Méthodologie d'évaluation

Ces derniers temps, les organisations gouvernementales et privées ont fait de la cybersécurité une priorité stratégique. Les cybercriminels ont souvent fait du gouvernement et des organisations privées leurs cibles privilégiées en utilisant différents vecteurs d'attaque. Malheureusement, en raison du manque de politiques efficaces, de normes et de la complexité du système d'information, les cybercriminels ont un grand nombre de cibles et ils réussissent également à exploiter le système et à voler des informations.

Les tests de pénétration sont une stratégie qui peut être utilisée pour atténuer les risques de cyberattaques. Le succès des tests d'intrusion dépend d'une méthodologie d'évaluation efficace et cohérente.

Nous avons une variété de méthodologies d'évaluation liées aux tests de pénétration. L'avantage d'utiliser une méthodologie est qu'elle permet aux évaluateurs d'évaluer un environnement de manière cohérente. Voici quelques méthodologies importantes -

  • Manuel de méthodologie de test de sécurité Open Source (OSSTMM)

  • Ouvrir le projet de sécurité des applications Web (OWASP)

  • Institut national des normes et de la technologie (NIST)

  • Norme d'exécution des tests de pénétration (PTES)

Qu'est-ce que PTES?

PTES, norme d'exécution des tests d'intrusion, comme son nom l'indique, est une méthodologie d'évaluation des tests d'intrusion. Il couvre tout ce qui concerne un test de pénétration. Nous avons un certain nombre de directives techniques, au sein du PTES, liées aux différents environnements qu'un évaluateur peut rencontrer. C'est le plus grand avantage de l'utilisation du PTES par les nouveaux évaluateurs, car les directives techniques contiennent des suggestions pour aborder et évaluer l'environnement dans les outils standard de l'industrie.

Dans la section suivante, nous découvrirons les différentes phases du PTES.

Sept phases de PTES

La norme d'exécution des tests d'intrusion (PTES) comprend sept phases. Ces phases couvrent tout ce qui concerne un test de pénétration - de la communication initiale et du raisonnement derrière un pentest, en passant par les phases de collecte de renseignements et de modélisation des menaces où les testeurs travaillent dans les coulisses. Cela conduit à une meilleure compréhension de l'organisation testée, à travers la recherche de vulnérabilité, l'exploitation et la post-exploitation. Ici, l'expertise technique en sécurité des testeurs est combinée de manière critique à la compréhension métier de l'engagement, et enfin au reporting, qui capture l'ensemble du processus, d'une manière qui a du sens pour le client et lui apporte le plus de valeur.

Nous en apprendrons davantage sur les sept phases du PTES dans nos sections suivantes -

Phase d'interactions pré-engagement

Il s'agit de la première et très importante phase du PTES. L'objectif principal de cette phase est d'expliquer les outils et techniques disponibles, qui aident à réussir l'étape de pré-engagement d'un test de pénétration. Toute erreur lors de la mise en œuvre de cette phase peut avoir un impact significatif sur le reste de l'évaluation. Cette phase comprend les éléments suivants:

Demande d'évaluation

La toute première partie par laquelle débute cette phase est la création d'une demande d'évaluation par l'organisation. UNERequest for Proposal (RFP) un document contenant les détails sur l'environnement, le type d'évaluation requise et les attentes de l'organisation est fourni aux évaluateurs.

Enchère

Maintenant, basé sur le RFP document, plusieurs sociétés d'évaluation ou des sociétés individuelles à responsabilité limitée (LLC) soumissionneront et la partie dont l'offre correspond au travail demandé, le prix et certains autres paramètres spécifiques l'emportera.

Signature de la lettre de mission (EL)

Désormais, l'organisation et le parti, qui a remporté l'offre, signeront un contrat de lettre d'engagement (EL). La lettre aura lestatement of work (SOW) et le produit final.

Réunion de cadrage

Une fois le EL signé, le réglage fin de la portée peut commencer. Ces réunions aident une organisation et le parti à affiner une portée particulière. Le principal objectif de la réunion de cadrage est de discuter de ce qui sera testé.

