Pénétration les tests mesurent l'efficacité de vos mesures défensives de cybersécurité. Et rappelez-vous, leur efficacité change avec le temps, alors répétez si nécessaire. Il n'y a rien à faire et à oublier dans le monde de la cybersécurité.
The Vulnerability-Go-Round
Tous les logiciels non triviaux ont des bogues. Et il y a des logiciels partout où vous regardez sur votre réseau, donc la triste vérité est que votre réseau est plein de bogues. Tous ces bogues n'entraîneront pas de vulnérabilité, mais certains le feront. Et si une seule de ces vulnérabilités est exploitée par des acteurs malveillants, votre réseau est compromis.
Les systèmes d'exploitation, les applications logicielles et le micrologiciel de l'appareil sont toutes des formes de logiciels. Il est évident que les serveurs et les points de terminaison du réseau exécuteront des systèmes d'exploitation et des applications. Les éléments qui sont souvent négligés sont d'autres appareils réseau tels que les pare-feu, les routeurs, les points d'accès sans fil et les commutateurs. Ceux-ci contiennent tous au moins un micrologiciel et souvent un système d'exploitation intégré également. D'autres appareils, tels que les appareils Internet des objets et d'autres appareils intelligents, contiennent également un micrologiciel, un système d'exploitation intégré et du code d'application.
À mesure que des vulnérabilités sont découvertes, les fournisseurs responsables publient des correctifs de sécurité. Ceux-ci contiennent des correctifs pour les bogues connus, qui ferment les vulnérabilités connues. Mais cela ne fera rien sans un coup de chance pour rectifier les vulnérabilités inconnues.
Supposons qu'un logiciel présente trois vulnérabilités. Deux d'entre eux sont découverts et un correctif de sécurité est publié pour y remédier. La troisième vulnérabilité, encore inconnue, est toujours dans le logiciel. Tôt ou tard, cette vulnérabilité sera découverte. Si elle est découverte par des cybercriminels, ils peuvent exploiter cette vulnérabilité dans tous les systèmes exécutant cette version du logiciel jusqu'à ce qu'un correctif soit publié par le fabricant et que les utilisateurs finaux appliquent ce correctif.
Publicité
< p>Ironiquement, de nouvelles vulnérabilités peuvent être introduites par des correctifs, des mises à jour et des mises à niveau. Et toutes les vulnérabilités ne sont pas dues à des bugs. Certains sont dus à de terribles décisions de conception, telles que les caméras de vidéosurveillance compatibles Wi-Fi IoT qui n'ont pas permis aux utilisateurs de modifier le mot de passe administrateur. Il est donc impossible de dire que vos systèmes sont exempts de vulnérabilités. Mais cela ne signifie pas que vous ne devriez pas faire ce que vous pouvez pour vous assurer qu'ils sont exempts de vulnérabilités connues.
Test d'intrusion et test de vulnérabilité
Un test d'intrusion est en fait une vaste série de tests conçus pour évaluer la sécurité de vos actifs informatiques externes. Des logiciels spécialisés sont utilisés pour identifier méthodiquement les éventuelles vulnérabilités exploitables. Il le fait en effectuant de nombreuses attaques bénignes sur vos défenses. Une exécution de test peut inclure des centaines de tests planifiés différents.
Les tests de vulnérabilité sont un type d'analyse similaire, mais ils sont effectués à l'intérieur de votre réseau. Il recherche le même type de vulnérabilités que les tests d'intrusion et vérifie que les versions du système d'exploitation sont à jour et toujours prises en charge par le fabricant. Les tests de vulnérabilité identifient les vulnérabilités qu'un acteur malveillant ou un logiciel malveillant pourrait exploiter si l'un ou l'autre accédait à votre réseau.
Les rapports générés par ces tests peuvent être écrasants à première vue. Chaque vulnérabilité est décrite et son numéro de vulnérabilités et d'expositions communes est indiqué. Cela peut être utilisé pour rechercher la vulnérabilité dans l'un des index de vulnérabilité en ligne. Même les réseaux modestes peuvent générer des rapports sur plusieurs dizaines de pages. Pour les réseaux de taille moyenne, les rapports peuvent être mesurés en centaines de pages.
