Test d'intrusion Infrastructure

Objectif

L'objectif global du test d'intrusion est d'évaluer le niveau de sécurité d'une infrastructure. Cela permet d'atteindre des buts multiples :

  • Identification de vulnérabilités par un tiers de confiance avant qu'elles ne soient exploitées par des attaquants
  • Démontrer son niveau de sécurité à ses clients / partenaires ou sa direction
  • Répondre aux exigences légales, contractuelles, réglementaires, pour l'obtention d'une certification, pour des engagements de conformité
  • Obtenir et conserver la confiance
  • Maitriser ses risques

Les étapes

La première étape est la définition des modalités de l'audit, de ses objectifs, de son périmètre, mais aussi le choix des dates, des intervenants, du format des livrables et des types de tests ainsi que l'établissement des prérequis.

Dans un second temps, les auditeurs vont effectuer leurs tests. Si une vulnérabilité critique est découverte au cours de l'audit, l'audité en sera immédiatement informé. Une fois les tests terminés, les auditeurs vont se concentrer sur la rédaction du rapport d'audit. Le rapport comprend notament une synthèse managériale, le récapitulatif des vulnérabilités trouvées et pour chacune d'entre elles la description, les observations et recommandations associées.

Finalement une réunion de restitution sera plannifiée afin de présenter les résultats de l'audit et les livrables seront remis au commanditaire. Il sera possible de prévoir un contre-audit par la suite pour s'assurer que les corrections apportées sont suffisantes et ne sont pas contournables.

Les tests

Le test d'intrusion permet de vérifier les points suivants (liste non-exhaustive) sur l'infrastructure et les machines (serveurs, postes clients, équipements réseaux, hyperviseurs) qui la compose :

  • Cloisonnement des segments réseaux
  • Cloisonnement des utilisateurs du domaine
  • Niveau de sécurité des protocoles réseaux
  • Contrôle d'accès
  • Gestion des droits des partages réseaux
  • Exposition de documents et applications sensibles
  • Défauts de configuration
  • Contournement des mécanismes de sécurité
  • Composants et systèmes non à jour
  • Services accessibles et mal sécurisés

Les vulnérabilités

Les vulnérabilités suivantes (liste non-exhaustive) sont couramment remontées lors de nos tests d'intrusion :

  • Accès Invité/Anonyme ouvert
  • Cloisonnement réseau insuffisant
  • Communauté SNMP par défaut
  • Composants vulnérables
  • Contrôle d'accès des périphériques insuffisant
  • Protocoles obsolètes
  • Énumération d'utilisateur avec le SID
  • Politique de mot de passes faible
  • Mots de passe par défaut ou faibles
  • Vulnérabilités connues (CVE, EternalBlue, ZeroLogon)
  • Pass The Ticket (PTT) (Silver/Golden Ticket, Kerberoast)
  • Pass The Hash (PTH)
  • Overpass The Hash/Pass The Key (PTK)
  • Système d'exploitation non supporté
  • Serices systèmes vulnérables (Juicy Potato, Rotten Potato, AlwaysInstallElevated, unquoted paths)
  • Services d'administration exposés (RDP, WinRM, SSH)

Les référentiels

En fonction du type d'audit, SEC-IT s'appuie sur différents référentiels reconnus, parmis lesquels :

Les autres offres de test d'intrusion

Test d'intrusion Web

Évaluer la sécurité de vos applications et API web

Test d'intrusion d'Application mobile

Évaluer la sécurité de vos applications Android

Test d'intrusion Cloud

Évaluer la sécurité de votre environnement Cloud AWS, Azure, GCP