Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

(W9M1) Module 1 Introduction à la rédaction d'un rapport de test de pénétration

(W9M1) Module 1 Introduction à la rédaction d'un rapport de test de pénétration efficace MODULE 1 introduction Le test de pénétration ou pentest est une évaluation de sécurité typique qui est le processus pour accéder à des actifs d'information spécifiques (par exemple, des systèmes informatiques, une infrastructure réseau ou une application). Le test de pénétration simule l'attaque effectuée en interne ou en externe par les attaquants qui ont l'intention de trouver des faiblesses ou des vulnérabilités de sécurité et de valider les impacts et les risques potentiels si ces vulnérabilités sont exploitées. Les problèmes de sécurité détectés lors du test de pénétration sont présentés au propriétaire du système, au propriétaire des données ou au propriétaire du risque. Un test de pénétration efficace appuiera ces informations avec une évaluation précise des impacts potentiels sur l'organisation et une gamme de garanties techniques et procédurales doit être planifiée et exécutée pour atténuer les risques. De nombreux testeurs d'intrusion sont en fait très bons en technique car ils ont les compétences nécessaires pour effectuer tous les tests, mais ils manquent de méthodologie et d'approche de rédaction de rapports, ce qui crée un très grand écart dans le cycle des tests d'intrusion. Un test de pénétration est inutile sans quelque chose de tangible à donner à un client ou à une direction. La rédaction de rapports est un élément crucial pour tout fournisseur de services (par exemple, service / conseil informatique). Un rapport doit détailler le résultat du test et, si vous faites des recommandations, documenter les recommandations pour sécuriser tout système à haut risque. Le public cible d'un rapport de test d'intrusion variera, le rapport technique sera lu par le service informatique ou tout autre responsable de la sécurité de l'information tandis que le résumé sera certainement lu par la direction générale. La rédaction d'un rapport de test d'intrusion efficace est un art qui doit être appris et pour s'assurer que le rapport fournira les bonnes informations au public ciblé. Évaluation de la sécurité de haut niveau Évaluation de la sécurité offerte par les fournisseurs de services de diverses manières. Chaque type de service offre différents niveaux ou degrés d'assurance de sécurité. L'évaluation des vulnérabilités (VA) ou l'analyse des vulnérabilités sont normalement proposées dans le but d'identifier les faiblesses ou les vulnérabilités. Utilise des systèmes automatisés (tels que Nessus, eEye Retina ou QualisysGuard). Moyen peu coûteux de s'assurer qu'aucune vulnérabilité n'existe. N'a pas de stratégie claire pour améliorer la sécurité de l'organisation. L'évaluation de la sécurité du réseau est une combinaison d'identification et de tests manuels automatisés et pratiques des vulnérabilités. Le rapport est créé, donnant des conseils pratiques qui peuvent améliorer la sécurité de l'organisation. Les tests de pénétration impliquent de multiples vecteurs d'attaque (par exemple, test sans fil, ingénierie sociale ou test côté client, ou numérotation de guerre) pour compromettre l'environnement cible. Les tests de pénétration peuvent être effectués avec plusieurs méthodologies acceptées de l'environnement interne et externe avec différentes approches telles que la boîte noire (sans connaissances préalables), la boîte blanche (avec toutes les connaissances) ou la boîte grise (avec quelques connaissances) en fonction de la portée de travail convenu avec le client. L'audit sur site est probablement le type d'évaluation de sécurité le plus courant effectué dans de nombreuses organisations. Il fournit l'image la plus claire de la sécurité du réseau. L'accès local est donné aux testeurs ou aux consultants, ce qui leur permet d'explorer et d'identifier tout ce qui ne va pas, y compris les rootkits, les portes dérobées, les chevaux de Troie, les mots de passe faibles, les autorisations ou politiques faibles, les erreurs de configuration et d'autres problèmes. La méthodologie d'évaluation des meilleures pratiques utilisée par les consultants en sécurité doit impliquer les composants de haut niveau suivants: Reconnaissance du réseau pour identifier les réseaux ou les hôtes Analyse et sondage en masse du réseau pour identifier les hôtes vulnérables potentiels Identification et investigation des vulnérabilités et sondages supplémentaires (manuellement) Exploitation des vulnérabilités et contournement des mécanismes de sécurité Outils du métier La sélection des outils de test de pénétration appropriés et corrects nous aidera à nous concentrer sur les informations (données) à collecter à partir de l'environnement cible. Ne pas confondre directement avec la variété des outils disponibles sur le marché. Connaître les capacités et les fonctionnalités des outils est la clé d'une évaluation de sécurité réussie. Commencez par évaluer les outils Open Source et commerciaux disponibles sur Internet. Comparez l'Open Source avec les commerciaux en termes de fonctions, fonctionnalités et