Contact

/ Technologie de stress test et d’entrainement des SOCs et CSIRTs

// Mission : générer des attaques Cyber maîtrisées, pour identifier les angles morts de la sécurité IT & renforcer les capacités de défense

picto arrow down
01

BOÎTIERS

/ A partir d'une flotte de boîtiers autonomes et pilotés à distance, BLACKNOISE® génère des flux malveillants non-destructifs afin de…

  • Mesurer en temps réel votre capacité à détecter des attaques Cyber
  • Évaluer vos process de réponse aux attaques en situation réelle
  • Renforcer l’acuité de vos équipes du SOC et CSIRT
  • Former vos équipes cyber aux techniques de hunting
  • Éprouver l’efficacité de vos dispositifs de sécurité IT
  • Améliorer vos délais de réaction aux attaques
02

TECHNOLOGIE

/ Une technologie unique, permettant de générer en toute sécurité, des attaques cyber plus ou moins agressives.

Les boitiers de simulation BLACKNOISE® génèrent au cœur de vos infrastructures informatiques, des scénarios d'attaques pour challenger les capacités des SOCs et CSIRTs à les détecter et tester vos process de traitement des attaques.

  • +80 événements unitaires inspirés des meilleurs
    référentiels de la SecOp (MITRE, OWASP, CISA,…)
  • Simulation séquencées de scénarios d’attaques connues :
    APT, fuite d’information, cryptolocker, …
  • Déploiement multisite simultané en France comme à l'international
  • Restitution des Indices de Compromissions (IOC)
    au format MISP et STIX
  • Furtivité et agressivité des flux paramétrables
  • 2 modes d'entraînement aux techniques
    d’investigations cyber
03

DÉPLOIEMENT

1. Attack mode

/ Mesurez l'efficacité de la détection et réaction aux attaques cyber

BLACKNOISE ATTACK® génère sur vos infrastructures, des événements de sécurité maîtrisés pour challenger vos capacités à les détecter et tester vos process de traitement des attaques.

2. Training mode 'HUNTING'

/ IDENTIFIEz et LOCALISEz physiquement un équipement MALVEILLANT

Le boitier BLACKNOISE HUNTING® simule un équipement connecté sur le réseau réalisant des actions malveillantes. Dans un temps limité, les équipes de la SecOp doivent le localiser et le neutraliser.

3. Training mode 'BACK DOOR'

/ Enquêtez et ripostez à
une compromission avancée

Les équipes de la SecOp doivent identifier un serveur compromis et communiquant avec BLACKNOISE BACKDOOR® et le mettre sous surveillance afin qualifier la nature de l’attaque et adapter leur stratégie de défense.

04

CAS D'USAGE

/ Durant 3 jours, un boitier BlackNoise ATTACK est connecté sur le réseau et génère des scénarios d’infection virale de type Cryptolocker (plusieurs souches) et des scénarios de fuites d’informations multi-canaux.

 

LES CONCLUSIONS

 

  • Les mesures de sécurité existantes permettent de détecter 20% des événements BLACKNOISE. Les flux de communication externes ne font l’objet d’aucun filtrage
  • Certaines vulnérabilités exploitées par des cryptolockers sont identifiées sur une grande partie des serveurs bureautiques
  • La gestion des droits et la politique de cloisonnement du réseau ne permet pas de limiter l’accès aux informations sensibles

/ Pendant 2 mois, une flotte de boitiers BlackNoise ATTACK est déployée sur plusieurs sous-réseaux de la société et génère des événements plus ou moins furtifs. Les équipes Cyber et de supervision doivent les identifier et déclencher des alertes techniques.

 

LES CONCLUSIONS

 

  • Un grand nombre d’événements est noyé dans un flot de faux positifs et n’a pas été identifié par les analystes
  • Le protocole d’alerte vers le management n’est pas correctement appliqué et ne permet une mobilisation rapide des équipes
  • Les tests mettent en lumière des écarts significatifs dans la coordination des actions entre les différentes équipes Cyber et les autres équipes informatiques

/ Tous les mois, un boitier BLACKNOISE HUNTING® est connecté sur le réseau IT et rejoue à une fréquence définie durant 48h, un événement préalablement sélectionné.
Dans ce laps de temps, l’équipe du SOC doit identifier et localiser physiquement l’équipement dissimulé dans un local du bâtiment.

 

LES CONCLUSIONS

 

  • L’exercice renforce la coopération entre les équipes Cyber et les exploitants du réseau et démontre une amélioration significative des délais de réaction aux attaques
  • Plusieurs lenteurs dans les procédures (qualification, validation, collecte des logs, accès physique aux locaux techniques, etc.) sont identifiées et corrigées
  • Les analystes nouvellement arrivés ont pu tester en conditions réelles les procédures d’investigation et les outils à leur disposition