Getty Images/iStockphoto
Apprendre à détecter les menaces : comment BlackNoise peut aider
Mettre en place des capacités de détection des menaces sur son système d’information, c’est bien. S’assurer qu’elles fonctionnent suivant les attentes, c’est mieux. Sans aller jusqu’à la mise en œuvre d’exercices complets, BlackNoise peut contribuer à se tester.
BlackNoise est né chez Erium. Ce n’est pas un hasard : l’ADN de cette entreprise française, c’est la sécurité opérationnelle. Ses équipes ont aidé des OIV à monter leurs centres opérationnels de sécurité (SOC), à mettre en place des équipes de réponse à incident (CERT), mais ont également géré des incidents et des crises, etc.
Las, certaines entreprises disposant fraîchement d’un SOC peuvent se demander si elles reçoivent bien les alertes qu’elles devraient recevoir. D’autres, ayant recours à des services de sécurité managés (MSSP), peuvent vouloir s’assurer que les capacités de détection attendues sont bien au rendez-vous… Face à cela, rien de tel que de tester.
À cette fin, il est bien sûr envisageable de recourir à des services de test d’intrusion, voire de se lancer dans des exercices dits de red team/blue team. Mais cela n’arrive généralement pas lorsque l’on en est au tout début de son cheminement en sécurité opérationnelle. C’est donc là que peut entrer en scène un outil tel que BlackNoise.
Pratiquement, il s’agit d’un petit système à brancher sur son réseau, ou sur ses réseaux en cas de forte segmentation. Cet équipement relativement simple – au moins en apparence – va alors générer des événements malveillants, séquencés suivant le référentiel ATT&CK du Mitre. Chacun de ces événements devrait, théoriquement, faire l’objet d’une détection. Le niveau de furtivité peut être ajusté en fonction du niveau de maturité de l’organisation demandeuse.
Comme l’expliquent les équipes d’Erium : « s’il s’agit de démontrer à la direction que les capacités de détection sont insuffisantes ; il n’est pas nécessaire d’aller très loin dans la sophistication ». Mais c’est loin d’être le seul d’usage : BlackNoise peut également être utilisé en phase de démonstrateur pour des solutions de type EDR, par exemple. Et pour les entreprises les plus matures, l’outil peut être configuré pour simuler les étapes en amont d’attaques hautement furtives de type APT, y compris personnalisées, afin de ne pas générer de signaux connus du renseignement sur les menaces.
Dans un contexte pareil, non seulement les capacités techniques de détection sont testées, mais également celles des analystes à interpréter les événements générés, à les qualifier correctement, et à remonter effectivement les alertes. C’est donc potentiellement toute la chaîne de réponse qui peut être évaluée, sans aller jusqu’à lancer un véritable exercice. De quoi entraîner ses équipes.