Gestion du fluage de la lunette

Le fluage de la portée est quelque chose où le client peut essayer d'ajouter ou d'étendre le niveau de travail promis pour obtenir plus que ce qu'il aurait promis de payer. C'est pourquoi les modifications apportées à la portée d'origine doivent être soigneusement examinées en raison du temps et des ressources. Il doit également être rempli sous une forme documentée telle qu'un courrier électronique, un document signé ou une lettre autorisée, etc.

Questionnaires

Lors des premières communications avec le client, il y a plusieurs questions auxquelles le client devra répondre pour une estimation correcte de la portée de la mission. Ces questions sont conçues pour fournir une meilleure compréhension de ce que le client cherche à tirer du test de pénétration; pourquoi le client cherche à faire effectuer un test de pénétration par rapport à son environnement; et, s'ils souhaitent ou non certains types de tests effectués pendant le test de pénétration.

Façon de mener le test

La dernière partie de la phase de pré-engagement consiste à décider de la procédure pour effectuer le test. Il existe différentes stratégies de test telles que la boîte blanche, la boîte noire, la boîte grise et les tests en double aveugle.

Voici quelques exemples d'évaluations qui peuvent être demandées -

  • Test de pénétration du réseau
  • Test de pénétration d'application Web
  • Test de pénétration du réseau sans fil
  • Test de pénétration physique
  • Ingénierie sociale
  • Phishing
  • Voix sur protocole Internet (VOIP)
  • Réseau interne
  • Réseau externe

Phase de collecte de renseignements

La collecte de renseignements, la deuxième phase du PTES, est l'endroit où nous effectuons l'enquête préliminaire contre une cible afin de collecter autant d'informations que possible à utiliser lors de la pénétration de la cible pendant les phases d'évaluation de la vulnérabilité et d'exploitation. Il aide les organisations à déterminer l'exposition externe par l'équipe d'évaluation. Nous pouvons diviser la collecte d'informations dans les trois niveaux suivants -

Collecte d'informations de niveau 1

Les outils automatisés peuvent obtenir ce niveau d'informations presque entièrement. L'effort de collecte d'informations de niveau 1 doit être approprié pour répondre à l'exigence de conformité.

Collecte d'informations de niveau 2

Ce niveau d'information peut être obtenu en utilisant des outils automatisés du niveau 1 avec une analyse manuelle. Ce niveau nécessite une bonne compréhension de l'entreprise, y compris des informations telles que l'emplacement physique, les relations commerciales, l'organigramme, etc. acquisition de petits fabricants, etc.

Collecte d'informations de niveau 3

Ce niveau de collecte d'informations est utilisé dans le test de pénétration le plus avancé. Toutes les informations des niveaux 1 et 2 ainsi que de nombreuses analyses manuelles sont nécessaires pour la collecte d'informations de niveau 3.

Phase de modélisation des menaces

Il s'agit de la troisième phase du PTES. Une approche de modélisation des menaces est nécessaire pour une exécution correcte des tests de pénétration. La modélisation des menaces peut être utilisée dans le cadre d'un test de pénétration ou elle peut être confrontée en fonction d'un certain nombre de facteurs. Dans le cas où nous utilisons la modélisation des menaces dans le cadre du test de pénétration, les informations collectées lors de la deuxième phase seront ensuite réintroduites dans la première phase.

Les étapes suivantes constituent la phase de modélisation des menaces -

  • Rassemblez les informations nécessaires et pertinentes.

  • Besoin d'identifier et de catégoriser les actifs primaires et secondaires.

  • Besoin d'identifier et de catégoriser les menaces et les communautés de menaces.

  • Besoin de cartographier les communautés de menaces par rapport aux actifs primaires et secondaires.

Communautés et agents de menaces

Le tableau suivant répertorie les communautés de menaces et les agents concernés ainsi que leur emplacement dans l'organisation -

Emplacement Interne Externe
Threat agents/communities Employés Partenaires d'affaires
Personnes de direction Entrepreneurs
Administrateurs (réseau, système) Concurrents
Ingénieurs Fournisseurs
Techniciens État nation
Communauté d'utilisateurs générale Les pirates

Lors de l'évaluation de la modélisation des menaces, nous devons nous rappeler que l'emplacement des menaces peut être interne. Il suffit d'un seul e-mail de phishing ou d'un employé ennuyé qui maintient la sécurité de l'organisation en jeu en diffusant des informations d'identification.

