein du réseau. Une fois déployés, ils fonctionnent de manière automatisée. La console d’administration peut quant à elle être déployées en local ou utilisée en mode Cloud. La plateforme est proposée à l’abonnement.