Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Les bases du test d’intrusion Sommaire ● ● Les phases du PTES : Penetration T

1 Les bases du test d’intrusion Sommaire ● ● Les phases du PTES : Penetration Testing Execution Standard ● ● Types de tests d’intrusion ● ● Scanners de vulnérabilité Les tests d’intrusion sont un moyen de simuler les méthodes qu’une personne mal- veillante pourrait utiliser pour tromper les systèmes de contrôle d’une organisation et gagner l’accès à ses systèmes. Les tests d’intrusion représentent plus que l’exécu- tion d’un scanner et d’outils automatisés pour ensuite rédiger un rapport. Vous ne serez pas un expert de la sécurité informatique du jour au lendemain ; il faut des années de pratique pour être compétent. Actuellement, il y a un changement dans la façon dont les gens considèrent et définissent les tests de pénétration dans l’industrie de la sécurité informatique. Le standard d’exécution des tests de pénétration (PTES, Penetration Tes- ting Execution Standard) a redéfini les tests d’intrusion de façon à influencer les nouveaux testeurs d’infiltration comme les plus chevronnés, et a été adopté par plusieurs membres éminents de la communauté de la sécurité informatique. Son objectif est de définir ce qu’est un véritable test d’intrusion – et d’y sensibiliser cette communauté – en établissant une base de principes fondamentaux néces- saires au bon déroulement d’un test. Si vous êtes nouveau dans le domaine de la sécurité informatique ou si la notion du PTES vous est inconnue, nous vous recommandons de vous rendre sur http://www.pentest-standard.org/ pour en savoir plus. Les phases du PTES Les phases du PTES sont conçues pour définir le déroulement standard d’un test d’in- trusion et assurer à l’organisation cliente que les efforts nécessaires seront consacrés ©2017 Pearson France - Hacking, sécurité et tests d'intrusion avec Metasploit - David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni 2 Metasploit par quiconque effectuera ce type d’évaluation. Ce standard est divisé en sept caté- gories avec différents niveaux d’effort requis pour chacune des tâches, en fonction de l’organisation à attaquer. Préengagement Cela se produit généralement lors de vos discussions à propos de la portée et des modalités du test d’intrusion avec votre client. Il est essentiel au cours du préenga- gement que vous présentiez les objectifs de votre travail. Cette étape sera l’occasion pour vous d’expliquer à vos clients ce qui doit être attendu d’un test de pénétration complet – sans restrictions – sur ce qui peut et sera testé durant l’engagement. Collecte de renseignements L’organisation que vous attaquez en utilisant les réseaux sociaux, le Google hacking, les données laissées par la cible, etc. L’une des compétences les plus importantes d’un testeur d’intrusion est sa capacité à acquérir le plus d’informations possible sur la cible, y compris la façon dont elle opère, comment elle fonctionne et comment elle peut être attaquée. Les informations recueillies sur la cible vous donneront de précieux renseignements sur les types de contrôles de sécurité mis en place. Lors de la collecte de renseignements, vous essayez d’identifier les types de méca- nismes qui protègent la cible en commençant lentement à sonder ses systèmes. Par exemple, une organisation, dans la plupart des cas, n’autorise pas le trafic en provenance d’appareils extérieurs sur un certain nombre de ports : si vous tentez de communiquer avec ses services sur un port exclu de la liste, vous serez blo- qué. Généralement, une bonne idée est de tester le comportement du filtrage par un premier sondage à partir d’une adresse IP sacrifiable que vous acceptez de voir détectée ou bloquée. Il en est de même si vous testez des applications web, où, après un certain seuil, le firewall applicatif vous empêche d’effectuer d’autres requêtes. Pour passer inaperçu lors de ces tests, vous pouvez faire les premiers à partir d’une plage d’adresses IP non reliées à votre équipe. En règle générale, les organisations phares reliées à Internet sont attaquées tous les jours, et votre premier sondage sera probablement une partie non détectée du bruit de fond. Note Dans certains cas, il peut être judicieux d’exécuter des scans depuis une plage d’adresses IP autre que celle que vous utiliserez pour l’attaque principale. Cela vous aidera à déterminer l’efficacité de l’organisation à répondre aux outils que vous employez. ©2017 Pearson France - Hacking, sécurité et tests d'intrusion avec Metasploit - David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni Les bases du test d’intrusion 3 Chapitre 1 Détermination de la menace La détermination des menaces requiert les informations acquises lors de la phase de collecte afin d’identifier les vulnérabilités existantes sur un système cible. Dès lors, vous choisirez la méthode d’attaque la plus efficace, le type d’informations qui vous intéresse et comment la cible pourrait