Accueil Génie logiciel Un référentiel des faiblesses courantes des tests d’intrusion

Un référentiel des faiblesses courantes des tests d’intrusion

0
Un référentiel des faiblesses courantes des tests d’intrusion


Tests de pénétration est une étape importante dans l’identification des faiblesses de l’infrastructure informatique d’une organisation. Il s’agit d’une activité d’évaluation cruciale que les organisations peuvent utiliser pour défendre leur environnement contre les cyberattaques. Le SEI réalise des évaluations de cybersécurité pour les organisations et conçoit et développe des applications qui facilitent la collecte et l’automatisation de la communication des résultats identifiés lors des évaluations.

Cet article présente un référentiel des résultats des tests d’intrusion c’est maintenant disponible publiquement sur GitHub. Les résultats font référence aux vulnérabilités et aux faiblesses identifiées lors d’une évaluation des tests d’intrusion. Le référentiel standardise le langage des résultats et minimise le temps et les efforts nécessaires à la rédaction du rapport. De plus, le format standardisé du nom des résultats facilite l’analyse des données agrégées dans plusieurs évaluations de tests d’intrusion.

Ce référentiel a été créé en réponse à l’incohérence des noms des résultats des évaluations des tests d’intrusion et pour créer une vaste collection de faiblesses standardisées que les évaluateurs peuvent utiliser. Les évaluateurs nommeraient les résultats différemment dans les évaluations. Certains évaluateurs donneraient à une constatation le nom d’une cyberattaque, tandis que d’autres lui donneraient le nom d’un processus. Le référentiel des résultats des tests d’intrusion se concentre sur le nom d’un résultat d’après la vulnérabilité et les faiblesses identifiées lors d’une évaluation plutôt que de cyberattaques ou de processus. Pour aider les évaluateurs à localiser les résultats plus rapidement au cours d’une évaluation, le référentiel utilise une technique de regroupement par affinité pour catégoriser les faiblesses, ce qui augmente la convivialité en triant les résultats dans une structure hiérarchique à trois niveaux. De plus, le référentiel de résultats comprend des ressources pour aider les organisations évaluées à corriger les résultats identifiés lors d’une évaluation de tests d’intrusion.

Une étape clé dans la sécurisation des systèmes organisationnels consiste à identifier et à comprendre les vulnérabilités et les faiblesses spécifiques qui existent dans le réseau d’une organisation. Une fois identifiées, les vulnérabilités et les faiblesses doivent être replacées dans leur contexte et certaines questions doivent être répondues, comme indiqué dans l’article du blog. Comment tirer le meilleur parti des tests d’intrusion:

  • À quelles vulnérabilités et faiblesses devriez-vous consacrer des ressources limitées pour remédier ?
  • Quelles vulnérabilités et faiblesses sont facilement exploitables et lesquelles ne le sont pas ?
  • Quelles vulnérabilités et faiblesses mettent en danger les actifs critiques ?
  • Quelles vulnérabilités et faiblesses doivent être corrigées en premier ?

Sans ce contexte, une organisation pourrait consacrer des ressources à remédier aux mauvaises vulnérabilités et faiblesses, se laissant ainsi exposée ailleurs. Le référentiel fournit un niveau de gravité des résultats par défaut pour aider une organisation évaluée à prioriser les résultats à corriger en premier. Un évaluateur peut ajuster le niveau de gravité par défaut des résultats en fonction des autres contrôles de sécurité en place dans l’environnement d’une organisation.

Présentation du référentiel

Le référentiel des résultats des tests d’intrusion est une collection de Active Directory, le phishing, la technologie mobile, les systèmes, les services, les applications Web et les faiblesses de la technologie sans fil qui peuvent être découvertes lors d’un test d’intrusion. Le référentiel contient des noms par défaut, des descriptions, des recommandations de correction, des références, des mappages vers divers frameworks et des niveaux de gravité pour chaque résultat. Ce référentiel et sa structure répondent à quatre objectifs principaux :

  • standardisation—Le référentiel standardise le processus de reporting en fournissant des résultats définis parmi lesquels un évaluateur peut sélectionner lors d’une évaluation.
  • reporting simplifié— La fourniture d’attributs pré-remplis (nom de recherche, description, correction, ressources et niveau de gravité) permet de gagner un temps considérable lors du processus de reporting, permettant aux évaluateurs de se concentrer sur les opérations.
  • exhaustivité—La structure en couches du référentiel offre aux évaluateurs une certaine flexibilité dans la manière dont ils présentent leurs conclusions à mesure que le paysage des vulnérabilités évolue. Lorsque cela est possible, les évaluateurs sélectionnent un résultat spécifique. Si aucune constatation spécifique ne décrit avec précision ce qui a été découvert, les évaluateurs peuvent sélectionner une constatation générale et l’adapter en conséquence.
  • facilité de navigation—Pour faciliter la navigation dans le référentiel, il utilise une structure de classification à plusieurs niveaux. Les résultats sont regroupés par catégories de résultats, permettant aux évaluateurs de rendre compte des résultats généraux et spécifiques lors de la création de rapports.

