25 novembre 2019

Comment utiliser les tests d'intrusion pour renforcer la sécurité de votre réseau

Partagez0
Tweet0
Partagez0
Partagez0
Tweet0
Partagez0

Les tests d'intrusion (pen test en abrégé) sont essentiels pour améliorer la cybersécurité de votre organisation.

Il simule les cyberattaques afin que vous puissiez découvrir les vulnérabilités du réseau et du système et les corriger en conséquence.

Tests de pénétration peuvent être classés en différents types. Chacune couvre un aspect particulier de votre cybersécurité, approfondit et dévoile des faiblesses spécifiques.

De cette façon, vous pouvez identifier les remèdes appropriés et allouer votre budget, vos efforts et vos ressources plus efficacement. Vous pouvez également déterminer les aspects de votre paysage informatique que vous devez prioriser.

Cela dit, dans cet article, nous examinerons six types de tests d'intrusion que vous pouvez appliquer à votre entreprise.

Allons-y.

1. Services réseau

Une fois que le pen testeur a collecté des informations pertinentes sur votre entreprise, il effectue ensuite une séquence d'évaluations du réseau.

Les tests de services réseau sont souvent la méthode la plus populaire pour les tests d'intrusion.

Une fois que le testeur envahit votre réseau, 90 % des obstacles sont éliminés.

Il peut également exécuter des tests d'exploitation pour les réseaux internes et externes. Il le fait en imitant les techniques des hackers pour envahir les défenses de votre réseau externe.

Cela leur donne la possibilité d'explorer de nombreux aspects de la cybersécurité de votre entreprise.

Les tests de réseau impliquent généralement les éléments suivants :

  • Test de routeur
  • Attaques basées sur Secure Shell (SSH)
  • Éviter les pare-feu
  • Empreinte du système de noms de domaine (DNS)
  • Vulnérabilités du réseau
  • Analyse et test des ports ouverts
  • Serveurs proxy
  • Éviter votre système de prévention d'intrusion (IPS) et votre système de détection d'intrusion (IDS).

2. Tests en nuage

Les services cloud sont devenus une nécessité bien connue des organisations ayant des opérations en ligne.

Ils tirent parti du cloud pour le partage et la sauvegarde de fichiers, ainsi que pour les projets collaboratifs et la mise en réseau.

Par exemple, si vous devez envoyer un fichier de transcription pour Tour ou fournissez des copies gratuites de vos recherches aux participants à la conférence, le cloud vous permet de partager vos documents sans peine.

Malheureusement, ces gros fichiers dans le cloud équivalent à des données précieuses sur lesquelles les pirates informatiques (les méchants) adorent mettre la main.

En tant que tels, ils feront ce qu'ils peuvent pour exploiter et obtenir un accès illégal à votre stockage en nuage.

Sur une autre note, cependant : alors que les déploiements cloud se font sans effort, la gestion de la sécurité cloud est complexe.

Les fournisseurs de services de cloud public ont généralement une responsabilité partagée ou une approche restreinte du maintien de la cybersécurité.

Les organisations elles-mêmes doivent prendre en charge leurs initiatives pour tester les vulnérabilités et prévenir les violations concernant leurs données cloud.

C'est pourquoi les tests de pénétration du cloud deviennent un mécanisme de cybersécurité essentiel.

Le cloud pen test implique normalement les éléments suivants :

  • Applications et Interface du programme d'application accès (API)
  • Stockage et accès à la base de données
  • Chiffrement
  • Machines virtuelles (VM) et systèmes d'exploitation non corrigés
  • Remote Desktop Protocol (RDP) et administration à distance SSH
  • Sécurité informatique
  • Pare-feux réseau faibles
  • Mauvais mots de passe

Les tests d'intrusion dans le cloud peuvent être complexes à réaliser, c'est pourquoi un boîte blanche méthode de test de stylo peut être utile.

Dans un stylo test boîte blanche, vous (ou le testeur) disposez d'une intelligence complète et d'un accès à un système, ainsi qu'à son code source, son architecture réseau et les logiciels qu'il exploite.

Utilisez ces informations pour pouvoir effectuer le test d'intrusion rapidement et de manière approfondie.

Cependant, les fournisseurs de services de cloud public limitent généralement votre capacité à effectuer des tests d'intrusion en raison de l'orientation mutualisée ou partagée de l'infrastructure en tant que service (IaaS).

Si vous souhaitez effectuer un test d'intrusion dans le cloud, envisagez d'informer d'abord votre fournisseur de services de ce plan. Demandez-leur quelles zones sont restreintes.

3. Ingénierie sociale

Vous disposez peut-être des mécanismes de cybersécurité les plus puissants, mais une erreur humaine due à la fraude entraîne parfois l'infiltration réussie d'attaques en ligne dans votre système.

C'est pourquoi les testeurs d'intrusion doivent également examiner vos cyberdéfenses par rapport aux programmes d'ingénierie sociale.

Les hackers chapeaux blancs simulent fréquemment ces techniques d'ingénierie sociale :

  • Attaques de phishing
  • Bluesnarf
  • Talonnage
  • Cadeaux
  • Pré-texto
  • Écoute
  • Les imposteurs (agissant en tant que fournisseurs tiers, collègues, etc.)
  • Suppression de nom
  • Plongée dans une benne à ordures

Un examen d'ingénierie sociale est utile car il vous informe des failles concernant la capacité de votre capital humain à déjouer les tactiques frauduleuses.

