Pentesting, White Hat Hacking : Les grands principes
Les mesures, les cadres et les protocoles dont il est question dans cet article jouent tous un petit rôle dans la « Défense en profondeur ».
Temps de lecture : 11 minutes
La défense en profondeur consiste à utiliser plusieurs couches de sécurité variées pour les systèmes et les données d'une organisation dans l'espoir que plusieurs couches fourniront une redondance dans le périmètre de sécurité d'une organisation.
- La triade de la CIA
- Principes des privilèges
- Modèles de sécurité suite
- Modélisation des menaces et réponse aux incidents
La triade de la CIA
La triade CIA est un modèle de sécurité de l'information qui est utilisé en considération tout au long de la création d'une politique de sécurité. Ce modèle a une longue expérience, allant de son utilisation en 1998.
Cet historique est dû au fait que la sécurité des informations (sécurité de l'information) ne commence pas et/ou ne se termine pas avec la cybersécurité, mais s'applique plutôt à des scénarios tels que le classement, le stockage des enregistrements, etc.
Constitué de trois sections : Confidentialité, Intégrité et Disponibilité ( CIA ), ce modèle est rapidement devenu un standard de l'industrie aujourd'hui . Ce modèle devrait aider à déterminer la valeur des données auxquelles il s'applique et, à son tour, l'attention dont il a besoin de la part de l'entreprise.
La triade CIA est différente d'un modèle traditionnel où vous avez des sections individuelles ; il s'agit plutôt d'un cycle continu. Alors que les trois éléments de la triade de la CIA peuvent sans doute se chevaucher, si même un seul élément n'est pas satisfait, les deux autres sont rendus inutiles (similaire au triangle du feu). Si une politique de sécurité ne répond pas à ces trois sections, il s'agit rarement d'une politique de sécurité efficace.
Alors que les trois éléments de la triade CIA sont sans doute explicites, explorons-les et contextualisons-les dans la cybersécurité.
Confidentialité
Cet élément est la protection des données contre les accès non autorisés et les abus. Les organisations auront toujours une certaine forme de données sensibles stockées sur leurs systèmes. Assurer la confidentialité, c'est protéger ces données des tiers auxquels elles ne sont pas destinées.
Il existe de nombreux exemples concrets pour cela, par exemple, les dossiers des employés et les documents comptables seront considérés comme sensibles. La confidentialité sera assurée dans le sens où seuls les administrateurs RH auront accès aux dossiers des employés, où des vérifications et des contrôles d'accès stricts sont en place. Les documents comptables sont moins précieux (et donc moins sensibles), donc pas car des contrôles d'accès stricts seraient en place pour ces documents. Ou, par exemple, les gouvernements utilisant un système de classification de sensibilité (top-secret, classifié, non classifié)
Intégrité
L'élément d'intégrité de la triade de la CIA est la condition dans laquelle les informations restent exactes et cohérentes à moins que des modifications autorisées ne soient apportées. Il est possible que les informations changent en raison d'un accès et d'une utilisation imprudents, d'erreurs dans le système d'information ou d'un accès et d'une utilisation non autorisés. Dans la triade CIA, l'intégrité est maintenue lorsque les informations restent inchangées pendant le stockage, la transmission et l'utilisation n'impliquant pas de modification des informations. Des mesures doivent être prises pour s'assurer que les données ne peuvent pas être modifiées par des personnes non autorisées (par exemple, en cas de violation de la confidentialité).
De nombreuses défenses pour assurer l'intégrité peuvent être mises en place. Un contrôle d'accès et une authentification rigoureuse peuvent aider à empêcher les utilisateurs autorisés d'effectuer des modifications non autorisées. Les vérifications de hachage et les signatures numériques peuvent aider à garantir que les transactions sont authentiques et que les fichiers n'ont pas été modifiés ou corrompus.
Disponibilité
Pour que les données soient utiles, elles doivent être disponibles et accessibles par l'utilisateur.
La principale préoccupation de la triade CIA est que les informations soient disponibles lorsque les utilisateurs autorisés doivent y accéder.
La disponibilité est très souvent un critère clé pour une organisation. Par exemple, avoir une disponibilité de 99,99 % sur leurs sites Web ou leurs systèmes (cela est défini dans les accords de niveau de service). Lorsqu'un système n'est pas disponible, il en résulte souvent des dommages à la réputation d'une organisation et une perte de finances. La disponibilité est obtenue grâce à une combinaison de nombreux éléments, notamment :
- Avoir du matériel fiable et bien testé pour leurs serveurs de technologie de l'information (c'est-à-dire des serveurs réputés)
- Avoir une technologie et des services redondants en cas de panne du primaire
- Mettre en œuvre des protocoles de sécurité bien rodés pour protéger la technologie et les services contre les attaques
Principes des privilèges
Il est essentiel d'administrer et de définir correctement les différents niveaux d'accès à un système informatique dont les individus ont besoin.