Comme mentionné ci-dessus, le référentiel des résultats est une structure hiérarchique contenant les trois niveaux suivants :

  • Niveau de catégorie de recherche :répertorie les catégories principales : faiblesse d’Active Directory, faiblesse du phishing, faiblesse de la technologie mobile, faiblesse du système ou du service, faiblesse des applications Web, faiblesse de la technologie sans fil.
  • Niveau de constatation générale :répertorie 27 résultats de haut niveau qui sont comme des sous-catégories de la catégorie globale de résultats. Les résultats généraux peuvent être utilisés comme résultat individuel dans une évaluation lorsqu’il n’existe pas de résultat spécifique approprié.
  • Niveau de constatation spécifique :répertorie 111 résultats de bas niveau qui identifient une faiblesse distincte qui peut être exploitée lors d’une évaluation. Les constatations spécifiques consistent en des constatations communes fréquemment identifiées lors des évaluations.

Comme le montre le tableau ci-dessous, il existe six catégories de résultats :











Recherche de catégories
Catégorie Description

Faiblesse d’Active Directory
Active Directory (AD) n’est pas configuré correctement. Certaines erreurs de configuration incluent des comptes de service et des autorisations inutiles, des chiffres de chiffrement non sécurisés, des politiques de mot de passe faibles et/ou des comptes d’utilisateur ou d’ordinateur non sécurisés. Les attaquants disposent de diverses méthodes pour rechercher les faiblesses d’AD, notamment les attaques Kerberoasting, Golden Ticket, Pass the Hash ou Pass the Ticket, qui peuvent conduire à une prise de contrôle totale de l’infrastructure.

Faiblesse du phishing
Une faiblesse de phishing permet à un attaquant d’envoyer un e-mail armé via la frontière du réseau qui s’exécute sur l’hôte local lorsqu’un utilisateur effectue une action. Ces e-mails peuvent contenir diverses pièces jointes leurres, des localisateurs de ressources uniformes (URL), des scripts et des macros. Des protections inadéquates permettent l’exécution de charges utiles malveillantes.

Faiblesse de la technologie mobile
Les technologies mobiles sont de plus en plus utilisées pour fournir des services et des données. La quantité de données stockées sur les appareils mobiles fait de leurs applications des cibles d’attaques. Par rapport aux ordinateurs traditionnels, la fonctionnalité des appareils mobiles est plus difficile à réguler, et les appareils mobiles prennent en charge des interfaces plus complexes (par exemple, cellulaire, Wi-Fi, Bluetooth, système de positionnement global). [GPS]), qui exposent davantage de surfaces aux attaques. Les technologies mobiles non sécurisées présentent des vulnérabilités que les attaquants peuvent exploiter pour accéder à des informations et des ressources sensibles.

Faiblesse du système ou du service
Les faiblesses d’un système ou d’un service peuvent entraîner l’absence de contrôles de sécurité critiques, ce qui rend l’organisation vulnérable aux attaques. Ces faiblesses peuvent inclure des conseils de configuration faibles qui configurent de manière non sécurisée les systèmes et services dans toute l’organisation, une gestion de configuration insuffisante ou manquante qui entraîne des configurations ad hoc ou par défaut, etc.

Faiblesse des applications Web
La sécurité des sites Web, des applications Web et des services Web (par exemple, les interfaces de programmation d’applications [APIs]) est appelé sécurité des applications Web. Les applications Web peuvent être attaquées en exploitant les vulnérabilités au niveau de la couche application, de la couche transport et de la chaîne logistique logicielle. Les faiblesses des applications Web sont généralement des vulnérabilités, des failles du système ou des erreurs de configuration dans une application Web. Les attaquants exploitent souvent ces faiblesses pour manipuler le code source ou obtenir un accès non autorisé à des informations ou à des fonctions. Les attaquants peuvent être capables de trouver des vulnérabilités même dans un environnement de sécurité assez robuste.

Faiblesse de la technologie sans fil
Les technologies sans fil permettent aux appareils mobiles (par exemple, les ordinateurs portables, les téléphones intelligents, l’Internet des objets) [IoT] périphériques et imprimantes) pour se connecter au réseau de l’entreprise. Les réseaux sans fil peuvent introduire des vulnérabilités potentielles dans une organisation en raison de politiques faibles qui autorisent une technologie sans fil non sécurisée (par exemple, appareils non sécurisés, configurations non sécurisées, processus d’authentification faibles, cryptage non sécurisé) sur le réseau.

Le référentiel mappe également chaque résultat aux trois cadres suivants :

Travail futur

Il est prévu de mettre à jour le référentiel à mesure que de nouvelles vulnérabilités et faiblesses communes sont identifiées. Toutefois, étant donné que le référentiel est open source, la communauté de la cybersécurité peut accéder au référentiel et y ajouter des éléments.

En plus du référentiel de résultats de tests d’intrusion, un référentiel de risques courants pouvant être identifiés lors de évaluations d’actifs de grande valeur (HVA) est en préparation. L’objectif de ce référentiel est de normaliser le langage parmi les risques signalés par les évaluateurs, minimisant ainsi le temps et les efforts nécessaires à la rédaction des rapports sur les évaluations. À l’instar du référentiel de tests d’intrusion, ce nouveau référentiel contiendra des déclarations de risques, des descriptions et des recommandations pour atténuer les risques identifiés lors des évaluations HVA.

Ressources additionnelles

Comment tirer le meilleur parti de nos tests d’intrusion par Michael Cook

7 lignes directrices pour devenir un testeur d’intrusion de confiance par Karen Miller

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici