Vulnerability assessment & pentesting
L’analyse des vulnérabilités peut être manuelle ou automatisée. Les outils automatisés ont la capacité de filtrer de grandes quantités de données et peuvent être utilisés pour examiner des journaux, collecter et analyser des données provenant de multiples sources, analyser les fonctions d’un programme et exécuter des fichiers de test ou des données dans un outil tel qu’un pare-feu ou une application. Lorsque le contenu ne peut pas être facilement quantifié et doit être évalué, un test manuel est préférable.
Les analyses de vulnérabilités peuvent contenir des données inexactes, comme des faux positifs qui signalent une vulnérabilité inexistante. Il est important de s’assurer que du personnel qualifié exécute et interprète les résultats des outils automatisés. Les analyses de vulnérabilités peuvent ne pas détecter les vulnérabilités qui nécessitent une séquence de techniques enchaînées pour être exploitées. Pour valider les résultats d’une analyse de vulnérabilités, l’organisation peut réaliser un test d’intrusion ciblé sur une vulnérabilité ou un vecteur d’attaque potentiel.
Les tests d’intrusion peuvent utiliser les mêmes types d’outils qu’un véritable adversaire, ce qui peut aider à déterminer dans quelle mesure une vulnérabilité identifiée constitue réellement une faiblesse. Il existe différents types de tests d’intrusion qui peuvent être réalisés, en fonction de l’appétit pour le risque et des objectifs finaux de l’entreprise, et qui devraient guider l’approche employée pour mener ces tests.
Les tests d’intrusion peuvent être réalisés par des équipes internes, externes ou hybrides, et les règles peuvent varier, allant de tests en connaissance complète de l’environnement à des tests en connaissance nulle, dans lesquels l’équipe de test ne dispose d’aucune information sur l’environnement ciblé. Une équipe de test d’intrusion expérimentée fera preuve de créativité et essaiera différents types d’attaques pour atteindre ses objectifs. Elle peut exploiter plusieurs vecteurs d’attaque vulnérables ou un seul suffisant pour obtenir un accès.
Une planification minutieuse est nécessaire pour définir clairement les modalités d’un test de pénétration. Chaque test d’intrusion est unique par nature et peut inclure un nombre variable d’activités en fonction de la simulation d’un adversaire prévue dans le périmètre. Le périmètre, les contraintes de temps, les objectifs, les exclusions et l’autorité implicite pour mener ces activités doivent être clairement définis avant de commencer un test d’intrusion.
Il est essentiel de bien comprendre que les objectifs des analyses de vulnérabilités et des tests d’intrusion ont un périmètre, une nature et des résultats distincts. Lorsqu’on réalise une analyse de vulnérabilités, l’objectif est d’identifier toute erreur de configuration et/ou vulnérabilité pouvant exister dans un système ou une application ciblé(e).
L’objectif d’un test d’intrusion est de simuler un adversaire en utilisant des méthodes intrusives pour contourner les contrôles et exploiter d’éventuelles vulnérabilités au sein d’une organisation afin d’atteindre des objectifs définis. Ces objectifs sont généralement établis de manière claire avant le test. Le but d’un test d’intrusion n’est pas d’identifier toutes les vulnérabilités exploitables possibles, mais de découvrir et documenter comment un adversaire pourrait tirer parti de l’état actuel de l’environnement pour accomplir sa mission.
Réalisez-vous généralement un test d’intrusion après une analyse de vulnérabilités ?
Les analyses de vulnérabilités peuvent contenir des données inexactes, comme des faux positifs qui signalent une vulnérabilité inexistante. Il est important de s’assurer que du personnel qualifié exécute et interprète les résultats des outils automatisés. Les analyses de vulnérabilités peuvent ne pas détecter les vulnérabilités qui nécessitent une séquence de techniques enchaînées pour être exploitées. Pour valider les résultats d’une analyse de vulnérabilités, l’organisation peut réaliser un test d’intrusion ciblé sur une vulnérabilité ou un vecteur d’attaque potentiel.
Les tests d’intrusion peuvent utiliser les mêmes types d’outils qu’un véritable adversaire, ce qui peut aider à déterminer dans quelle mesure une vulnérabilité identifiée constitue réellement une faiblesse. Il existe différents types de tests d’intrusion qui peuvent être réalisés, en fonction de l’appétit pour le risque et des objectifs finaux de l’entreprise, et qui devraient guider l’approche employée pour mener ces tests.
Les tests d’intrusion peuvent être réalisés par des équipes internes, externes ou hybrides, et les règles peuvent varier, allant de tests en connaissance complète de l’environnement à des tests en connaissance nulle, dans lesquels l’équipe de test ne dispose d’aucune information sur l’environnement ciblé. Une équipe de test d’intrusion expérimentée fera preuve de créativité et essaiera différents types d’attaques pour atteindre ses objectifs. Elle peut exploiter plusieurs vecteurs d’attaque vulnérables ou un seul suffisant pour obtenir un accès.
Une planification minutieuse est nécessaire pour définir clairement les modalités d’un test de pénétration. Chaque test d’intrusion est unique par nature et peut inclure un nombre variable d’activités en fonction de la simulation d’un adversaire prévue dans le périmètre. Le périmètre, les contraintes de temps, les objectifs, les exclusions et l’autorité implicite pour mener ces activités doivent être clairement définis avant de commencer un test d’intrusion.
Il est essentiel de bien comprendre que les objectifs des analyses de vulnérabilités et des tests d’intrusion ont un périmètre, une nature et des résultats distincts. Lorsqu’on réalise une analyse de vulnérabilités, l’objectif est d’identifier toute erreur de configuration et/ou vulnérabilité pouvant exister dans un système ou une application ciblé(e).
L’objectif d’un test d’intrusion est de simuler un adversaire en utilisant des méthodes intrusives pour contourner les contrôles et exploiter d’éventuelles vulnérabilités au sein d’une organisation afin d’atteindre des objectifs définis. Ces objectifs sont généralement établis de manière claire avant le test. Le but d’un test d’intrusion n’est pas d’identifier toutes les vulnérabilités exploitables possibles, mais de découvrir et documenter comment un adversaire pourrait tirer parti de l’état actuel de l’environnement pour accomplir sa mission.
Réalisez-vous généralement un test d’intrusion après une analyse de vulnérabilités ?
Commentaires
Enregistrer un commentaire