web-dev-qa-db-fra.com

Quelle est la différence entre un test de pénétration et une évaluation de vulnérabilité?

Quelle est la différence entre un test de pénétration et une évaluation de vulnérabilité?

Pourquoi choisiriez-vous l'un plutôt que l'autre?

Quels livrables attendez-vous à recevoir et comment évalueriez-vous leur qualité?

30
Sim

Je suis sûr que j'ai posté une réponse à cela auparavant, mais mon google-fu doit être faible ce matin. D'après mon article de blog sur la taxonomie de pénétration, nous avons une liste de types de tests qui sont de plus en plus acceptés. En outre, en travaillant avec le Norme d'exécution des tests de pénétration, nous espérons développer cela davantage. Cette liste devrait aider à expliquer comment choisir l'un plutôt que l'autre.

Les livrables sont presque une question distincte - et devraient être définis par le besoin et le public (par exemple, pour un organe de gouvernance, vous ne vous attendriez pas à avoir les mêmes détails que ceux que vous fourniriez à une équipe de remédiation technique, mais vous voudriez inclure des informations sur les risques commerciaux) . Il existe également un flux de rapports dans le développement PTES pour essayer de codifier ce domaine:

Découverte

Le but de cette étape est d'identifier les systèmes à portée et les services utilisés. Il n'est pas destiné à découvrir des vulnérabilités, mais la détection de version peut mettre en évidence des versions obsolètes de logiciels/micrologiciels et ainsi indiquer des vulnérabilités potentielles.

Analyse de vulnérabilité

Après l'étape de découverte, cela recherche les problèmes de sécurité connus en utilisant des outils automatisés pour faire correspondre les conditions avec les vulnérabilités connues. Le niveau de risque signalé est défini automatiquement par l'outil sans vérification ni interprétation manuelle par le fournisseur du test. Cela peut être complété par une analyse basée sur les informations d'identification qui cherche à supprimer certains faux positifs courants en utilisant les informations d'identification fournies pour s'authentifier auprès d'un service (tels que les comptes Windows locaux).

Évaluation de la vulnérabilité

Il utilise la détection et l'analyse des vulnérabilités pour identifier les failles de sécurité et place les résultats dans le contexte de l'environnement testé. Un exemple serait de supprimer les faux positifs courants du rapport et de décider des niveaux de risque qui devraient être appliqués à chaque constatation de rapport pour améliorer la compréhension et le contexte de l'entreprise.

Évaluation de la sécurité

S'appuie sur l'évaluation de la vulnérabilité en ajoutant une vérification manuelle pour confirmer l'exposition, mais n'inclut pas l'exploitation des vulnérabilités pour obtenir un accès supplémentaire. La vérification pourrait prendre la forme d'un accès autorisé à un système pour confirmer les paramètres du système et impliquer l'examen des journaux, des réponses du système, des messages d'erreur, des codes, etc. Une évaluation de la sécurité cherche à obtenir une large couverture des systèmes testés mais pas la profondeur d'exposition qu'une vulnérabilité spécifique pourrait entraîner.

Test de pénétration

Les tests de pénétration simulent une attaque par un tiers malveillant. S'appuyant sur les étapes précédentes et implique l'exploitation des vulnérabilités trouvées pour obtenir un accès supplémentaire. L'utilisation de cette approche permettra de comprendre la capacité d'un attaquant à accéder à des informations confidentielles, d'affecter l'intégrité des données ou la disponibilité d'un service et leur impact respectif. Chaque test est abordé en utilisant une méthodologie cohérente et complète d'une manière qui permet au testeur d'utiliser ses capacités de résolution de problèmes, les résultats d'une gamme d'outils et sa propre connaissance des réseaux et des systèmes pour trouver des vulnérabilités qui pourraient/ne pourraient pas être identifiées par outils automatisés. Cette approche examine la profondeur de l'attaque par rapport à l'approche d'évaluation de la sécurité qui examine la couverture plus large.

Audit de sécurité

Piloté par une fonction Audit/Risque pour étudier un problème de contrôle ou de conformité spécifique. Caractérisé par une portée restreinte, ce type d'engagement pourrait utiliser n'importe laquelle des approches précédentes discutées (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration).