Phase d'analyse de vulnérabilité

Il s'agit de la quatrième phase du PTES au cours de laquelle l'évaluateur identifiera les cibles réalisables pour d'autres tests. Dans les trois premières phases du PTES, seuls les détails sur l'organisation ont été extraits et l'évaluateur n'a touché à aucune ressource pour les tests. C'est la phase la plus longue du PTES.

Les étapes suivantes constituent l'analyse de vulnérabilité -

Test de vulnérabilité

Il peut être défini comme le processus de découverte de failles telles qu'une mauvaise configuration et des conceptions d'applications non sécurisées dans les systèmes et les applications de l'hôte et des services. Le testeur doit définir correctement le test et le résultat souhaité avant de procéder à l'analyse de vulnérabilité. Les tests de vulnérabilité peuvent être des types suivants -

  • Test actif
  • Test passif

Nous aborderons les deux types en détail dans nos sections suivantes.

Test actif

Cela implique une interaction directe avec le composant testé pour les vulnérabilités de sécurité. Les composants peuvent être de bas niveau, comme la pile TCP sur un périphérique réseau, ou de haut niveau comme l'interface Web. Les tests actifs peuvent être effectués des deux manières suivantes:

Test actif automatisé

Il utilise le logiciel pour interagir avec une cible, examiner les réponses et déterminer en fonction de ces réponses si une vulnérabilité dans le composant est présente ou non. L'importance des tests actifs automatisés par rapport aux tests actifs manuels peut être réalisée du fait que s'il y a des milliers de ports TCP sur un système et que nous devons tous les connecter manuellement pour les tests, cela prendrait beaucoup de temps. Cependant, le faire avec des outils automatisés peut réduire beaucoup de temps et de main-d'œuvre. L'analyse de la vulnérabilité du réseau, l'analyse des ports, la capture de bannières, l'analyse des applications Web peuvent être effectuées à l'aide d'outils de test actifs automatisés.

Test actif manuel

Les tests manuels efficaces sont plus efficaces que les tests actifs automatisés. La marge d'erreur existe toujours avec un processus ou une technologie automatisés. C'est pourquoi il est toujours recommandé d'exécuter des connexions directes manuelles à chaque protocole ou service disponible sur un système cible pour valider le résultat des tests automatisés.

Test passif

Les tests passifs n'impliquent pas d'interaction directe avec le composant. Il peut être mis en œuvre à l'aide des deux techniques suivantes -

Analyse des métadonnées

Cette technique consiste à examiner les données qui décrivent le fichier plutôt que les données du fichier lui-même. Par exemple, le fichier MS Word contient les métadonnées en termes de nom d'auteur, nom de société, date et heure de la dernière modification et enregistrement du document. Il y aurait un problème de sécurité si un attaquant pouvait obtenir un accès passif aux métadonnées.

Surveillance du trafic

Elle peut être définie comme la technique de connexion à un réseau interne et de capture de données pour une analyse hors ligne. Il est principalement utilisé pour capturer le“leaking of data” sur un réseau commuté.

Validation

Après les tests de vulnérabilité, la validation des résultats est très nécessaire. Cela peut être fait à l'aide des techniques suivantes -

Corrélation entre les outils

Si un évaluateur effectue des tests de vulnérabilité avec plusieurs outils automatisés, pour valider les résultats, il est très nécessaire d'avoir une corrélation entre ces outils. Les résultats peuvent devenir compliqués s'il n'y a pas de telle corrélation entre les outils. Elle peut être décomposée en corrélation spécifique d'éléments et en corrélation catégorielle d'éléments.

Validation spécifique au protocole

La validation peut également être effectuée à l'aide de protocoles. VPN, Citrix, DNS, Web, serveur de messagerie peuvent être utilisés pour valider les résultats.

