Offre Mission PEN-TESTING (Tests de Pénétration)

Transcription

1 Offre Mission PEN-TESTING (Tests de Pénétration) RWISSI Networking Page 1 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

2 Sommaire I. Le Contexte Technologique...3 II. Qu est ce qu un Pen-Testing?...3 III. Pourquoi commander un Pen-Testing?... 4 IV. Comment intervenons-nous?... 4 A. Phase 1 : Définition de la portée des tests... 5 B. Phase 2 : Réalisation des tests de pénétration... 6 C. Phase 3 : Établissement et diffusion des résultats... 7 V. Pourquoi faire appel à nous?... 7 VI. Notre consultant...8 RWISSI Networking Page 2 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

3 I. Le Contexte Technologique De nos jours, les échanges électroniques sont devenus la clé de réussite de toute organisation.c est ce qui explique le rapide développement du commerce électronique et maintenant de l e-gouvernement ou l eadministration. L ouverture électronique expose les organisations à une nouvelle forme de délinquance et de vandalisme : la criminalité numérique. Pour se protéger et protéger leurs informations clés, les organisations mettent en oeuvre une stratégie de sécurité en implémentant les tous derniers produits et services pour prévenir les fraudes, les actes de vandalisme ou de sabotage et les attaques par déni de service. Dans cette course à la sécurité informatique, la plupart des entreprises ont fortement investi dans des produits et services de sécurité pour protéger leurs réseaux et systèmes d exploitation contre la perte et la destruction malveillante ou accidentelle des services et informations ; La majeure partie d entre elles oublient trop souvent une étape essentielle : vérifier que ces mesures de sécurité sont correctement implémentées et appliquées. Face à des menaces Internet qui se veulent de plus en plus récurrentes et difficilement détectables, le «Pen- Testing» ou tests de pénétration permet aux organisations d expérimenter de manière concrète leur vulnérabilité aux attaques, mais sans en subir les conséquences. II. Qu est ce qu un Pen-Testing? D une manière simple, un test de pénétration (ou analyse de la sécurité, audit des vulnérabilités ou encore analyse des risques techniques) est le processus par lequel sont évaluées les mesures de sécurité et l infrastructure de sécurité par une approche proactive. Le Pen-Testing, en recherchant les faiblesses d un environnement réseau et/ou d un système d information, contribue à affiner la stratégie de sécurité d une entreprise, à en identifier les faiblesses et à vérifier l adéquation de la sécurité mise en oeuvre avec le niveau de sécurité attendue. Les tests mettent également en évidence les faiblesses qui peuvent être introduites après application des correctifs ou des mises à jour, ou à la suite d une mauvaise configuration des serveurs, routeurs et pare-feu. L exécution régulière de ces tests permet aux organisations d identifier les failles de sécurité réseau susceptibles d entraîner la perte partielle ou totale de ses données ou équipements du fait d exploits, de RWISSI Networking Page 3 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

4 chevaux de Troie, d attaques par déni de service ou d autres types d intrusions. III. Pourquoi commander un Pen-Testing? D un point de vu management, une mission de tests de pénétration vous aide à mieux protéger votre entreprise contre les attaques grâce à: La prévention des pertes financières à cause des fraudes (pirates, extorqueur et employées mécontents) ou à cause d un dysfonctionnement d un système ou d un processus. L assurance de la Due Diligence et de la conformité par rapport aux législations en vigueur relatives à votre coeur de métier, aux clients et aussi à vos associés. La non conformité peut avoir comme conséquence la perte des marchés, des lourdes pénalités ou bien même la faillite. La protection de votre image de marque en évitant la perte de confiance de vos clients et de votre réputation dans le domaine. D un point de vu opérationnel, une mission de tests de pénétration vous aide à optimiser votre stratégie de sécurité de l information grâce à: L identification des vulnérabilités et la quantification de leurs impacts et de leur probabilités de survenance pour qu elles soient traitées d une manière proactive; le budget nécessaire sera ainsi prévu et les mesures correctives seront vite implémentées. IV. Comment intervenons-nous? L objectif global d un Pen-Testing est de découvrir les faiblesses de sécurité du réseau de l entreprise que les intrus peuvent exploiter. Différents types de test de pénétration sont nécessaires pour les différents périphériques réseau. Par exemple, le test effectué pour un pare-feu sera différent de celui effectué pour l ordinateur d un utilisateur standard. Même le test de pénétration des périphériques situés dans la zone démilitarisée (DMZ) diffère d une analyse visant à déterminer les points d une possible pénétration réseau. Le processus de test se décompose essentiellement en trois phases : - Définition de la portée des tests RWISSI Networking Page 4 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