Revue de sécurité

Vérification de l'application des normes de sécurité industrielles ou internes aux composants du système ou au produit. Ceci est généralement réalisé par l'analyse des lacunes et utilise des revues de construction/code ou en examinant les documents de conception et les diagrammes d'architecture. Cette activité n'utilise aucune des approches antérieures (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration, audit de sécurité)

27
Rory Alsop

En plus des réponses déjà fournies, je vais expliquer pourquoi vous pouvez choisir l'une plutôt que l'autre. Les évaluations de vulnérabilité sont plus utiles si vous n'êtes pas sûr de votre position actuelle en matière de sécurité et que vous souhaitez vous faire une idée de l'emplacement de vos problèmes.

Il convient de noter cependant que, comme toutes les évaluations de la vulnérabilité du travail de sécurité ne sont pas toutes créées égales. Pour certains fournisseurs, il peut se concentrer uniquement sur la sortie d'outils, tandis que d'autres effectueront davantage de travaux manuels pour vérifier et étendre ces résultats.

Si tel est votre objectif, je me concentrerais sur le type d'approche "évaluation de la sécurité" mentionné dans la réponse de @ RoryAlsop.

Un test de pénétration est, classiquement, conçu pour reproduire les actions d'un attaquant en tentant de compromettre la sécurité d'un système ou d'une organisation. Il est donc probable que cela soit plus approprié pour les organisations qui ont confiance dans les contrôles de sécurité en place pour un système donné et qui veulent prouver ou réfuter leur efficacité.

Il y a cependant des problèmes avec cette approche, selon qui sont vos attaquants. Si vous cherchez à concevoir des contrôles qui se défendront contre des attaquants ciblés qualifiés (par exemple, le crime organisé), il est très difficile d'utiliser efficacement un test de pénétration pour les vérifier, car il n'inclura pas certaines techniques que les attaquants peuvent utiliser.

Certains exemples de domaines que les tests de pénétration auront du mal à couvrir en raison de problèmes juridiques pourraient être des choses comme le ciblage des ordinateurs personnels du personnel pour compormiser leurs installations d'accès à distance, attaquer des partenaires tiers qui peuvent avoir accès aux systèmes cibles à des fins d'assistance, ou acheter des botnets qui peut avoir des zombies déjà présents dans l'environnement cible.

Il vaut donc la peine d'être conscient des limites des deux types de tests, mais une règle générale est que VA et les évaluations de sécurité sont bonnes lorsque vous n'êtes pas sûr de votre niveau de sécurité et de pénétration) les tests sont bons pour le prouver une fois que vous le savez.

11
Rory McCune

Pour la plupart des gens, ce sont les mêmes. C'est pourquoi des efforts comme PTES échoueront. Vous ne pouvez pas changer les gens qui ne veulent pas changer.

La bonne question est: "Quelle est la différence entre les tests de pénétration et le piratage éthique?".

La réponse à cette question est que les tests de pénétration ont un prix spécifique en tête, sans limite de temps et généralement une longue liste de règles d'engagement (les listes restreintes demandent que personne ne soit physiquement blessé ou menacé). Le piratage éthique est une activité temporelle où autant de défauts que possible sont découverts - généralement en utilisant uniquement des méthodes non physiques.

"Évaluations", "audits" et "tests" sont généralement des mots interchangeables dans le domaine de la sécurité de l'information. Les mots "vulnérabilité", "menace" et quelques autres sont généralement mal compris et mal interprétés. Les professionnels ayant 20 ans d'expérience, les mêmes antécédents et les mêmes certifications se disputeront généralement sur ces termes de base. Il est préférable d'ignorer ce que quelqu'un "dit" ou "pense" est la bonne réponse - et préférez plutôt votre instinct et votre bon sens lorsque vous appliquez le terme dans une conversation avec des non-initiés.

