C2, Cobalt Strike et Empire
OPSEC et nettoyage C2
Architecture de simulation adversaire, gouvernance, détection, sécurité de l’infrastructure et nettoyage.
OPSEC de mission
L’OPSEC Red Team vise à contrôler l’exercice, pas à contourner illégalement la sécurité. Elle couvre la séparation des environnements, les identités opérateur, les journaux, les secrets et la prévention d’un impact tiers.
Contrôles d’infrastructure
- accès VPN/MFA ;
- firewall source ;
- certificats gérés ;
- système patché ;
- sauvegarde de configuration ;
- logs immuables ;
- clés rotées ;
- aucun secret client dans les scripts.
Nettoyage
- désactiver les listeners ;
- fermer les agents de lab ;
- supprimer artefacts et comptes ;
- révoquer certificats/tokens ;
- fermer DNS et redirecteurs ;
- archiver les logs ;
- détruire les VM selon la politique ;
- confirmer avec le SOC.
Debrief
Transmets les indicateurs de simulation, horaires, hashes et destinations au Blue Team afin qu’il puisse vérifier la couverture.