pénétration efficace MODULE 1 introduction Le test de pénétration ou pentest est une évaluation de sécurité typique qui est le processus pour accéder à des actifs d'information spécifiques (par exemple, des systèmes informatiques, une infrastructure réseau ou une application). Le test de pénétration simule l'attaque effectuée en interne ou en externe par les attaquants qui ont l'intention de trouver des faiblesses ou des vulnérabilités de sécurité et de valider les impacts et les risques potentiels si ces vulnérabilités sont exploitées. Les problèmes de sécurité détectés lors du test de pénétration sont présentés au propriétaire du système, au propriétaire des données ou au propriétaire du risque. Un test de pénétration efficace appuiera ces informations avec une évaluation précise des impacts potentiels sur l'organisation et une gamme de garanties techniques et procédurales doit être planifiée et exécutée pour atténuer les risques. De nombreux testeurs d'intrusion sont en fait très bons en technique car ils ont les compétences nécessaires pour effectuer tous les tests, mais ils manquent de méthodologie et d'approche de rédaction de rapports, ce qui crée un très grand écart dans le cycle des tests d'intrusion. Un test de pénétration est inutile sans quelque chose de tangible à donner à un client ou à une direction. La rédaction de rapports est un élément crucial pour tout fournisseur de services (par exemple, service / conseil informatique). Un rapport doit détailler le résultat du test et, si vous faites des recommandations, documenter les recommandations pour sécuriser tout système à haut risque. Le public cible d'un rapport de test d'intrusion variera, le rapport technique sera lu par le service informatique ou tout autre responsable de la sécurité de l'information tandis que le résumé sera certainement lu par la direction générale. La rédaction d'un rapport de test d'intrusion efficace est un art qui doit être appris et pour s'assurer que le rapport fournira les bonnes informations au public ciblé.
Évaluation de la sécurité de haut niveau
Évaluation de la sécurité offerte par les fournisseurs de services de diverses manières. Chaque type de service offre différents niveaux ou degrés d'assurance de sécurité. L'évaluation des vulnérabilités (VA) ou l'analyse des vulnérabilités sont normalement proposées dans le but d'identifier les faiblesses ou les vulnérabilités. Utilise des systèmes automatisés (tels que Nessus, eEye Retina ou QualisysGuard). Moyen peu coûteux de s'assurer qu'aucune vulnérabilité n'existe. N'a pas de stratégie claire pour améliorer la sécurité de l'organisation. L'évaluation de la sécurité du réseau est une combinaison d'identification et de tests manuels automatisés et pratiques des vulnérabilités. Le rapport est créé, donnant des conseils pratiques qui peuvent améliorer la sécurité de l'organisation. Les tests de pénétration impliquent de multiples vecteurs d'attaque (par exemple, test sans fil, ingénierie sociale ou test côté client, ou numérotation de guerre) pour compromettre l'environnement cible. Les tests de pénétration peuvent être effectués avec plusieurs méthodologies acceptées de l'environnement interne et externe avec différentes approches telles que la boîte noire (sans connaissances préalables), la boîte blanche (avec toutes les connaissances) ou la boîte grise (avec quelques connaissances) en fonction de la portée de travail convenu avec le client. L'audit sur site est probablement le type d'évaluation de sécurité le plus courant effectué dans de nombreuses organisations. Il fournit l'image la plus claire de la sécurité du réseau. L'accès local est donné aux testeurs ou aux consultants, ce qui leur permet d'explorer et d'identifier tout ce qui ne va pas, y compris les rootkits, les portes dérobées, les chevaux de Troie, les mots de passe faibles, les autorisations ou politiques faibles, les erreurs de configuration et d'autres problèmes. La méthodologie d'évaluation des meilleures pratiques utilisée par les consultants en sécurité doit impliquer les composants de haut niveau suivants: Reconnaissance du réseau pour identifier les réseaux ou les hôtes Analyse et sondage en masse du réseau pour identifier les hôtes vulnérables potentiels Identification et investigation des vulnérabilités et sondages supplémentaires (manuellement) Exploitation des vulnérabilités et contournement des mécanismes de sécurité