être attaquée. La détermination des menaces consiste à examiner l’organisation tel un adversaire et à tenter d’exploiter les faiblesses comme le ferait un attaquant. Analyse des vulnérabilités Ayant identifié les méthodes d’attaques les plus efficaces, vous devez envisager la façon dont vous accéderez à la cible. Durant l’analyse des vulnérabilités, vous combinez les informations que vous avez apprises lors des phases antérieures pour déterminer quelles attaques seraient efficaces. L’analyse de vulnérabilités prend en compte notamment les scans de ports et de vulnérabilités, les données collectées via la consultation de bannières de services réseau et des informations recueillies lors de la collecte de renseignements. L’exploitation L’exploitation est probablement l’une des parties les plus prestigieuses d’un test d’intrusion, même si elle est, la plupart du temps, effectuée par brute force plutôt qu’avec précision. Un exploit doit être réalisé uniquement lorsque vous savez sans l’ombre d’un doute que votre tentative sera couronnée de succès. Cependant, des mesures de protection peuvent empêcher un exploit de fonctionner sur la cible – mais avant de profiter d’une vulnérabilité, vous devez savoir que le système est vulnérable. Lancer aveuglément une masse d’exploits et prier pour un shell n’est nullement pro- ductif, cette méthode indiscrète n’offre guère d’intérêt pour vous, en tant que testeur d’intrusions, ou pour votre client. Faites votre travail de recherche d’abord, puis, lancez les exploits susceptibles de réussir. Post exploitation La phase de post exploitation commence après avoir compromis un ou plusieurs systèmes, mais vous êtes loin d’en avoir fini. Cette phase est un élément essentiel de tout test de pénétration. C’est là que vous vous démarquerez de la plupart des hackers ordinaires et fournirez efficacement des renseignements précieux grâce à vos tests. Lors de cette phase, vous viserez des sys- tèmes spécifiques, identifierez les infrastructures critiques et vous intéresserez aux informations ou données que la cible a tenté de sécuriser. Lorsque vous exploitez un ©2017 Pearson France - Hacking, sécurité et tests d'intrusion avec Metasploit - David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni 4 Metasploit système après l’autre, vous essayez de démontrer les attaques qui auront le plus de répercussions sur les affaires de l’organisation ciblée. Si vous vous attaquez à des systèmes pendant la phase de post exploitation, vous devez prendre le temps de déterminer ce qu’ils font ainsi que leurs rôles. Supposons, par exemple, que vous compromettiez l’infrastructure du système d’un domaine et que vous puissiez l’administrer ou que vous obteniez tous les droits d’administration. Vous pourriez être un super utilisateur de ce domaine, mais que dire des systèmes qui communiquent à l’aide d’Active Directory ? Qu’en est-il de l’application finan- cière principale utilisée pour payer les employés ? Pourriez-vous compromettre le système pour ensuite, à la prochaine paye, acheminer tout l’argent de la société sur un compte offshore ? Quid de la propriété intellectuelle de la cible ? Supposons, par exemple, que votre cible soit une entreprise de développement de logiciels qui produit des applications sur mesure à ses clients pour une utilisation dans des environnements industriels. Pouvez-vous introduire un backdoor dans son code source et ainsi compromettre la totalité de ses clients ? Quelles seraient les conséquences sur la crédibilité de la marque ? La phase de post exploitation est un de ces moments difficiles pendant lesquels vous devez prendre le temps d’étudier les informations à votre disposition pour ensuite les utiliser à votre avantage. Un attaquant ferait de même. Pensez tel un vrai pirate informatique, faites preuve de créativité, ayez le réflexe de vous adapter rapidement et comptez sur votre intelligence plutôt que sur les quelques outils automatisés dont vous disposez. Le rapport Le rapport est de loin l’élément le plus important d’un test de pénétration. Vous allez le rédiger pour communiquer ce que vous avez fait, comment vous l’avez fait, et, plus important, comment l’organisation pourrait corriger les vulnérabilités que vous avez découvertes. Lorsque vous effectuez un test de pénétration, vous travaillez à partir du point de vue d’un attaquant, ce que les organisations voient rarement. Les informations que vous obtenez durant vos tests sont indispensables à la réussite du programme de sécurité pour arrêter les attaques futures. Lorsque vous rapportez vos résultats, pen- sez à la façon dont l’organisation pourrait les utiliser afin de corriger les problèmes découverts et d’améliorer la sécurité globale plutôt que de patcher les vulnérabilités techniques. Divisez votre rapport : au moins un résumé, une présentation ainsi que les résultats techniques. Ces résultats seront utilisés par le client pour remédier aux failles uploads/Management/ sp-1-2.pdf