Recherche

Après la découverte et la validation de la vulnérabilité dans un système, il est essentiel de déterminer l'exactitude de l'identification du problème et de rechercher l'exploitabilité potentielle de la vulnérabilité dans le cadre du test de pénétration. La recherche peut être effectuée en public ou en privé. Lors de la recherche publique, la base de données de vulnérabilité et les avis des fournisseurs peuvent être utilisés pour vérifier l'exactitude d'un problème signalé. D'autre part, tout en effectuant des recherches privées, un environnement de réplique peut être défini et des techniques telles que le fuzzing ou les configurations de test peuvent être appliquées pour vérifier l'exactitude d'un problème signalé.

Phase d'exploitation

Il s'agit de la cinquième phase du PTES. Cette phase se concentre sur l'accès au système ou à la ressource en contournant les restrictions de sécurité. Dans cette phase, tout le travail effectué par les phases précédentes conduit à accéder au système. Il existe quelques termes courants utilisés pour accéder au système:

  • Popped
  • Shelled
  • Cracked
  • Exploited

La connexion au système, en phase d'exploitation, peut être effectuée à l'aide de code, d'un exploit à distance, de la création d'un exploit, en contournant l'antivirus ou cela peut être aussi simple que la journalisation via des informations d'identification faibles. Après avoir obtenu l'accès, c'est-à-dire après avoir identifié le point d'entrée principal, l'évaluateur doit se concentrer sur l'identification des actifs cibles de grande valeur. Si la phase d'analyse de la vulnérabilité a été correctement achevée, une liste de cibles de grande valeur aurait dû être respectée. En fin de compte, le vecteur d'attaque doit prendre en compte la probabilité de succès et l'impact le plus élevé sur l'organisation.

Phase post-exploitation

Il s'agit de la sixième phase du PTES. Un évaluateur entreprend les activités suivantes au cours de cette phase -

Analyse d'infrastructure

L'analyse de l'ensemble de l'infrastructure utilisée lors des tests d'intrusion est effectuée dans cette phase. Par exemple, l'analyse du réseau ou de la configuration du réseau peut être effectuée à l'aide d'interfaces, de routage, de serveurs DNS, d'entrées DNS en cache, de serveurs proxy, etc.

Pillage

Il peut être défini comme l'obtention des informations des hôtes ciblés. Ces informations sont pertinentes par rapport aux objectifs définis lors de la phase de pré-évaluation. Ces informations peuvent être obtenues à partir de programmes installés, de serveurs spécifiques tels que des serveurs de base de données, une imprimante, etc. sur le système.

Exfiltration de données

Dans le cadre de cette activité, l'évaluateur est tenu de cartographier et de tester tous les chemins d'exfiltration possibles afin que la mesure de la force de contrôle, c'est-à-dire la détection et le blocage des informations sensibles de l'organisation, puisse être entreprise.

Créer de la persistance

Cette activité comprend l'installation d'une porte dérobée qui nécessite une authentification, le redémarrage des portes dérobées si nécessaire et la création de comptes alternatifs avec des mots de passe complexes.

Nettoyer

Comme son nom l'indique, ce processus couvre les exigences de nettoyage du système une fois le test de pénétration terminé. Cette activité comprend le retour aux paramètres système des valeurs d'origine, les paramètres de configuration de l'application et la suppression de toutes les portes dérobées installées et de tous les comptes d'utilisateurs créés.

Rapports

Il s'agit de la phase finale et la plus importante du PTES. Ici, le client paie sur la base du rapport final après l'achèvement du test de pénétration. Le rapport est essentiellement un miroir des constatations faites par l'évaluateur sur le système. Voici les parties essentielles d'un bon rapport -

Résumé

Il s'agit d'un rapport qui communique au lecteur les objectifs spécifiques du test de pénétration et les résultats de haut niveau de l'exercice de test. Le public visé peut être un membre du conseil consultatif du chef suite.

Scénario

Le rapport doit contenir un scénario, qui expliquera ce qui a été fait pendant l'engagement, les constatations ou les faiblesses réelles en matière de sécurité et les contrôles positifs que l'organisation a établis.

Preuve de concept / rapport technique

La preuve de concept ou le rapport technique doit comprendre les détails techniques du test et tous les aspects / composants convenus comme indicateurs de succès clés dans l'exercice de pré-engagement. La section du rapport technique décrira en détail la portée, les informations, le chemin d'attaque, l'impact et les suggestions de correction du test.