Outils du métier La sélection des outils de test de pénétration appropriés et corrects nous aidera à nous concentrer sur les informations (données) à collecter à partir de l'environnement cible. Ne pas confondre directement avec la variété des outils disponibles sur le marché. Connaître les capacités et les fonctionnalités des outils est la clé d'une évaluation de sécurité réussie. Commencez par évaluer les outils Open Source et commerciaux disponibles sur Internet. Comparez l'Open Source avec les commerciaux en termes de fonctions, fonctionnalités et livrables. Assurez-vous que les outils que vous choisirez peuvent être utilisés tout au long du processus d'évaluation de la sécurité. Ne gaspillez pas votre budget pour acheter des outils commerciaux que vous ne souhaitez pas vraiment utiliser en raison du manque de capacités et de fonctionnalités. Testez les outils avant de les acheter. La catégorisation des outils d'évaluation de la sécurité vous aidera à trouver ce que vous recherchez. Voici les exemples d'outils couramment utilisés pour l'évaluation de la sécurité qui ont été classés en fonction des objectifs d'utilisation:
Identification et investigation des vulnérabilités
Nmap avec NSE (open source) Nessus (commercial) eEye Retina (commercial) QualisysGuard (commercial) OpenVAS (open source) Exploitation des vulnérabilités Framework Metasploit (open source) ExploitPack (open source) Core Impact (commercial) Metasploit Express et Pro (commercial) Immunité CANVAS (commercial) En ce qui concerne les méthodologies de test de pénétration, nous pouvons créer les nôtres ou adopter à partir de plusieurs normes bien connues telles que: NIST SP 800-115, Guide technique des tests et évaluations de la sécurité de l'information OISSG ISSAF, Cadre d'évaluation de la sécurité des systèmes d'information ISECOM OSSTMM, Manuel de méthodologie de test de sécurité Open Source Guide de test OWASP, Open Web Application Security Project Institut SANS, Réalisation d'un test de pénétration sur une organisation PTES, norme d'exécution des tests de pénétration
Business case Pourquoi effectuer un test de pénétration? Quels sont les objectifs du test de pénétration? Quels sont les avantages du test de pénétration par rapport à d'autres types d'évaluations de sécurité? Ce sont probablement les questions les plus fréquemment posées lorsque nous parlons de l'importance du test de pénétration pour des clients ou des organisations potentiels. Les réponses aux questions ci-dessus sont expliquées comme suit: D'un point de vue commercial, les tests d'intrusion aident à protéger votre organisation contre les défaillances, à travers: Prévenir les pertes financières dues à la fraude (pirates informatiques, extorsionneurs et employés mécontents) ou à la perte de revenus due à des systèmes et processus métier peu fiables. Prouver la diligence raisonnable et la conformité à vos régulateurs, clients et actionnaires de l'industrie. La non-conformité peut entraîner la perte d'activité de votre organisation, de lourdes amendes, de mauvaises relations publiques ou, en fin de compte, l'échec. Sur le plan personnel, cela peut également signifier la perte de votre emploi, des poursuites et parfois même l'emprisonnement. Protégez votre marque en évitant la perte de confiance des consommateurs et de réputation commerciale. D'un point de vue opérationnel, les tests d'intrusion aident à façonner la stratégie de sécurité des informations grâce à: Identifier les vulnérabilités et quantifier leur impact et leur probabilité afin qu'elles puissent être gérées de manière proactive; un budget peut être alloué et des mesures correctives mises en œuvre.