Après tout, les pirates informatiques peuvent avoir des moyens puissamment trompeurs, vous ne pouvez donc pas vous permettre de les rabaisser.

Vous ou votre personnel pouvez être la proie de messages crédibles, à moins que vous ne deveniez vigilant et que vous arrêtiez ces menaces dans leur élan.

4. Test physique du stylo

Si votre immeuble de bureaux a une sécurité physique faible, vous pouvez au sens propre ouvrir la porte aux cybercriminels sans même s'en rendre compte.

Ils peuvent se déguiser en agents du FBI, en vendeurs tiers, en demandeurs d'emploi, en personnel des services publics, en votre employé ou en tout autre personnage régulier et digne de confiance.

Ils peuvent même prétendre être des testeurs d'intrusion physiques.

(C'est pourquoi vous devez vous assurer que vous utilisez des testeurs de stylos légitimes. Pensez à des sociétés de cybersécurité connues ou à des testeurs de stylo indépendants certifiés tels que ceux sur Fiverr.)

Lorsque votre personnel ne soupçonne rien, il peut permettre aux cybercriminels d'entrer dans les locaux de votre entreprise et de les quitter sans surveiller leurs allées et venues.

Pour éviter que cela ne se produise, vous devez mettre en œuvre des tests de pénétration physique.

Les tests d'intrusion physiques empêchent les pirates informatiques d'accéder de manière tangible à vos serveurs et systèmes. Cela permet de s'assurer que les personnes non autorisées ne peuvent pas accéder à vos installations et à votre matériel.

Les tests d'intrusion physiques traitent principalement des tentatives d'accès via ces méthodes :

  • Imitation
  • Systèmes RFID
  • Contourner les capteurs de lumière et de mouvement
  • Crochetage
  • Interphones et claviers, etc.

Les testeurs physiques peuvent intégrer ce type de test à des schémas d'ingénierie sociale tels que la fraude et la manipulation des employés des installations.

N'oubliez pas qu'il est bon que votre équipe informatique corrige les vulnérabilités avec diligence, mais elle ne doit pas négliger la sécurité physique. S'ils le font, les pirates informatiques peuvent exploiter vos actifs informatiques physiques.

5. Réseau sans fil et site Web (côté client)

Lorsque votre entreprise implique la navigation, l'exploitation ou l'interaction avec des fournisseurs et des clients en ligne, vous ne pouvez probablement pas vous empêcher de rencontrer à la fois des sites sûrs et dangereux.

Si vous utilisez le WiFi public et que la sécurité du site est faible, vous pouvez être exposé à des piratages contraires à l'éthique. Si vous ne pouvez pas dire si un le site est fiable ou non, vous pouvez même donner accès à des pirates informatiques sans le savoir.

Les pirates utilisent également des réseaux malveillants et des sites Web malveillants pour tenter d'exécuter leurs attaques.

Ensuite, ils peuvent obtenir des détails cryptés tels que des noms d'utilisateur et des mots de passe de connexion, des photos, des messages de discussion privés, des numéros de carte de crédit, des e-mails, etc.

Les pirates informatiques peuvent même modifier des informations et injecter des logiciels malveillants et des virus, y compris des ransomwares. Toutes ces menaces peuvent mettre en danger et arrêter votre écosystème informatique.

C'est pourquoi les tests d'intrusion pour votre site et vos réseaux sans fil sont essentiels.

Les tests de sites Web et de réseaux sans fil vérifient les infrastructures et les appareils essentiels à la recherche de failles que les pirates informatiques peuvent manipuler.

En règle générale, les tests d'intrusion pour les sites Web et les réseaux sans fil incluent :

  • Injections SQL
  • Script inter-site
  • Trafic réseau sans fil
  • Usurpation d'adresse MAC (Media Access Control)
  • Mots de passe par défaut ou faibles
  • Protocoles de cryptage sans fil
  • Attaques par déni de service (DDoS)
  • Malware
  • Mauvaise configuration du serveur Web
  • Serveur Web et/ou site Web pour les informations confidentielles des clients
  • Points d'accès, réseaux et points d'accès illégitimes
  • Logiciel de création de contenu ou logiciel de lecteur multimédia

6. Demandes de site Web

Dans les audits de sécurité des applications de sites Web, les testeurs de stylet recherchent les vulnérabilités dans toutes vos applications serveur.

Il va au-delà du test d'intrusion réseau standard et identifie ces vulnérabilités.

Ce type de test vise à inspecter les dangers possibles pouvant provenir des services Web, de la revue de code sécurisée et des applications.

Les testeurs de stylet inspectent généralement ces applications :

  • Applications et sites Web
  • Langages (Java, .NET, PHP)
  • Systèmes (SAP, Logistique, systèmes CRM, systèmes RH, systèmes financiers)
  • Cadres
  • Connexions (Oracle, XML, MySQL)
  • Apis
  • Applications mobiles.

Bottomline

Différents types de tests d'intrusion révèlent différentes informations sur l'état de votre cybersécurité et les domaines prioritaires à améliorer.

Plus vous appliquez de types de tests d'intrusion au paysage informatique de votre entreprise, plus vous pourrez couvrir de domaines et mieux vous serez préparé contre les cybermenaces et les attaques potentielles.

Vous pensez que ce message a été utile ? Partagez-le maintenant avec vos collègues et amis. Acclamations!

SYSTÈME-SÉCURITÉ

Image de l'auteur

A propos de l'auteure 

Imran Uddin

{"email": "Adresse e-mail non valide", "url": "Adresse de site Web non valide", "obligatoire": "Champ obligatoire manquant"}