8.2. Définition des évaluations et des essais
Les évaluations de vulnérabilités peuvent être séparées en deux types : de l'extérieur vers l'intérieur et de l'intérieur vers l'intérieur.
Lors d'une évaluation de vulnérabilités de l'extérieur vers l'intérieur, vous essayez de compromettre vos systèmes de l'extérieur. Être en dehors de votre société vous offre le point de vue du pirate. Vous pouvez voir ce qu'un pirate voit — les adresses IP routables de façon publique, les systèmes sur votre DMZ, les interfaces externes de votre pare-feu et bien plus encore. DMZ signifie zone démilitarisée (de l'anglais demilitarized zone) et correspond à un ordinateur ou un petit sous-réseau qui se situe entre un réseau interne de confiance, comme un LAN privé, et un réseau externe qui n'est pas de confiance, comme l'internet public. Une DMZ contient normalement des périphériques accessibles au trafic Internet, comme les serveurs Web (HTTP), les serveurs FTP, les serveurs SMTP (courrier électronique) et les serveurs DNS.
Lors d'une évaluation de vulnérabilités de l'intérieur vers l'intérieur, vous avez un avantage vu que vous êtes interne et que votre statut devient de confiance. Ceci est le point de vue que vos collègues et vous possédez une fois connectés sur vos systèmes. Vous verrez les serveurs d'impression, les serveurs de fichiers, les bases de données et d'autres ressources.
Il existe de grandes différences entre ces deux types d'évaluation de vulnérabilités. Être à l'intérieur de votre société vous donne des privilèges élevés — supérieurs à toute autre personne de l'extérieur. De nos jours, dans la plupart des sociétés, la sécurité est toujours configurée de manière à garder les intrus dehors. Peu est fait pour sécuriser les internes de la société (comme les pare-feu de départements, les contrôles d'accès au niveau de l'utilisateur, les procédures d'authentification pour les ressources internes et autres). En général, il existe bien plus de ressources de l'intérieur vu que la plupart des systèmes sont internes à la société. Une fois que vous devenez externe à la société, votre statut n'est immédiatement plus de confiance. Les systèmes et les ressources qui vous sont disponibles de l'extérieur sont généralement bien plus limités.
Considérez la différence entre les évaluations de vulnérabilités et les essais de pénétration. Pensez à l'évaluation de vulnérabilités comme la première étape d'un essai de pénétration. Les informations glanées depuis l'évaluation seront utilisées dans les essais. Alors que l'évaluation vérifie les trous et les vulnérabilités potentielles, les essais de pénétration essaient en fait d'exploiter les conclusions.
L'évaluation d'une infrastructure réseau est un processus dynamique. La sécurité, des informations et physique, est dynamique. Effectuer une évaluation offre une vue d'ensemble, qui peut trouver des faux positifs et des faux négatifs.
Les administrateurs de sécurité sont aussi compétents que les outils qu'ils utilisent et les connaissances qu'ils retiennent. Prenez n'importe quel outil d'évaluation actuellement disponible, exécutez-le sur votre système et il est pratiquement garanti qu'il existera au moins plusieurs faux positifs. Que ce soit une faute de programme ou une erreur d'utilisateur, les résultats seront les mêmes. L'outil peut trouver des vulnérabilités qui, en fait, n'existent pas (faux positifs) ; ou, au pire, l'outil peut ne pas trouver des vulnérabilités qui existent bien (faux négatifs).
Maintenant que la différence entre l'évaluation de vulnérabilités et l'essai de pénétration a été établie, il est souvent de bonne habitude de rassembler les conclusions de l'évaluation et de les passer en revue avec attention avant de procéder à un essai de pénétration.
 | Avertissement |
|---|---|
Essayer d'exploiter les vulnérabilités de ressources de production peut avoir des effets négatifs sur la productivité et l'efficacité de vos systèmes et réseaux. |
La liste suivante examine certains avantages liés au fait d'effectuer des évaluations de vulnérabilités.
Accent proactif porté sur la sécurité des informations
Exploits potentiels découverts avant que les pirates ne les trouvent
Systèmes habituellement à jour et avec des correctifs
Amélioration et aide au développement de l'expertise du personnel
Réduction de perte financière et de mauvaise publicité
8.2.1. Établissement d'une méthodologie
Pour aider à sélectionner les outils pour des évaluations de vulnérabilités, il est utile d'établir une méthodologie d'évaluation de vulnérabilités. Malheureusement, il n'existe à ce jour aucune méthodologie approuvée par l'industrie ou prédéfinie ; cependant, du bon sens et de bonnes habitudes peuvent suffisamment servir de guide.
Quelle est la cible ? Faisons-nous face à un serveur ou à notre réseau entier et tout ce qui s'y trouve ? Sommes-nous externes ou internes à la société ? Les réponses à ces questions sont importantes vu qu'elles vous aideront à déterminer non seulement les outils à sélectionner, mais également la manière de les utiliser.
Pour en savoir plus sur l'établissement de méthodologies, veuillez consulter les sites Web suivants :
http://www.isecom.org/projects/osstmm.htm — Le manuel Open Source de méthodologie de test de la sécurité (OSSTMM)
http://www.owasp.org/ — Le projet de sécurité des applications Open Web