Pentesting, White Hat Hacking : Les différentes méthodologies
Découvrez l'éthique et les différentes méthodologies qui se cachent derrière chaque test d'intrusion.
Temps de lecture : 5 minutes
Les tests d'intrusion peuvent avoir une grande variété d'objectifs et de cibles dans leur portée. Pour cette raison, aucun test d'intrusion n'est identique, et il n'y a pas de cas unique quant à la façon dont un testeur d'intrusion devrait l'aborder.
Introduction
Les étapes suivies par un testeur d'intrusion lors d'un engagement sont appelées la méthodologie. Une méthodologie pratique est une méthodologie intelligente, où les mesures prises sont pertinentes pour la situation actuelle. Par exemple, avoir une méthodologie que vous utiliseriez pour tester la sécurité d'une application Web n'est pas pratique lorsque vous devez tester la sécurité d'un réseau.
Avant de discuter de différentes méthodologies standard de l'industrie, nous devons noter que toutes ont un thème général des étapes suivantes :
| Organiser | La description |
|---|---|
| La collecte d'informations | Cette étape implique de collecter autant d'informations accessibles au public sur une cible/organisation que possible, par exemple, OSINT et la recherche. Remarque : Cela n'implique pas l'analyse des systèmes. |
| Énumération/balayage | Cette étape implique la découverte des applications et des services exécutés sur les systèmes. Par exemple, trouver un serveur Web potentiellement vulnérable. |
| Exploitation | Cette étape consiste à exploiter les vulnérabilités découvertes sur un système ou une application. Cette étape peut impliquer l'utilisation d'exploits publics ou l'exploitation de la logique d'application. |
| Escalade des privilèges | Une fois que vous avez réussi à exploiter un système ou une application (connue sous le nom de foothold), cette étape est la tentative d'étendre votre accès à un système. Vous pouvez escalader horizontalement et verticalement, où horizontalement accède à un autre compte du même groupe d'autorisations (c'est-à-dire un autre utilisateur), alors que verticalement c'est celui d'un autre groupe d'autorisations (c'est-à-dire un administrateur). |
| Post-exploitation | Cette étape comporte quelques sous-étapes : Quels autres hébergeurs peuvent être ciblés (pivot) ; Quelles informations supplémentaires pouvons-nous recueillir auprès de l'hébergeur maintenant que nous sommes un utilisateur privilégié ;Couvrir vos traces ; Rapports |
OWASP
Le framework « Open Web Application Security Project » est un framework piloté par la communauté et fréquemment mis à jour, utilisé uniquement pour tester la sécurité des applications et des services Web.
La fondation rédige régulièrement des rapports indiquant les dix principales vulnérabilités de sécurité qu'une application Web peut avoir, l'approche de test et la correction.
| Avantages | Désavantages |
|---|---|
| Facile à saisir et à comprendre. | Le type de vulnérabilité d'une application Web peut ne pas être clair (elles peuvent souvent se chevaucher). |
| Maintenu activement et fréquemment mis à jour. | L'OWASP ne fait aucune suggestion concernant des cycles de vie de développement de logiciels spécifiques. |
| Il couvre toutes les étapes d'un engagement : des tests aux rapports et à la correction. | Le cadre ne détient aucune accréditation telle que CHECK. |
| Spécialisé dans les applications et services web. | Intentionnellement laissé en blanc. |
Cadre de cybersécurité NIST 1.1
Le NIST Cybersecurity Framework est un cadre populaire utilisé pour améliorer les normes de cybersécurité d'une organisation et gérer le risque de cybermenaces. Ce cadre est un peu une mention honorable en raison de sa popularité et de ses détails.
Le cadre fournit des lignes directrices sur les contrôles de sécurité et des critères de réussite pour les organisations, des infrastructures critiques (centrales électriques, etc.) jusqu'au commercial. Il y a une section limitée sur une directive standard pour la méthodologie qu'un testeur d'intrusion devrait suivre.
| Avantages | Désavantages |
|---|---|
| On estime que le NIST Framework sera utilisé par 50% des organisations américaines d'ici 2020. | Le NIST a de nombreuses itérations de cadres, il peut donc être difficile de décider lequel s'applique à votre organisation. |
| Le cadre est extrêmement détaillé dans l'établissement de normes pour aider les organisations à atténuer la menace posée par les cybermenaces. | Le cadre NIST a des politiques d'audit faibles, ce qui rend difficile de déterminer comment une violation s'est produite. |
| Le cadre est très fréquemment mis à jour. | Le cadre ne prend pas en compte le cloud computing, qui devient rapidement de plus en plus populaire pour les organisations. |
| Le NIST fournit une accréditation aux organisations qui utilisent ce cadre. | Intentionnellement laissé en blanc. |
| Le framework NIST est conçu pour être mis en œuvre avec d'autres frameworks. | Intentionnellement laissé en blanc. |
NCSC CAF
Le Cyber Assessment Framework (CAF) est un cadre étendu de quatorze principes utilisés pour évaluer le risque de diverses cybermenaces et les défenses d'une organisation contre celles-ci.
Le cadre s'applique aux organisations considérées comme exécutant des "services et activités d'une importance vitale" telles que les infrastructures critiques, les banques, etc. Le cadre se concentre principalement sur et évalue les sujets suivants :
- Sécurité des données
- Sécurité du système
- Identité et contrôle d'accès
- Élasticité
- Surveillance
- Planification de la réponse et du rétablissement
| Avantages | Désavantages |
|---|---|
| Ce cadre est soutenu par une agence gouvernementale de cybersécurité. | Le cadre est encore nouveau dans l'industrie, ce qui signifie que les organisations n'ont pas eu beaucoup de temps pour apporter les modifications nécessaires pour s'y adapter. |
| Ce cadre fournit une accréditation. | Le cadre est basé sur des principes et des idées et n'est pas aussi direct que d'avoir des règles comme certains autres cadres. |
| Ce cadre couvre quatorze principes qui vont de la sécurité à la réponse. | Intentionnellement laissé en blanc. |