Évaluation de la vulnérabilité et les tests de pénétration: une fausse idée commune

Évaluation de la vulnérabilité et les tests de pénétration: une fausse idée commune

X-Force Red est une équipe autonome de pirates informatiques expérimentés au sein d’IBM Security, embauchée pour percer dans les organisations et découvrir les vulnérabilités risquées que des attaquants criminels peuvent utiliser à des fins personnelles. L’équipe a récemment dévoilé les nouvelles statistiques recueillies lors de ses missions de tests d’intrusion. Une statistique qui s’est démarquée, bien que sans surprise, est que sur 1 176 courriels de phishing envoyés à des employés de cinq organisations d’octobre 2017 à novembre 2018, 198 personnes ont cliqué sur le lien malveillant contenu dans le courriel et 196 personnes ont soumis des informations d’identification valides.

Bien que ces chiffres ne semblent pas très élevés, ils montrent néanmoins que les criminels ont eu 196 occasions uniques de se déplacer dans une organisation cible et d’accéder à des données sensibles. Et considérant qu’un ensemble de références valables est tout ce qu’il faut pour qu’un criminel lance une attaque, 196 d’entre elles sont une mine d’or.

Ces erreurs de sécurité sont les types de vulnérabilités identifiables par les testeurs d’intrusion. D’autre part, les évaluations de vulnérabilité, qui nécessitent généralement un outil d’analyse automatisé, sont conçues pour identifier les vulnérabilités connues du système. Cependant, malgré ces différences, certains fournisseurs, professionnels de la cybersécurité, équipes marketing et autres utilisent souvent les termes «test d’intrusion» et «évaluation de la vulnérabilité» de manière interchangeable, combinant deux missions de sécurité totalement différentes.

C’est une idée fausse qui devrait être corrigée afin que les professionnels de la sécurité comprennent exactement ce qu’ils achètent et reçoivent et comment cet investissement contribuera à résoudre le problème. S’ils sont involontairement induits en erreur en achetant la mauvaise solution pour leur environnement, une vulnérabilité critique inconnue exposant un actif de grande valeur pourrait être omise.

Séance de questions-réponses avec Seth Glasgow, consultant en tests de pénétration X-Force Red

Seth Glasgow, consultant en tests d’intrusion X-Force Red, a participé à de nombreuses conversations avec des clients et des professionnels de la sécurité au cours desquels il a dû clarifier la différence entre les évaluations de vulnérabilité et les tests d’intrusion.

Question: Seth, merci d’avoir discuté avec nous de ce sujet. Pouvez-vous fournir plus de détails sur la manière dont certains acteurs de l’industrie utilisent les tests de pénétration et les évaluations de vulnérabilité de manière interchangeable?

Glasgow: Bien sûr. Certains fournisseurs, professionnels de la sécurité et autres acteurs du secteur estiment que les tests d’intrusion se substituent à l’analyse des vulnérabilités, ou inversement. En gros, ils disent qu’ils n’ont pas besoin des deux; ils ont besoin de l’un ou de l’autre. Parfois, les deux noms seuls sont source de confusion. Certains peuvent dire «test de vulnérabilité» ou «analyse de pénétration». D’autres peuvent dire qu’ils proposent des tests de pénétration, mais c’est vraiment une analyse automatisée qui peut détecter des vulnérabilités connues. Il ne s’agit pas de tests manuels réels.

Pour couvrir toutes vos bases, il est préférable d’utiliser une combinaison de tests de pénétration manuels et d’évaluations de vulnérabilité. J’aime comparer cela à des clubs dans un sac de golf. Tous les clubs ne sont pas nécessaires à chaque coup, mais pour jouer tout le match, vous avez besoin de tous.

Comment pensez-vous que ce mélange des deux termes a été créé? Était-ce lié au marketing lorsque les spécialistes du marketing utilisaient le même langage pour décrire les différentes solutions?

Glasgow: Il y a plusieurs raisons, dont aucune n’a débuté avec le marketing. L’un est lié à la conformité. Certains imposent des tests de pénétration forfaitaire et des évaluations de la vulnérabilité en une seule exigence, ce qui complique les choses. Au niveau technique, les conversations ressemblent à un jeu de téléphone. Les informations sont répétées dans le mauvais contexte, et avant même que vous le sachiez, un fournisseur propose de vendre un “test d’intrusion” à faible coût, mais il s’agit en réalité d’un scan automatisé. En outre, dans le passé, les deux termes auraient pu être utilisés de manière interchangeable en fonction du paysage des menaces et de la vulnérabilité de l’époque. Alors qu’aujourd’hui, les deux sont très différents et résolvent des problèmes différents.

Pouvez-vous donner un exemple de la façon dont l’évolution de l’industrie a provoqué une différenciation significative entre les deux?

Glasgow: Bien sûr, j’ai quelques exemples. Avant que le cloud ne devienne populaire, la plupart des entreprises utilisaient des serveurs physiques. Une évaluation des vulnérabilités, qui impliquait de scanner les serveurs avant leur mise en production, était souvent suffisante pour rechercher les vulnérabilités critiques et s’assurer qu’elles étaient corrigées. Après tout, les serveurs étaient gérés localement, ce qui facilitait un peu le contrôle de la sécurité autour d’eux (par exemple, les personnes pouvant y accéder). Aujourd’hui, de plus en plus d’entreprises migrent vers le cloud, ce qui a de nombreuses autres implications en matière de sécurité. Au minimum, cela signifie que davantage de configurations de serveur doivent être configurées, et il peut y avoir moins de contrôle et de visibilité sur qui accède à quelles données depuis quel réseau. Dans ce nouvel environnement de sécurité, les tests d’intrusion sont essentiels pour identifier les vulnérabilités de configuration et de contrôle d’accès. Ils permettent de relier ces vulnérabilités pour montrer comment un attaquant pourrait les exploiter pour compromettre un environnement cloud.