Heureusement, les vulnérabilités sont classées en fonction de leur gravité. De toute évidence, vous devez d'abord traiter les vulnérabilités les plus prioritaires, c'est-à-dire les vulnérabilités les plus graves, puis les deuxièmes les plus prioritaires, et ainsi de suite. Les vulnérabilités de niveau le plus bas sont des vulnérabilités techniques, mais présentent un risque si faible qu'elles sont davantage considérées comme un élément consultatif qu'un élément obligatoire à rectifier.
Parfois, la correction d'une vulnérabilité élimine des pans entiers de problèmes. Un certificat TLS/SSL expiré ou auto-signé peut générer une longue liste de vulnérabilités. Mais corriger ce problème résoudra toutes les vulnérabilités associées d'un seul coup.
CONNEXION : Comment les certificats SSL sécurisent-ils le Web ?
Les avantages des tests d'intrusion
L'avantage le plus important qu'un test d'intrusion offre est la connaissance. Le rapport vous permet de comprendre et de rectifier les vulnérabilités connues présentes dans vos actifs informatiques, votre réseau et vos sites Web. La liste hiérarchisée vous indique clairement les vulnérabilités à traiter immédiatement, celles à traiter ensuite, etc. Cela garantit que vos efforts sont toujours dirigés vers les vulnérabilités restantes les plus graves. Il identifiera certainement des risques que vous ne saviez pas que vous aviez, mais il vous montrera également, bien qu'à travers des preuves négatives, les zones qui sont déjà bien sécurisées.
Publicité
Certains logiciels de test d'intrusion peuvent identifier les vulnérabilités dues à des problèmes de mauvaise configuration ou à une mauvaise hygiène de cybersécurité, telles que des règles de pare-feu conflictuelles ou des mots de passe par défaut. Il s'agit de solutions simples, rapides et peu coûteuses qui améliorent immédiatement votre cyber-posture.
Tout ce qui améliore l'efficacité de votre cybersécurité protège vos données les plus sensibles et favorise la continuité de votre activité. Et bien sûr, la prévention des violations et autres incidents de sécurité vous permet également d'éviter des amendes ou des poursuites judiciaires de la part des personnes concernées.
Savoir où se trouvaient vos points faibles et ce qu'ils étaient peut vous aider à planifier et à établir une feuille de route pour votre stratégie défensive. Cela vous permet de budgétiser et de hiérarchiser vos dépenses de sécurité. Cela vous permet également de repérer les failles dans les procédures de votre politique ou les domaines où elles ne sont pas respectées.
Si votre stratégie de correctifs est respectée, les correctifs de sécurité et les corrections de bogues doivent être appliqués en temps opportun une fois qu'ils ont été publiés par le fabricant. Le maintien de cette discipline empêchera vos systèmes d'exploitation, applications et micrologiciels de prendre du retard.
Si votre organisation fonctionne selon une norme telle que la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) ou ISO/EUC 27001 , les tests d'intrusion seront probablement une étape obligatoire pour la conformité. Les fournisseurs d'assurance cyberresponsabilité peuvent exiger que vous procédiez à une pénétration avant de vous proposer une police, ou ils peuvent offrir une prime réduite si vous effectuez régulièrement des tests de pénétration.
De plus en plus, les clients potentiels et existants demandent à voir les résultats d'un récent rapport de test d'intrusion dans le cadre de leur diligence raisonnable. Un client potentiel doit s'assurer que vous prenez la sécurité au sérieux avant de pouvoir vous confier l'une de ses données. Les clients existants doivent également s'assurer que leurs fournisseurs actuels prennent les précautions de cybersécurité nécessaires pour éviter d'être victimes d'une attaque de la chaîne d'approvisionnement.
Ce n'est pas& #8217;ta chose unique
Vous ne voudrez pas que les résultats de votre premier test d'intrusion sortent de votre organisation. Effectuez votre première série de tests, exécutez le travail de correction, puis refaites le test. Cette deuxième série de tests devrait fournir votre base de travail et un ensemble de résultats que vous seriez prêt à partager avec des tiers.
Publicité
La pénétration doit être répétée au moins une fois par an. Un cycle de six mois convient parfaitement à la plupart des organisations.