Qui va gagner la bataille des pirates et des ninjas? Je sais, vous pensez: "Qu'est-ce que ça a à voir avec la sécurité?" Lisez la suite pour le découvrir, mais choisissez d'abord: Pirates ou Ninjas?
Avant de faire un tel choix, vous devez connaître leurs forces et leurs faiblesses:
Pirates |
|---|
| Forces | Faiblesses |
| Puissant | Fort |
| Bon dans les attaques par force brute | Ivre (certains pensent que cela pourrait être un avantage) |
| Bon en vol | Peut être négligent |
| Longue portée | |
Ninja |
|---|
| Forces | Faiblesses |
| Rapide | Pas d'armure |
| Secret | Petit |
| Appelé à enseigner | |
| Maîtrise de mêlée | |
Tout se résume à ce qui est plus utile dans une situation donnée. Si vous cherchez un trésor sur une île perdue et que vous risquez de tomber sur la flotte de Sa Majesté, vous n'aurez probablement pas besoin d'un ninja. Si vous préparez une tentative, les pirates ne sont pas ceux sur lesquels vous pouvez compter.
La même histoire avec pentest et redtime. Les deux approches ont à la fois des forces et des faiblesses, ce qui rend l'une d'entre elles plus préférable en fonction des conditions. Pour en tirer le meilleur parti, vous devez identifier les objectifs, puis décider ce qui fonctionne le mieux pour eux.
Test de pénétration
Pentest est généralement confondu avec d'autres méthodes d'évaluation de la sécurité: recherche de vulnérabilités et redite. Mais bien que ces approches aient des composantes communes, elles sont toujours différentes et devraient être utilisées dans des contextes différents.
En fait, ce pentest est d'identifier le nombre maximum de vulnérabilités et d'erreurs de configuration dans le temps imparti, ainsi que leur fonctionnement pour déterminer le niveau de risque. Cela ne doit pas inclure une recherche de producteurs de céréales, le plus souvent c'est une recherche de vulnérabilités ouvertes connues. Comme dans le cas de la recherche de vulnérabilités, le pentest est conçu pour identifier les vulnérabilités et rechercher les erreurs du premier type (faux positifs).
Cependant, pendant le pentest, l'examinateur va plus loin, essayant d'exploiter la vulnérabilité. Cela peut se faire de plusieurs manières, et lorsque la vulnérabilité est exploitée, un bon pentester ne s'arrête pas. Il continue de rechercher et d'exploiter d'autres vulnérabilités, combinant des attaques pour atteindre l'objectif. Toutes les organisations fixent ces objectifs de différentes manières, mais elles incluent généralement l'accès aux données personnelles, aux informations médicales et aux secrets commerciaux. Parfois, cela nécessite un accès au niveau de l'administrateur de domaine, mais souvent vous pouvez vous en passer, ou même un accès à ce niveau ne suffit pas.
Qui a besoin d'un pentest? Certaines agences gouvernementales l'exigent, mais les organisations qui effectuent déjà des audits internes réguliers, une formation et une surveillance de la sécurité sont généralement prêtes pour un tel test.
Évaluation de l'équipe rouge
Redtimeing est un peu comme un pentest, mais plus concentré. L'objectif de l'équipe rouge n'est pas de trouver le nombre maximum de vulnérabilités. L'objectif est de tester la capacité de l'organisation à détecter et à prévenir les intrusions. Les attaquants ont accès aux informations sensibles de toutes les manières possibles, essayant de passer inaperçus. Ils émulent des attaques ciblées par un attaquant similaire à
APT . De plus, le temps rouge, en règle générale, est plus long que le pentest. Pentest prend généralement 1-2 semaines, tandis que le temps rouge peut durer 3-4 semaines ou plus, impliquant plusieurs personnes.
Pendant le redtime, des tas de vulnérabilités ne sont pas recherchées, mais seulement celles qui sont nécessaires pour atteindre l'objectif. Les objectifs sont généralement les mêmes que pour le pentest. Lors de la réduction, des méthodes sont utilisées telles que l'ingénierie sociale (physique et électronique), les attaques sur les réseaux sans fil, les actifs externes, etc. Ces tests ne sont pas pour tout le monde, mais uniquement pour les organisations ayant un niveau de sécurité de l'information mature. De telles organisations ont généralement déjà réussi les pentests, corrigé la plupart des vulnérabilités et ont déjà de l'expérience pour s'opposer avec succès aux tests de pénétration.
La redestimation peut avoir lieu comme suit:
Un membre de l'équipe rouge sous l'apparence d'un facteur entre dans le bâtiment. Une fois à l'intérieur, il connecte l'appareil au réseau interne de l'organisation pour un accès à distance. L'appareil établit un tunnel réseau en utilisant l'un des ports autorisés: 80, 443 ou 53 (HTTP, HTTPS ou DNS), fournissant un canal C2 pour la commande rouge. Un autre membre de l'équipe, utilisant ce canal, commence à progresser dans l'infrastructure réseau, en utilisant, par exemple, des imprimantes non protégées ou d'autres appareils qui aideront à masquer le point de pénétration dans le réseau. Ainsi, l'équipe rouge explore le réseau interne jusqu'à ce qu'il atteigne son objectif, essayant de rester en dessous du radar.
Ce n'est qu'une des nombreuses méthodes que l'équipe rouge peut utiliser, mais c'est un bon exemple de certains des tests que nous avons effectués.
Alors ... Pirates ou Ninjas?
Revenons aux pirates contre le ninja. Si vous supposiez que les pentesters sont des pirates et que les redimers sont des ninjas, vous avez bien deviné. Lequel est le meilleur? Il s'agit souvent des mêmes personnes utilisant différentes méthodes et techniques pour différents examens. La vraie réponse pour trouver le meilleur est la même que dans le cas des pirates et des ninjas: pas nécessairement quelqu'un de mieux. Chacun est plus utile dans certaines situations. Vous n'avez pas besoin de pirates pour des opérations secrètes, ni de ninjas pour labourer les mers à la recherche d'un trésor. Il ne vaut pas non plus la peine d'utiliser un pentest pour évaluer la réponse aux incidents et les temps rouges pour trouver les vulnérabilités.