Dans cet article, nous allons parler un peu de BT3 (Blue Team Training Toolkit), un outil d’étude et d’entrainement aux techniques de détection d’activité malveillantes sur le réseau.
Il s’agit d’un outil créé afin d’aider à la formation et à l’entrainement des techniques de défense et de détection, notamment dans le cadre d’une certification CNDA (Certified Network Defense Architect) et édité par la société encripto.no
Le terme “Blue team” est beaucoup utilisé dans les documentations de cet outil. “Blue team” est à mettre en relation avec le “Red Team” qui est un style de test d’intrusion (pentest) qui vise à reproduire les techniques et méthodes des attaques APT (Advanced Persitent Threat). Autrement dit, les attaquants possédant de gros moyens ou des capacités techniques importantes et qui agissent sur plusieurs mois. Blue Team est donc le nom donné au côté défense dans un contexte d’attaque informatique. Il s’agit donc d’une équipe formée par les employés de l’entreprise :
DSI
Administrateurs système
Administrateurs réseau
HelpDesk
SoC (Security operation Center)
RSSI
etc.
Autrement dit, tous les acteurs techniques en capacité de relever les faits et évènements relatifs à une attaque informatique. Et oui, l’HelpDesk en fait définitivement parti, car étant au plus proche des alertes utilisateurs, il est capable de donner des informations aux équipes de sécurité lorsqu’un fait anormal est rapporté par ceux-ci.
La création de cet outil provient de l’observation de la difficulté à créer des contextes d’entrainement réalistes. En effet, les techniques d’entrainement à la sécurité offensive sont assez accessibles, il est courant de trouver des machines virtuelles vulnérables ou de pouvoir participer à des sites de challenges ou des CTF (Capture the Flag) pour pouvoir s’entrainer et s’améliorer. Dans un contexte d’apprentissage des méthodes de défense, il est plus complexe de trouver des scénarios réalistes, notamment afin d’apprendre à manier des outils de détection (IDS/IPS).
Lire la suite sur la source
Amesam Administrateur du site