Dans quel but utiliser des outils de simulation d’attaques et de brèches ?

Valider son infrastructure en continu

Les outils de BAS visent principalement à tester en continu les contrôles de sécurité déployés dans l’infrastructure. Et les deux analystes identifient une bonne raison à cela : «  les grandes entreprises indiquent avoir entre 30 et 70 fournisseurs de sécurité ». Pour des solutions et des équipements « qui sont souvent modifiés pour suivre l’évolution des menaces et des besoins métiers ».

Las, comme ils le relèvent, « les changements fréquents introduisent des erreurs et des défauts, et certaines modifications temporaires peuvent devenir permanentes de manière non-intentionnelle ». Ce n’est pas forcément plus préjudiciable en soi que des processus de gestion du changement trop rigides… Mais encore faut-il s’assurer donc, en continu, de l’efficacité des contrôles de sécurité en place. Car sinon, « les erreurs et les défaillances risquent de ne pas être découvertes avant longtemps, ou pire, d’être découvertes par de réels attaquants durant un réel incident ».

Des cas d’usage variés

C’est notamment en cela que les outils de BAS diffèrent et, éventuellement, s’inscrivent en complément de tests d’intrusion ou d’engagements offensifs, avec red team, par construction périodique. Les rapports des tests conduits avec des outils de BAS peuvent d’ailleurs aider à guider ce type d’exercices.

Mais Augusto Barros et Anton Chuvakin identifient également d’autres cas d’usage, à commencer par l’amélioration des processus d’achat de produits de sécurité, avec l’utilisation d’outils de BAS pour éprouver un démonstrateur, par exemple.

Plus loin, le test de son infrastructure peut également aider à hiérarchiser ses priorités de mise en place de nouveaux contrôles de sécurité. Voire simplement à faire la démonstration de leur présence et de leur efficacité dans le cadre d’impératifs de conformité réglementaire.

Tester contrôles et processus

Les outils de BAS permettent d’éprouver les contrôles préventifs, les systèmes de détection, mais également les processus de supervision et de réponse à incident. Ils aident également à identifier les vecteurs d’attaque. Ainsi, les analystes expliquent que ces outils aident à répondre à des questions telles que : où pourrait commencer aisément une attaque ? L’attaque est-elle bloquée avant d’attendre sa cible ? La bonne alerte a-t-elle été déclenchée ? Un analyste a-t-il réagi à temps ?

Pour cela, les outils de BAS simulent systématiquement les menaces et les brèches. Ils peuvent simuler un maliciel ou l’exploitation d’une vulnérabilité, comme y recourir réellement – mais par exemple, avec un logiciel malveillant dont les capacités néfastes ont été désactivées, ou encore avec des cibles simulées. Les actions de pré et post-exploitation sont en revanche bien réelles : reconnaissance, déplacement latéral, et tentatives d’exfiltration de données. Le tout idéalement en s’appuyant sur le célèbre et très respecté référentiel ATT&CK du Mitre.

Choisir avec rigueur

Dans leur note d’information, Augusto Barros et Anton Chuvakin vont jusqu’à décrire dans le détail un exemple d’architecture de déploiement d’outil de BAS, et de test conduits avec lui.

Les deux analystes recommandent de n’utiliser ces outils que lorsque l’on est prêt à prendre acte des résultats obtenus. Ils suggèrent également de choisir l’outil en fonction de ses besoins de tests les plus critiques et des composants de l’infrastructure visés.

Surtout, pour eux, afin de retirer pleinement la valeur d’un outil de BAS, il convient d’étendre graduellement son application des contrôles préventifs jusqu'aux technologies de détection, avant de s’attaquer aux processus opérationnels.