Les niveaux d'accès accordés aux individus sont déterminés en fonction de deux facteurs principaux :
- Le rôle/la fonction de l'individu au sein de l'organisation
- La sensibilité des informations stockées sur le système
Deux concepts clés sont utilisés pour attribuer et gérer les droits d'accès des individus, deux concepts clés sont utilisés : Privileged Identity Management (PIM) et Privileged Access Management (ou PAM en abrégé).
Au départ, ces deux concepts peuvent sembler se chevaucher ; cependant, ils sont différents les uns des autres. PIM est utilisé pour traduire le rôle d'un utilisateur au sein d'une organisation en un rôle d'accès sur un système. Alors que PAM est la gestion des privilèges du rôle d'accès d'un système, entre autres choses.
Ce qui est essentiel lorsqu'il est question de privilèges et de contrôles d'accès, c'est le principe du moindre privilège. Simplement, les utilisateurs doivent recevoir le minimum de privilèges, et uniquement ceux qui leur sont absolument nécessaires pour accomplir leurs tâches. Les autres personnes devraient pouvoir faire confiance à ce à quoi les gens écrivent.
Comme nous l'avons mentionné précédemment, PAM intègre plus que l'attribution d'accès. Cela englobe également l'application de politiques de sécurité telles que la gestion des mots de passe, les politiques d'audit et la réduction de la surface d'attaque à laquelle un système est confronté.
Modèles de sécurité suite
Avant de discuter plus en détail des modèles de sécurité, rappelons les trois éléments de la triade CIA : confidentialité, intégrité et disponibilité. Nous avons décrit précédemment ce que sont ces éléments et leur importance. Cependant, il existe un moyen formel d'y parvenir.
Selon un modèle de sécurité, tout système ou élément technologique stockant des informations est appelé un système d'information, c'est ainsi que nous référencerons les systèmes et les appareils dans cette tâche.
Explorons quelques modèles de sécurité populaires et efficaces utilisés pour réaliser les trois éléments de la triade CIA.
Le modèle Bell-La Padula
Le modèle Bell-La Padula est utilisé pour assurer la confidentialité. Ce modèle repose sur quelques hypothèses, telles que la structure hiérarchique d'une organisation dans laquelle il est utilisé, où les responsabilités/rôles de chacun sont bien définis.
Le modèle fonctionne en accordant l'accès à des éléments de données (appelés objets) sur une base strictement nécessaire. Ce modèle utilise la règle "pas d'écriture, pas de lecture".
| Avantages | Désavantages |
|---|---|
| Les politiques de ce modèle peuvent être répliquées dans des hiérarchies d'organisations réelles (et vice versa) | Même si un utilisateur n'a pas accès à un objet, il connaîtra son existence -- il n'est donc pas confidentiel à cet égard. |
| Simple à mettre en œuvre et à comprendre, et a fait ses preuves. | Le modèle repose sur une grande confiance au sein de l'organisation. |
Le modèle Bell LaPadula est populaire au sein d'organisations telles que gouvernementales et militaires. En effet, les membres des organisations sont présumés avoir déjà suivi un processus appelé vérification. La vérification est un processus de sélection où les antécédents des candidats sont examinés pour établir le risque qu'ils représentent pour l'organisation. Par conséquent, les candidats qui sont examinés avec succès sont supposés être dignes de confiance - c'est là que ce modèle s'intègre.
Le modèle Biba
Le modèle Biba est sans doute l'équivalent du modèle Bell-La Padula mais pour l'intégrité de la triade CIA.
Ce modèle applique la règle aux objets (données) et aux sujets (utilisateurs) qui peuvent être résumés par "pas d'écriture, pas de lecture". Cette règle signifie que les sujets peuvent créer ou écrire du contenu sur des objets à leur niveau ou en dessous, mais ne peuvent lire que le contenu des objets au-dessus du niveau du sujet.
Comparons quelques avantages et inconvénients de ce modèle dans le tableau ci-dessous :
| Avantages | Désavantages |
|---|---|
| Ce modèle est simple à mettre en œuvre. | Il y aura plusieurs niveaux d'accès et d'objets. Les choses peuvent être facilement négligées lors de l'application des contrôles de sécurité. |
| Résout les limites du modèle Bell-La Padula en traitant à la fois la confidentialité et l'intégrité des données. | Entraîne souvent des retards au sein d'une entreprise. Par exemple, un médecin ne pourrait pas lire les notes prises par une infirmière dans un hôpital avec ce modèle. |
Le modèle Biba est utilisé dans des organisations ou des situations où l'intégrité est plus importante que la confidentialité. Par exemple, dans le développement de logiciels, les développeurs peuvent n'avoir accès qu'au code nécessaire à leur travail. Ils peuvent ne pas avoir besoin d'accéder à des éléments d'information critiques tels que des bases de données, etc.
