Évaluation Red Team de la CISA : Révélations Critiques sur la Sécurité des Infrastructures Essentielles

La Cybersecurity and Infrastructure Security Agency (CISA) vient de publier les résultats d'une évaluation Red Team (RTA) menée sur trois mois, simulant des cyberattaques réelles pour évaluer les défenses d'une organisation d'infrastructure critique américaine. L'évaluation, structurée en deux phases distinctes, visait à tester l'infiltration du réseau et la réponse aux incidents, tout en cartographiant les résultats selon le cadre MITRE ATT&CK®. Malgré l'échec initial des tentatives de hameçonnage ciblé, l'équipe Red Team a exploité avec succès un web shell préexistant sur un serveur Linux exposé à Internet, démontrant l'importance critique de la maintenance des correctifs de sécurité.

Les attaquants ont exploité plusieurs vulnérabilités critiques, notamment des configurations incorrectes dans le Network File System (NFS) et des faiblesses dans la délégation des contrôleurs de domaine, leur permettant d'élever leurs privilèges et de se déplacer latéralement dans le réseau. L'utilisation sophistiquée d'outils comme Rubeus pour la capture de tickets Kerberos et la création de "golden tickets" a mis en évidence des lacunes significatives dans la surveillance des anomalies Active Directory. Les défenseurs ont particulièrement été mis en difficulté par l'absence de systèmes de détection d'intrusion dans la DMZ et une segmentation insuffisante entre les domaines Linux et Windows, permettant des mouvements latéraux non détectés.

Bien que l'organisation ait finalement détecté et neutralisé certaines activités malveillantes, notamment le web shell initial, la réponse globale s'est révélée trop lente et incomplète. Les outils de détection et de réponse aux endpoints (EDR) n'ont pas réussi à identifier de nombreuses activités suspectes, et les alertes générées n'ont pas été traitées efficacement par les équipes de défense. La CISA recommande notamment le renforcement des contrôles logiciels, l'amélioration des configurations par défaut, et l'extension des capacités de surveillance des actions privilégiées.

Cette évaluation souligne l'importance cruciale d'une approche proactive de la cybersécurité, combinant une maintenance rigoureuse des systèmes, une surveillance active des anomalies, et une réponse rapide aux incidents. Les enseignements tirés de cette simulation fournissent des informations précieuses pour l'amélioration des postures de sécurité dans l'ensemble du secteur des infrastructures critiques.

Source : GBHackers