Un autre exemple concerne la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Les entreprises pourraient se conformer aux anciennes versions de la norme en effectuant une évaluation de la vulnérabilité et éventuellement un test de pénétration de la lumière. Toutefois, dans la version 3.2 de la norme PCI DSS, les exigences spécifient que les entreprises implémentent une méthodologie de test d’intrusion (voir exigence 11.3) et indiquent qu’elles doivent «valider la segmentation», ce qui ne peut être effectué qu’à l’aide d’un test d’intrusion manuel.

Alors, quelle est la différence entre les deux? Pouvez-vous nous en parler?

Glasgow: Alors que l’analyse de la vulnérabilité s’étend sur une distance de 10 milles et profonde d’un mille, les tests d’intrusion sur 10 milles de large et un mille de large. Les évaluations de vulnérabilité impliquent un balayage automatisé, qui jette un large réseau sur tout le réseau. L’analyse analyse tous les systèmes inclus dans le périmètre afin d’identifier les vulnérabilités connues. Les évaluations de vulnérabilité examinent les systèmes pour les correctifs et les éléments de configuration de sécurité qui représentent un risque pour la sécurité. Ils incluent également la confirmation que les vulnérabilités sont réelles et non des faux positifs; cependant, ils n’incluent pas l’exploitation de la vulnérabilité. Les évaluations fréquentes sont importantes car elles permettent aux entreprises de comprendre régulièrement à quoi ressemble leur surface d’attaque. Le paysage des vulnérabilités évolue constamment au fur et à mesure que de nouvelles découvertes sont effectuées et que des correctifs sont publiés. Je pourrais scanner un système aujourd’hui et avoir un état de santé vierge, mais je pourrais scanner ce même système le mois prochain et trouver des vulnérabilités critiques.

Les tests de pénétration sont un exercice manuel qui se concentre sur l’identification et l’exploitation des vulnérabilités au sein des réseaux et des applications concernés. Il peut évaluer toutes les facettes de la sécurité d’une entreprise, y compris les réseaux, les applications, le matériel, les périphériques et les interactions humaines. Les facettes à tester sont décidées avant l’engagement. Les tests impliquent des pirates informatiques qui exploitent activement les vulnérabilités, en émulant la manière dont un criminel exploiterait et lierait les vulnérabilités pour se déplacer latéralement et / ou plus profondément dans le réseau pour accéder aux joyaux de la couronne. En tant que testeurs, nous sommes moins préoccupés par les vulnérabilités que nous ne pouvons pas exploiter ou par celles qui n’aboutissent pas.

Supposons, par exemple, que votre page Web héberge une brochure en ligne et ne sollicite que très peu les utilisateurs. Une évaluation de vulnérabilité traitera cette page de la même manière que s’il s’agissait d’une page Web avec un niveau élevé de participation des utilisateurs. Un test de pénétration ne porterait pas sur cette page car les testeurs savaient que cela ne les mènerait pas vers un endroit de grande valeur. Ils pourront peut-être utiliser les informations de la brochure pour se déplacer ailleurs dans le réseau; Cependant, ils se concentreraient sur d’autres composants qui leur donneraient le plus grand accès.

Pensez-y de cette façon: une évaluation de la vulnérabilité détermine si les portes des bureaux d’un bâtiment sont déverrouillées. Un test d’intrusion identifie ce que les criminels feraient une fois à l’intérieur du bureau.

Figure 1: Principaux facteurs de différenciation entre les évaluations de vulnérabilité et les tests d’intrusion (source: X-Force Red)

Une dernière question : Si je suis un responsable de la cybersécurité à la recherche de services de test d’intrusion, quels drapeaux rouges devrais-je rechercher qui pourrait indiquer qu’un fournisseur offre effectivement une évaluation de la vulnérabilité, mais dit qu’il s’agit d’un test d’intrusion?

Glasgow: Méfiez-vous de la chronologie. Un bon test de pénétration ne respecte pas un calendrier strict, mais il devrait prendre au moins une semaine de travail. Et c’est sur le bas. Si un fournisseur dit qu’il peut effectuer un test plus rapidement, c’est un signe qu’il va probablement utiliser un outil de numérisation automatisé et vous envoyer rapidement un rapport de tous les résultats. Aussi, renseignez-vous sur le produit livrable. Quel type d’informations sera dans le rapport de constatations? S’il s’agit d’une feuille de calcul avec les résultats de l’analyse, cela signifie que c’est une évaluation de la vulnérabilité. Un rapport de test d’intrusion comprend généralement les résultats, un récit détaillé de ce que les testeurs ont fait et des recommandations de correction.

Le rapport doit également inclure les types de tests effectués pour permettre aux professionnels de la sécurité de savoir où les mesures correctives doivent être placées pour rendre un réseau plus difficile pour les pirates informatiques qui souhaitent y accéder, le conserver et exfiltrer les données.