5 - Réalisation des tests de pénétration - Établissement et diffusion des résultats A. Phase 1 : Définition de la portée des tests La portée d un test de pénétration est déterminée en fonction de l importance des données situées sur la machine à tester et des besoins de connectivité à un service donné. Au cours de cette phase, l entreprise joue un rôle majeur. Test intégral ou ciblé L organisation doit décider si elle souhaite effectuer un test intégral du réseau ou un test ciblé sur certains périphériques uniquement, comme le pare-feu, ou les deux. Nous conseillons généralement de procéder aux deux tests pour déterminer le degré d exposition à l infrastructure publique, ainsi que la sécurité des différentes cibles. Parmi les cibles à prendre en compte, on peut citer les pare-feu, les routeurs, les Serveurs Web, les serveurs de messagerie, les serveurs FTP (File Transfer Protocol) et les serveurs DNS (Domain-Name-System, Système de noms de domaine). Périphériques, systèmes et mots de passe L organisation doit également choisir le type de test à effectuer. Par exemple, recherche t-elle uniquement les faiblesses pouvant entraîner l altération d un périphérique ou souhaite-t-elle également connaître les possibilités d attaques par déni de service? Par ailleurs, l organisation doit déterminer si elle nous autorise à intervenir sur son fichier de mots de passe pour tester le choix des mots de passe par les utilisateurs, et si elle accepte de laisser ses périphériques faire l objet d un piratage de ses mots de passe sur le réseau. Test local ou distant L organisation doit ensuite décider si les tests seront effectués à distance via Internet ou sur site via le réseau local. Cette décision dépend très largement des cibles à tester et des mesures de sécurité existantes. Par exemple, le test distant d une machine située derrière un pare-feu masquant une traduction d adresses réseau pour l accès à Internet échouera si le pare-feu bloque correctement l accès à cette machine. RWISSI Networking Page 5 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

6 B. Phase 2 : Réalisation des tests de pénétration Le processus de test débute par la collecte du maximum d informations possible sur l architecture réseau, la topologie et le matériel et les logiciels employés, pour permettre l identification de toutes les faiblesses de sécurité. La recherche d informations publiques, telles que les enregistrements Whois, les dossiers de la U.S. Securities Exchange Commission (SEC), les articles de presse relatifs aux sociétés, les brevets et les marques commerciales, nous offre non seulement des informations générales mais leur permet également d identifier les informations que peuvent exploiter les pirates pour trouver des faiblesses. Des outils comme l utilitaire ping, Traceroute ou nslookup peuvent être employés pour récupérer des informations de l environnement cible et déterminer l architecture, la topologie réseau, ainsi que le fournisseur d accès. Des outils comme les scanneurs de ports, NMAP (Network Mapping), SNMP (Simple Network Management Protocol) et NAT (NetBios Auditing Tool), permettent de déterminer le matériel, les systèmes d exploitation, les niveaux de correction et les services exécutés sur chaque périphérique cible. Après avoir collecté des informations sur l ensemble des cibles, l équipe exploite ces informations pour configurer des outils d analyse commerciaux, comme Internet Security Systems Internet Scanner, le scanner CyberCop de McAfee et des freewares comme Nessus et Satan, pour rechercher les faiblesses. L utilisation de ces outils gratuits et payants accélère sensiblement le processus d analyse. Au terme de l analyse de vulnérabilité, les faux positifs et négatifs sont recherchés dans les résultats. Toutes les faiblesses susceptibles de constituer une faille sont réexaminées à l aide d autres outils ou de scripts personnalisés. Pour rechercher de nouvelles faiblesses non mises à jour dans les scanneurs des utilitaires payants ou gratuits, nous effectuons d autres tests et exécutons les tous derniers exploits. Cette dernière étape est nécessaire car de nouveaux exploits apparaissent tous les jours et qu il peut s écouler des semaines, voire des mois avant que ces faiblesses ne soient insérées dans les bases de données de signatures de ces outils d analyse automatisés. Une fois l analyse terminée, nous recherchons d autres points des tests de pénétration comme les faiblesses des mots de passe et les attaques par déni de service. Pour détecter de telles attaques dans un environnement de production sans arrêter le périphérique analysé, une entreprise peut créer un doublon du périphérique et placer l image miroir sur un poste similaire en vue du test. RWISSI Networking Page 6 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

7 C. Phase 3 : Établissement et diffusion des résultats Une fois les tests de pénétration effectués, nous procédons à une analyse de toutes les informations obtenues. Ensuite, nous répertorions et classons les faiblesses, organisons les risques en risques élevés, moyens ou faibles, et proposons des correctifs en cas de faiblesses. Le rapport final se décompose généralement comme suit : Un rapport de synthèse récapitulant les résultats des tests de pénétration et fournissant des informations sur les forces et faiblesses du système de sécurité en place. Les points clés des résultats de ces tests sont également indiqués. Un rapport technique plus détaillé des résultats, qui contient des informations sur les faiblesses de chaque périphérique, la classification des risques et des suggestions de correction, notamment des informations techniques complémentaires sur la manière de réparer chaque vulnérabilité. Des informations complémentaires, comme les résultats bruts du scanneur, des enregistrements Whois, des captures d écran et des schémas, ainsi que les documents RFC et documents techniques correspondants, en annexe. Les résultats de l analyse seront par la suite consolidés dans le rapport STAR (Security Test Audit Report), qui sera remis à l organisation. V. Pourquoi faire appel à nous? Nous possédons le savoir-faire, l expérience et la technologie pour identifier et détecter les faiblesses de sécurité, et apporter des solutions performantes. Notre service d analyse de sécurité, s appuie sur des méthodologies et des outils éprouvés pour détecter les faiblesses des réseaux et pour proposer les réparations ou corrections nécessaires, le cas échéant. En outre, nous possédons en interne des ressources hautement qualifiées et certifiées pour mener à bien les missions de Pen-Testing RWISSI Networking Page 7 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+