Planification et préparation Avant de commencer un projet de test de pénétration, une planification et une préparation minutieuses doivent être effectuées. La constitution d'une équipe fait partie de la planification elle-même. Une équipe solide devrait avoir des membres provenant de plusieurs domaines de connaissances basés sur les compétences et l'expertise. La portée des travaux détermine les exigences pour constituer une petite ou une grande équipe. Ne vous concentrez pas uniquement sur les testeurs d'intrusion, assurez-vous de pouvoir couvrir plusieurs domaines liés à la gestion de projet, à l'assurance qualité, au réseau et à l'infrastructure, aux applications, à l'analyse des risques, etc. Figure: Exemple d'équipe de projet Pentest (petite)
Figure 1: Exemple de ressources de l'équipe de projet (petite)
Position / Fonction Nom de la ressource
Chef de projet (PM) UNE
Assurance qualité (QA) B
Analyste principal de la sécurité / Pentester
C principal
Analyste de sécurité / Pentester # 1 ré
Analyste de sécurité / Pentester # 2 E
Documentation technique F
Spécialiste en infrastructure réseau g
Spécialiste des applications H
Dans l'exemple ci-dessus, nous utilisons 8 (huit) ressources pour effectuer plusieurs tâches dans un petit projet pentest. Souvenez-vous toujours des facteurs ou des composants du projet réussi: portée, calendrier, budget et ressources. Gestion des risques Le calcul et l'analyse des risques font partie de la gestion globale des risques. Un rapport d'essai de pénétration efficace devrait inclure au minimum le calcul et l'analyse des risques. Le guide de gestion des risques peut être facilement trouvé à partir de plusieurs ressources sur Internet (par exemple NIST SP800-30, Risk Management Guide for Information Technology Systems). Les composants de l'analyse des risques expliqués comme suit: Menace - un danger possible qui pourrait exploiter une vulnérabilité pour briser la sécurité et causer ainsi un dommage éventuel. Vulnérabilité - une faiblesse qui permet à un attaquant de réduire l' assurance des informations d' un système . La vulnérabilité est l'intersection de trois éléments: une vulnérabilité ou une faille du système, l'accès de l'attaquant à la faille et la capacité de l'attaquant à exploiter la faille. Impact - un exercice réussi de menace d'une vulnérabilité (interne ou externe). Notation de risque basée sur ce calcul: Risque = menace x vulnérabilité x impact Après avoir calculé la cote de risque, nous commençons à rédiger un rapport sur chaque risque et comment l'atténuer (atténuation ou réduction des risques).
Collecte et traduction de données brutes
Analysez et filtrez vos données Les membres de l'équipe de test de pénétration doivent collecter des informations utiles (données) sur le terrain, en supposant qu'ils travaillent dans l'environnement du client. Analysez et filtrez les informations recueillies. Catégorisez les informations en fonction de la méthodologie pentest adoptée afin que vous puissiez vous concentrer sur la collecte de données «bonnes et utiles» et non sur un tas de déchets. Documentez toujours vos étapes et fournissez des captures d'écran ou toute preuve valable (cela sera utile au cas où les clients voudraient répéter les mêmes processus de test). La documentation étape par étape n'est pas vraiment obligatoire mais elle est vraiment utile dans certaines situations. J'ai beaucoup fait ça.
Conversion de données La traduction des données peut être nécessaire dans certains scénarios. Vous souhaiterez peut-être que tous les membres de votre équipe disposent d'une norme de traduction des données collectées. Les données brutes peuvent être facilement traduites en plusieurs types de formats de fichiers tels que texte, xml, html, png, jpg, etc. Ce qui suit vous montre un exemple de conversion de données d'un format de fichier xml à un format de fichier html: nmap –A –iL cibles.txt –A sortie La commande ci-dessus entraîne trois types de fichiers différents:
Nom de fichier Type de fichier
output.nmap Fichier texte
output.gnmap Fichier texte Grepable
output.xml Fichier XML
Échange / transmission de données sécurisé
Les données brutes collectées doivent être envoyées régulièrement ou à une période spécifique (programmée), comme convenu par le chef d'équipe et les membres. Toutes les informations (données) collectées sont traitées comme «confidentielles» comme indiqué dans les accords de non-divulgation (NDA). Évitez d'envoyer des informations via un réseau ou un support non sécurisé. Si vous ne pouvez pas éviter d'utiliser Internet pour échanger ou transmettre les informations. Appliquez la confidentialité, l'intégrité et la disponibilité aux données collectées en mettant en œuvre une méthode hors bande de transmission de données, ainsi qu'en utilisant le cryptage et le hachage tels que MD5 pour préserver l'intégrité de vos données collectées.