livrables. Assurez-vous que les outils que vous choisirez peuvent être utilisés tout au long du processus d'évaluation de la sécurité. Ne gaspillez pas votre budget pour acheter des outils commerciaux que vous ne souhaitez pas vraiment utiliser en raison du manque de capacités et de fonctionnalités. Testez les outils avant de les acheter. La catégorisation des outils d'évaluation de la sécurité vous aidera à trouver ce que vous recherchez. Voici les exemples d'outils couramment utilisés pour l'évaluation de la sécurité qui ont été classés en fonction des objectifs d'utilisation: Reconnaissance et scan du réseau Nmap ou ZenMap (open source) Hping (open source) NetDiscover (open source) NBTStat (open source) Identification et investigation des vulnérabilités Nmap avec NSE (open source) Nessus (commercial) eEye Retina (commercial) QualisysGuard (commercial) OpenVAS (open source) Exploitation des vulnérabilités Framework Metasploit (open source) ExploitPack (open source) Core Impact (commercial) Metasploit Express et Pro (commercial) Immunité CANVAS (commercial) En ce qui concerne les méthodologies de test de pénétration, nous pouvons créer les nôtres ou adopter à partir de plusieurs normes bien connues telles que: NIST SP 800-115, Guide technique des tests et évaluations de la sécurité de l'information OISSG ISSAF, Cadre d'évaluation de la sécurité des systèmes d'information ISECOM OSSTMM, Manuel de méthodologie de test de sécurité Open Source Guide de test OWASP, Open Web Application Security Project Institut SANS, Réalisation d'un test de pénétration sur une organisation PTES, norme d'exécution des tests de pénétration Business case Pourquoi effectuer un test de pénétration? Quels sont les objectifs du test de pénétration? Quels sont les avantages du test de pénétration par rapport à d'autres types d'évaluations de sécurité? Ce sont probablement les questions les plus fréquemment posées lorsque nous parlons de l'importance du test de pénétration pour des clients ou des organisations potentiels. Les réponses aux questions ci-dessus sont expliquées comme suit: D'un point de vue commercial, les tests d'intrusion aident à protéger votre organisation contre les défaillances, à travers: Prévenir les pertes financières dues à la fraude (pirates informatiques, extorsionneurs et employés mécontents) ou à la perte de revenus due à des systèmes et processus métier peu fiables. Prouver la diligence raisonnable et la conformité à vos régulateurs, clients et actionnaires de l'industrie. La non-conformité peut entraîner la perte d'activité de votre organisation, de lourdes amendes, de mauvaises relations publiques ou, en fin de compte, l'échec. Sur le plan personnel, cela peut également signifier la perte de votre emploi, des poursuites et parfois même l'emprisonnement. Protégez votre marque en évitant la perte de confiance des consommateurs et de réputation commerciale. D'un point de vue opérationnel, les tests d'intrusion aident à façonner la stratégie de sécurité des informations grâce à: Identifier les vulnérabilités et quantifier leur impact et leur probabilité afin qu'elles puissent être gérées de manière proactive; un budget peut être alloué et des mesures correctives mises en œuvre. Planification et préparation Avant de commencer un projet de test de pénétration, une planification et une préparation minutieuses doivent être effectuées. La constitution d'une équipe fait partie de la planification elle-même. Une équipe solide devrait avoir des membres provenant de plusieurs domaines de connaissances basés sur les compétences et l'expertise. La portée des travaux détermine les exigences pour constituer une petite ou une grande équipe. Ne vous concentrez pas uniquement sur les testeurs d'intrusion, assurez-vous de pouvoir couvrir plusieurs domaines liés à la gestion de projet, à l'assurance qualité, au réseau et à l'infrastructure, aux applications, à l'analyse des risques, etc. Figure: Exemple d'équipe de projet Pentest (petite) Figure 1: Exemple de ressources de l'équipe de projet (petite) Position / Fonction Nom de la ressource Chef de projet (PM) UNE Assurance qualité (QA) B Analyste principal de la sécurité / Pentester principal C Analyste de sécurité / Pentester # 1 ré Analyste de sécurité / Pentester # 2 E Documentation technique F Spécialiste en infrastructure réseau g Spécialiste des applications H Dans l'exemple ci-dessus, nous utilisons 8 (huit) ressources pour effectuer plusieurs tâches dans un petit projet pentest. Souvenez-vous toujours des facteurs ou des composants du projet réussi: portée, calendrier, budget et ressources. Gestion des risques Le calcul et l'analyse des risques font partie de la gestion globale des risques. Un rapport d'essai de pénétration efficace devrait inclure au minimum le calcul et l'analyse des risques. Le guide de gestion des risques peut être facilement trouvé à partir de plusieurs ressources sur Internet (par exemple NIST SP800-30, Risk Management Guide for Information Technology Systems). Les composants de l'analyse des risques expliqués comme suit: Menace - un danger possible qui pourrait exploiter une vulnérabilité pour briser uploads/Management/ 001-traduit.pdf