Go to content

L’offre Purple Team

Savoir faire CONIX

CONIX

Purple TEAM : Une passerelle d’expertise entre spécialistes de l’intrusion et professionnels de la cyberdéfense. Cette offre est née d’un constat récurrent au cours de nos interactions avec les différents SOC de nos clients : quelle que soit la solution technique utilisée (QRadar, RSA, AlienVault, ArcSight, Splunk, ELK, etc.), les équipes d’analystes n’ont pas le temps de mettre en place de nouvelles règles de détection ni d’affiner celles qui sont déjà en place.

En effet, le traitement des incidents – du déclenchement de l’alerte, à l’analyse et au reporting qui en découlent, en passant par l’élimination des faux positifs – ne laisse que peu de temps aux équipes d’analystes pour mettre en place ces nouvelles règles et affiner celles qui existent déjà.

De plus, les analystes SOC ne sont pas forcément familiers avec les techniques utilisées par les auditeurs pour pénétrer les différents types de systèmes et de périmètres qu’ils surveillent.

L’offre Purple TEAM de CONIX vise donc à valider et à améliorer l’efficacité de la détection et la réactivité d’un SOC au travers d’une prestation d’expertise conjointe entre auditeurs techniques (pentesters) et analystes sécurité (experts SOC).

Une mission Purple TEAM se déroule selon un processus simplifié au maximum, mais extrêmement efficace :

Les auditeurs réalisent une attaque devant les analystes. Si celle-ci ne génère pas d’alerte, les auditeurs et les analystes mettent en place la nouvelle règle de détection puis réitèrent l’opération. Quand une attaque est correctement détectée, l’attaque suivante démarre.

Purple TEAM Process, moults icônes

Le processus d’une mission Purple TEAM

De toute évidence, ces attaques sont le fruit d’une étroite collaboration en amont entre les équipes d’audit et d’analystes CONIX, d’une part, et les équipes d’analystes et d’exploitation du client pour le périmètre concerné, d’autre part. De cette entente nait un cahier de test dans lequel, pour chaque attaque possible identifiée, une technique de détection et une méthode de déclenchement d’alerte sont associées afin que la mission se déroule de la manière la plus fluide possible.

En moyenne, une mission Purple TEAM dure environ une semaine, dont deux jours sur site. En 48h, les équipes parviennent généralement à mettre en œuvre de 5 à 10 nouvelles règles de détection sur le périmètre SIEM de production concerné.