Vidéo: Pourquoi la sécurité privée doit se préparer à l’arrivée des drones 2025
Dans le passé, de nombreuses techniques d'évaluation de la sécurité dans le domaine du piratage éthique impliquaient des processus manuels. Désormais, certains scanners de vulnérabilités peuvent automatiser diverses tâches, depuis les tests jusqu'aux rapports en passant par la validation de la correction (processus permettant de déterminer si une vulnérabilité a été corrigée). Certains scanners de vulnérabilité peuvent même vous aider à prendre des mesures correctives. Ces outils vous permettent de vous concentrer sur l'exécution des tests et moins sur les étapes spécifiques impliquées.
Cependant, suivre une méthodologie générale et comprendre ce qui se passe dans les coulisses vous aidera à trouver les choses qui comptent vraiment.
Pensez logiquement - comme un programmeur, un radiologue ou un inspecteur en bâtiment - pour disséquer et interagir avec tous les composants du système pour voir comment ils fonctionnent. Vous collectez des informations, souvent en plusieurs petits morceaux, et assembler les pièces du puzzle. Vous démarrez au point A avec plusieurs objectifs en tête, exécutez vos tests (en répétant plusieurs étapes) et vous rapprochez jusqu'à ce que vous découvriez des failles de sécurité au point B.
Le processus utilisé pour de tels tests est fondamentalement le même que celui utilisé par un attaquant malveillant. Les principales différences résident dans les objectifs et la manière de les atteindre. Les attaques d'aujourd'hui peuvent provenir de n'importe quel angle contre n'importe quel système, et pas seulement du périmètre de votre réseau et de l'Internet, comme vous l'avez appris dans le passé.
Testez tous les points d'entrée possibles, y compris les réseaux de partenaires, de fournisseurs et de clients, ainsi que les utilisateurs domestiques, les réseaux sans fil et les périphériques mobiles. Tout être humain, système informatique ou composant physique qui protège vos systèmes informatiques - à la fois à l'intérieur et à l'extérieur de vos bâtiments - est un jeu équitable pour les attaques, et il doit être testé, éventuellement.
Lorsque vous commencez à effectuer vos tests, vous devez conserver un journal des tests que vous effectuez, des outils que vous utilisez, des systèmes que vous testez et de vos résultats. Cette information peut vous aider à faire ce qui suit:
-
Suivre ce qui a fonctionné dans les tests précédents et pourquoi.
-
Aidez-nous à prouver ce que vous avez fait.
-
Corréler vos tests avec les pare-feu et les systèmes de prévention des intrusions (IPS) et d'autres fichiers journaux en cas de problème ou de questions.
-
Documentez vos résultats.
Outre les notes générales, il est très utile de prendre des captures d'écran de vos résultats (en utilisant Snagit, Camtasia ou un outil similaire) chaque fois que c'est possible. Ces prises de vue seront utiles plus tard si vous avez besoin de montrer une preuve de ce qui s'est passé, et ils seront également utiles lorsque vous générez votre rapport final.En outre, en fonction des outils que vous utilisez, ces captures d'écran peuvent être votre seule preuve de vulnérabilités ou d'exploits au moment de rédiger votre rapport final.
Votre tâche principale consiste à trouver les vulnérabilités et à simuler la collecte d'informations et les compromis du système effectués par une personne malveillante. Cette tâche peut être une attaque partielle sur un ordinateur ou constituer une attaque complète contre l'ensemble du réseau.
Généralement, vous recherchez les faiblesses que les utilisateurs malveillants et les attaquants externes pourraient exploiter. Vous souhaiterez évaluer les systèmes externes et internes (y compris les processus et les procédures impliquant des ordinateurs, des réseaux, des personnes et des infrastructures physiques). Rechercher des vulnérabilités vérifiez comment tous vos systèmes s'interconnectent et comment les systèmes privés et les informations sont (ou ne sont pas) protégés contre les éléments non fiables.
Ces étapes n'incluent pas d'informations spécifiques sur les méthodes que vous utilisez pour l'ingénierie sociale et l'évaluation de la sécurité physique, mais les techniques sont fondamentalement les mêmes.
Si vous effectuez une évaluation de sécurité pour un client, vous pouvez utiliser l'itinéraire d'évaluation blind , ce qui signifie que vous commencez simplement avec le nom de l'entreprise et aucune autre information. Cette approche d'évaluation aveugle vous permet de démarrer à partir de zéro et vous donne une meilleure idée de l'information et des systèmes auxquels les pirates malveillants peuvent accéder publiquement.
Que vous choisissiez d'évaluer aveuglément (c'est-à-dire secrètement) ou ouvertement, gardez à l'esprit que la procédure de test à l'aveugle peut prendre plus de temps et que vous risquez de manquer certaines failles de sécurité. Ce n'est pas ma méthode de test préférée, mais certaines personnes peuvent insister là-dessus.
En tant que professionnel de la sécurité, vous n'aurez peut-être pas à vous soucier de couvrir vos pistes ou de contourner les IPS ou les contrôles de sécurité associés, car tout ce que vous faites est légitime. Mais vous pourriez vouloir tester les systèmes furtivement. Dans ce livre, je discute des techniques que les hackers utilisent pour dissimuler leurs actions et esquisser quelques contre-mesures pour les techniques de dissimulation.