Traduire des données brutes
Un rapport pentest efficace doit inclure la représentation de vos données brutes collectées, traduites en informations significatives dans différents types de formats. Les livrables finaux doivent être facilement interprétés par le public ciblé. Vous pouvez utiliser des outils tels que Microsoft Excel et Visio pour créer une présentation significative de vos informations telles que des tableaux (détaillés et récapitulatifs), des graphiques, des diagrammes, des flux, etc. Figure 4: Exemple de vulnérabilité par type
Type de vulnérabilité Total
Mot de passe par défaut ou
dix faible
Mauvaise configuration 4
Correctifs / mises à jour
6 manquants
Cryptage faible 2 Divers 5
Total 27 Figure 5: Exemple de graphique - Résumé des hôtes vulnérables
Proposition de projet La proposition doit rester simple et précise. La proposition de projet est également appelée «Énoncé des travaux», un document convaincant dont les objectifs sont: 1. Identifier le travail à faire 2. Expliquez pourquoi ce travail doit être fait 3. Persuadez le lecteur que les proposants (vous) sont qualifiés pour le travail, ont un plan de gestion et une approche technique plausibles et disposent des ressources nécessaires pour mener à bien la tâche dans les délais et les coûts indiqués. Une proposition forte a une apparence attrayante, professionnelle et invitante. Les informations (contenu) doivent être faciles d'accès. Une proposition solide a un plan d'attaque bien organisé avec des détails techniques clairs, car une profondeur technique est nécessaire pour vendre votre projet. Il devrait avoir les éléments ou aspects «pourquoi, quoi, comment et quand». La proposition de projet doit au moins comprendre plusieurs sections, comme le montrent les exemples suivants: 1. Introduction 2 Plan de projet détaillé 2.1 Portée des travaux (SoW) 2.2 Objectif de l'évaluation 2.3 Phases du projet 2.4 Durée du projet 2.5 Calendrier / calendrier du projet 3 Gestion de projet 3.1 Organisation du projet 3.2 Ressources 4 Livrables 5 Outils et méthodologie 6 Divers 7 Expérience de projet (basée sur l'expérience de votre équipe) 8 Contact 9 Annexes
Les activités du projet
Les activités liées à un projet de test de pénétration doivent être clairement définies. Nous pouvons utiliser ce document pour suivre l'avancement de notre projet en plaçant le pourcentage de tâches effectuées. Les outils de portefeuille de gestion de projet peuvent être utilisés pour nous aider à visualiser les activités / tâches du projet sous forme de diagramme de Gantt.
Livrable Un livrable est un objet tangible ou immatériel produit à la suite du projet qui est destiné à être livré à un client ou client. Le résultat d'une évaluation de sécurité est une forme de livrable. Produits livrables sous forme de rapports qui seront livrés et examinés par le client ou la haute direction dans plusieurs types ou formats. Les types de livrables dans le projet pentest sont: Résumé Rapport technique Le rapport de synthèse comprend les résultats de l'évaluation, comprend des recommandations sur la manière de remédier aux risques (stratégie d'atténuation des risques) avec des contrôles de sécurité appropriés (mesures de protection). Les recommandations devraient couvrir les aspects liés aux personnes, aux processus et à la technologie. Le rapport technique comprend des informations détaillées liées aux résultats de l'évaluation, comprend des recommandations sur la manière de remédier aux risques (stratégie d'atténuation des risques) avec des contrôles de sécurité appropriés (mesures de protection)
