lundi 7 décembre 2009

Pourquoi doit on faire un test de securité ?

Introduction

Test d'intrusion est un terme souvent confondus. Grâce à ce guide Corsaire, un leader mondial de la sécurité de l'information, donne un large aperçu de ce que cela signifie, pourquoi vous le voulez, et comment tirer le meilleur parti du processus.

* Qu'est-ce qu'un test d'intrusion?
* Pourquoi les tests de pénétration conduite?
* Que peut-on tester?
* Quels devraient être testés?
* Qu'est-ce que vous obtenez pour l'argent?
* Que faire pour s'assurer que le projet est un succès

Qu'est-ce qu'un test d'intrusion?

Une grande partie de la confusion entourant les tests de pénétration s'explique par le fait qu'il est un champ relativement récente et évolue rapidement. En outre, de nombreuses organisations auront leur propre terminologie interne (test de pénétration d'un seul homme est à un autre audit des vulnérabilités ou de l'évaluation des risques techniques).

À sa plus simple, une pénétration de test (en fait, nous préférons le terme d'évaluation de la sécurité) est le processus permettant d'évaluer activement vos mesures de sécurité de l'information. On notera l'insistance sur «l'évaluation des actifs"; les systèmes d'information seront testées pour trouver tous les problèmes de sécurité, par opposition à un seul théorique ou sur support papier d'audit.

Les résultats de l'évaluation seront ensuite consignés dans un rapport, qui devrait être présenté à une séance de débriefing, où les questions peuvent être résolues et les stratégies correctives puissent être librement discutée.
Pourquoi effectuer un test d'intrusion?

D'un point de vue commercial, les tests de pénétration permet de protéger votre organisation contre l'échec, à travers:

* Prévention de la perte financière par la fraude (les pirates, les escrocs et les employés mécontents) ou par des recettes perdues en raison de systèmes de gestion fiables et des processus.
* Preuve de diligence raisonnable et la conformité à vos réglementation du secteur, clients et actionnaires. Non-conformité peut entraîner votre organisme cédant affaires et a reçu de lourdes amendes, la collecte bad PR ou l'échec final. À un niveau personnel, il peut aussi signifier la perte de votre emploi, les poursuites et parfois même la prison.
* Protection de votre marque en évitant la perte de confiance des consommateurs et la réputation des entreprises.

Du point de vue opérationnel, les tests de pénétration contribue à façonner la stratégie d'information de sécurité à travers:

* Identification des vulnérabilités et de quantifier leur impact et la probabilité pour qu'ils puissent être gérés de façon proactive; budget peut être alloué et les mesures correctives mises en œuvre.

Que peut-on tester?

Toutes les parties de la façon dont votre organisation saisit, stocke et traite les informations peuvent être évalués; les systèmes qui les informations sont stockées dans les canaux de transmission que le transport, et le processus et du personnel qui le gèrent. Exemples de domaines qui sont fréquemment testés sont les suivants:

* Off-the-produits disponibles (systèmes d'exploitation, applications, bases de données, équipement de réseautage, etc)
* Le développement sur mesure (sites web dynamiques, des applications internes, etc)
* Téléphonie (guerre de numérotation, l'accès à distance, etc)
* Sans-fil (Wi-Fi, Bluetooth, infrarouge, GSM, RFID, etc)
* Personnel (procédure de sélection, de l'ingénierie sociale, etc)
* Physiques (contrôles d'accès, poubelles, etc)

Quel devrait être testé?

Idéalement, votre organisation doit avoir déjà réalisé une évaluation des risques, tels seront conscients des menaces principales (telles que les communications échec, échec d'e-commerce, la perte d'informations confidentielles, etc), et peuvent désormais utiliser une évaluation de sécurité pour identifier les vulnérabilités qui sont liées à ces menaces. Si vous n'avez pas effectué une évaluation des risques, alors il est fréquent de commencer par les domaines de la plus grande exposition, telles que les systèmes publics face, les sites web, des portails e-mail, les plateformes d'accès à distance, etc

Parfois, le «quoi» du processus de mai sera dictée par les normes que votre organisation est tenue de se conformer. Par exemple, un crédit-type sur l'assistance de la carte (comme le PCI) mai exiger que toutes les composantes qui enregistrent ou traitent des données titulaire de carte sont évalués.
Qu'est-ce que vous obtenez pour l'argent?