Modélisation des menaces et réponse aux incidents
La modélisation des menaces est le processus d'examen, d'amélioration et de test des protocoles de sécurité en place dans l'infrastructure et les services de technologie de l'information d'une organisation.
Une étape critique du processus de modélisation des menaces consiste à identifier les menaces probables auxquelles une application ou un système peut être confronté, les vulnérabilités auxquelles un système ou une application peut être vulnérable.
Le processus de modélisation des menaces est très similaire à une évaluation des risques effectuée sur les lieux de travail pour les employés et les clients. Les principes reviennent tous à :
- Préparation
- Identification
- Atténuations
- Examen
Il s'agit cependant d'un processus complexe qui nécessite un examen et une discussion constants avec une équipe dédiée. Un modèle de menace efficace comprend :
- Renseignements sur les menaces
- Identification des actifs
- Capacités d'atténuation
- L'évaluation des risques
Pour aider à cela, il existe des frameworks tels que STRIDE ( S poofing identity, Tampering with data, R epudiation Menaces, I nformation Disclosure , D enial of Service and Elevation of Privilèges) et PASTA ( P rocess for A ttack S imulation and T hreat A nalysis) infosec n'a jamais été aussi bon !. Détaillons STRIDE ci-dessous. STRIDE, rédigé par deux chercheurs en sécurité de Microsoft en 1999, est toujours d'actualité aujourd'hui. STRIDE comprend six grands principes, que j'aidétaillé dans le tableau ci-dessous :
| Principe | Description |
|---|---|
| Usurpation | Ce principe vous oblige à authentifier les requêtes et les utilisateurs accédant à un système. L'usurpation d'identité implique qu'une partie malveillante s'identifie à tort comme une autre. Les clés d'accès (telles que les clés API) ou les signatures via le chiffrement permettent de remédier à cette menace. |
| Falsification | En fournissant des mesures anti-falsification à un système ou à une application, vous contribuez à assurer l'intégrité des données. Les données consultées doivent rester intégrales et exactes. Par exemple, les magasins utilisent des sceaux sur les produits alimentaires. |
| Répudiation | Ce principe dicte l'utilisation de services tels que la journalisation de l'activité d'un système ou d'une application à suivre. |
| Divulgation d'information | Les applications ou les services qui gèrent les informations de plusieurs utilisateurs doivent être correctement configurés pour afficher uniquement les informations pertinentes pour le propriétaire. |
| Déni de service | Les applications et les services utilisent les ressources système, ces deux choses doivent avoir des mesures en place afin que l'abus de l'application/du service n'entraîne pas la panne de l'ensemble du système. |
| Élévation de privilège | Il s'agit du pire scénario pour une application ou un service. Cela signifie qu'un utilisateur a pu faire passer son autorisation à celle d'un niveau supérieur, c'est-à-dire un administrateur. Ce scénario conduit souvent à une exploitation plus poussée ou à la divulgation d'informations. |
Une violation de la sécurité est connue sous le nom d'incident. Et malgré tous les modèles de menaces rigoureux et les conceptions de systèmes sécurisés, des incidents se produisent. Les mesures prises pour résoudre et remédier à la menace sont connues sous le nom de réponse aux incidents (IR) et constituent tout un cheminement de carrière dans la cybersécurité.
Les incidents sont classés selon une cote d'urgence et d'impact. L'urgence sera déterminée par le type d'attaque rencontrée, où l'impact sera déterminé par le système affecté et quel impact cela a sur les opérations commerciales.
Un incident est traité par une équipe de réponse aux incidents de sécurité informatique ( CSIRT ) qui est un groupe préétabli d' employés ayant des connaissances techniques sur les systèmes et/ou l'incident en cours. Pour résoudre un incident avec succès, ces étapes sont souvent appelées les six phases de réponse aux incidents qui ont lieu, répertoriées dans le tableau ci-dessous :
| Action | Description | | Préparation | Avons-nous les ressources et les plans en place pour faire face à l'incident de sécurité ? | | Identification | La menace et l'auteur de la menace ont-ils été correctement identifiés afin que nous puissions y répondre ? | | Endiguement | La menace/l'incident de sécurité peut-il être contenu pour empêcher d'autres systèmes ou utilisateurs d'être impactés ? | | Éradication | Supprimez la menace active. | | Récupération | Effectuez un examen complet des systèmes concernés pour revenir aux opérations habituelles. | | Leçons apprises | Que peut-on retenir de l'incident ? C'est-à-dire que si cela était dû à un e-mail de phishing, les employés devraient être mieux formés pour détecter les e-mails de phishing. |