5
atdre

Le problème avec cette question est qu'il n'y a pas de définition stricte/suivie de ce que signifie "test de pénétration" dans l'industrie. Des personnes brillantes de toute la communauté se sont réunies pour résoudre ce problème, formant le " Penetration Testing Execution Standard ."

Il tente de définir chaque étape d'un test de pénétration afin d'établir une attente raisonnable sur laquelle les dirigeants d'entreprise et les testeurs de pénétration peuvent baser leurs interactions.

Les étapes qu'ils énumèrent sont

  1. Interactions pré-engagement
  2. Collecte de renseignements
  3. Modélisation des menaces
  4. Analyse de vulnérabilité
  5. Exploitation
  6. Post-exploitation
  7. Rapports

Voici une définition édulcorée de chacun. Pour obtenir une image claire, vous devriez lire les pages wiki liées.

Les interactions pré-engagement consistent à établir la portée et les règles d'engagement, ainsi que de nombreux aspects commerciaux.

La collecte de renseignements est la phase de reconnaissance au cours de laquelle l'attaquant en apprend le plus possible sur la cible (aspects humains et techniques) à utiliser lors de l'analyse et de l'exploitation des vulnérabilités .

La modélisation des menaces consiste à identifier les actifs et les menaces, à les catégoriser et enfin à les associer.

Vulnerability Analysis "est le processus de découverte de failles dans les systèmes et les applications qui peut être exploité par un attaquant." Les gens supposent souvent à tort que cela et l'exploitation sont tout ce qui concerne les tests de pénétration.

L'exploitation "se concentre uniquement sur l'établissement de l'accès à un système ou à une ressource en contournant les restrictions de sécurité."

La post-exploitation est la détermination de la valeur des machines compromises et le maintien du contrôle pour une utilisation ultérieure. Dans cette phase, vous pouvez recueillir des informations qui vous permettent d'aller plus loin (les informations d'identification étant évidentes).

Rapports "[communique] les objectifs, les méthodes et les résultats des tests effectués à divers publics."

Qu'ils réussissent ou non dans leur mission est à débattre, mais je pense que c'est un bon endroit pour commencer à développer une compréhension approfondie.

Il y a aussi les " PTES Technical Guidelines " qui passent en revue les tactiques et outils qui pourraient être utilisés lors d'un test de pénétration.

5
chao-mu

Je ne suis pas prêt à écrire quelque chose de long pour cela, mais en voici un amusant que la plupart des testeurs partagent:

  • J'ai un client qui a reçu des analyses PCI ASV pendant des années (c'est-à-dire une évaluation de vulnérabilité externe sans aucune vulnérabilité grave, élevée ou critique trouvée). Une analyse "propre" selon PCI.
  • Et depuis plusieurs années, toutes leurs bases de données internes peuvent être exfiltrées, non détectées, via des tests de plume qualifiés (sans parler des attaques côté client, de l'ingénierie sociale, des tests de plume physiques, du phishing)

Le stylo-test, du moins dans le coin où je traîne, est destiné à simuler une attaque d'un adversaire motivé. Les évaluations de vulnérabilité sont généralement beaucoup moins importantes.

4
Tate Hansen

L'analyse des vulnérabilités est le processus d'identification des vulnérabilités sur un réseau, tandis qu'un test de pénétration est axé sur l'obtention effective d'un accès non autorisé aux systèmes testés et l'utilisation de cet accès au réseau ou aux données, comme indiqué par le client. Une analyse de vulnérabilité fournit un aperçu des failles qui existent sur le système tandis qu'un test de pénétration continue pour fournir une analyse d'impact des failles identifie l'impact possible de la faille sur le réseau sous-jacent, le système d'exploitation, la base de données, etc. L'analyse de vulnérabilité est plus d'un processus passif. Dans Vulnerability Analysis, vous utilisez des outils logiciels qui analysent à la fois le trafic réseau et les systèmes pour identifier les expositions qui augmentent la vulnérabilité aux attaques. Les tests de pénétration sont une pratique active dans laquelle des pirates éthiques sont employés pour simuler une attaque et tester la résistance du réseau et des systèmes.

J'ai écrit un article complet couvrant ce sujet. Lisez-le ici: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

4
RudraK