Alors que beaucoup d'effort technique est appliquée au cours de l'essai et l'analyse, la valeur réelle d'un test de pénétration est dans le rapport et compte rendu que vous recevez à la fin. Si elles ne sont pas claires et faciles à comprendre, puis tout l'exercice est de peu de valeur.

Idéalement, le rapport et de verbalisation devrait être divisé en sections qui sont spécifiquement destinés à leur public cible. Les cadres ont besoin les risques commerciaux et les solutions possibles clairement décrit en termes simples, les gestionnaires ont besoin d'un large aperçu de la situation sans se perdre dans les détails, et le personnel technique besoin d'une liste de vulnérabilités pour aborder, avec les solutions recommandées.
Que faire pour s'assurer que le projet est un succès

Définir le champ d'application

Le champ d'application devrait être clairement définie, non seulement dans le cadre des composantes à être (ou ne pas être) a évalué et les contraintes sous lesquelles les tests devraient être menées, mais aussi les métiers et techniques objectifs. Pour les essais de pénétration de mai par exemple se concentrer uniquement sur une seule application sur un serveur unique ou mai être plus ambitieuses, y compris tous les hôtes attachés à un réseau particulier.

Le choix d'un partenaire de sécurité

Une autre étape essentielle pour assurer que votre projet soit un succès est de choisir le fournisseur qui a utiliser.

Comme un absolu fondamentaux lorsqu'ils choisissent un partenaire de sécurité, éliminer d'abord le fournisseur qui a fourni les systèmes qui seront testées. Pour utiliser leur permettra de créer un conflit d'intérêts (seront-ils vraiment dire que vous leur déploiement dans les systèmes de sécurité n'est pas assurée, ou tranquillement ignorer certaines questions).

Détaillées ci-dessous sont quelques questions que vous pourriez demander à votre partenaire potentiel de sécurité:

* Est-évaluation de la sûreté de leurs activités de base?
* Combien de temps sont-ils offrir des services d'évaluation de la sécurité?
* Est-ce qu'ils offrent une gamme de services qui peuvent être adaptés à vos besoins spécifiques?
* Sont-ils fournisseur indépendant (accords de confidentialité ont-elles avec les fournisseurs qui les empêchent de vous transmettre l'information)?
* Avez-ils effectuent leur propre recherche, ou sont-ils tributaires de l'extérieur de l'information à jour qui est placé dans le domaine public par d'autres?
* Quelle est la crédibilité de leur consultant?
* Comment expérimentés de l'équipe de test proposés (combien de temps ils ont été les essais, et quelle est leur origine et l'âge)?
* Ont-ils des certifications professionnelles, telles que PCI, CISSP, CISA, et CHECK?
* Sont-ils reconnus contributeurs au sein de l'industrie de la sécurité (livres blancs, des avis, les orateurs, etc)?
* Les CVs disponibles pour l'équipe qui va travailler sur votre projet?
* Quelle serait l'approche fournisseur du projet?
* Ont-ils une méthodologie normalisée qui respecte et dépasse les communes, telles que OSSTMM, CHECK et OWASP?
* Pouvez-vous accéder à un exemple de rapport d'évaluation de la production (est-ce quelque chose que vous pourriez donner à vos cadres, ne leur faire part des problèmes commerciaux de manière non technique)?
* Quelle est leur politique en matière de confidentialité?
* Avez-elles externalisent ou sous-traitants utiliser?
* Sont disponibles des références de clients satisfaits dans le même secteur d'activité?
* Yat-il un accord juridique qui vous protègent de négligence de la part du fournisseur?
* Est-ce que le fournisseur de maintenir une couverture appropriée pour protéger votre organisation?

Aucun commentaire:

Enregistrer un commentaire