L'espace en ligne continue de croître rapidement, ouvrant davantage de possibilités de cyberattaques au sein d'un système informatique, d'un réseau ou d'une application Web. Pour atténuer et se préparer à ces risques, les tests d'intrusion sont une étape nécessaire pour détecter les failles de sécurité qu'un attaquant pourrait utiliser.
Qu'est-ce qu'un test d'intrusion ?
A test de pénétration, ou « pen test », est un test de sécurité exécuté pour simuler une cyberattaque en action. UN cyberattaque peut inclure une tentative de phishing ou une violation d’un système de sécurité réseau. Il existe différents types de tests d'intrusion disponibles pour une organisation en fonction des contrôles de sécurité nécessaires. Le test peut être exécuté manuellement ou avec des outils automatisés dans le cadre d’un plan d’action spécifique ou d’une méthodologie de test d’intrusion.
Pourquoi les tests d’intrusion et qui est impliqué ?
Les termes "piratage éthique» et « tests d'intrusion » sont parfois utilisés de manière interchangeable, mais il y a une différence. Le piratage éthique est un domaine plus large cybersécurité domaine qui inclut toute utilisation de compétences en piratage informatique pour améliorer la sécurité du réseau. Les tests d’intrusion ne sont qu’une des méthodes utilisées par les pirates informatiques éthiques. Les pirates éthiques peuvent également fournir une analyse des logiciels malveillants, une évaluation des risques et d'autres outils et techniques de piratage pour découvrir et corriger les faiblesses de sécurité plutôt que de causer des dommages.
IBM Coût d'un rapport de violation de données 2023 a révélé que le coût moyen mondial d'une violation de données en 2023 était de 4.45 millions de dollars, soit une augmentation de 15 % sur 3 ans. Une façon d’atténuer ces violations consiste à effectuer des tests d’intrusion précis et ciblés.
Les entreprises embauchent des pen tester pour lancer des attaques simulées contre leurs applications, réseaux et autres actifs. En organisant de fausses attaques, les testeurs d'intrusion aident équipes de sécurité découvrez les vulnérabilités de sécurité critiques et améliorez la posture de sécurité globale. Ces attaques sont souvent menées par des équipes rouges ou des équipes de sécurité offensives. Le équipe rouge simule les tactiques, techniques et procédures (TTP) d'un véritable attaquant contre le propre système de l'organisation afin d'évaluer les risques de sécurité.
Il existe plusieurs méthodologies de tests d’intrusion à prendre en compte lorsque vous vous lancez dans le processus de test d’intrusion. Le choix de l'organisation dépendra de la catégorie de l'organisation cible, de l'objectif du pen test et de la portée du test de sécurité. Il n’existe pas d’approche universelle. Cela nécessite qu'une organisation comprenne ses problèmes de sécurité et sa politique de sécurité pour qu'il y ait une analyse de vulnérabilité équitable avant le processus de test d'intrusion.
Regardez des démos de tests d'intrusion de X-Force
5 principales méthodologies de tests d'intrusion
L’une des premières étapes du processus de test d’intrusion consiste à décider de la méthodologie à suivre.
Ci-dessous, nous examinerons cinq des cadres de tests d'intrusion et des méthodologies de tests d'intrusion les plus populaires pour aider à guider les parties prenantes et les organisations vers la meilleure méthode pour leurs besoins spécifiques et à garantir qu'elle couvre tous les domaines requis.
1. Manuel de méthodologie des tests de sécurité Open Source
Le manuel de méthodologie de test de sécurité open source (OSSTMM) est l'une des normes de tests d'intrusion les plus populaires. Cette méthodologie est évaluée par des pairs pour les tests de sécurité et a été créée par l'Institut pour la sécurité et les méthodologies ouvertes (ISECOM).
La méthode repose sur une approche scientifique du pen testing avec des guides accessibles et adaptables pour les testeurs. L'OSSTMM inclut des fonctionnalités clés, telles qu'une orientation opérationnelle, des tests de canaux, des mesures et une analyse de confiance dans sa méthodologie.
OSSTMM fournit un cadre pour les tests de pénétration du réseau et l'évaluation de la vulnérabilité pour les professionnels des tests d'intrusion. Il s'agit d'un cadre permettant aux fournisseurs de trouver et de résoudre les vulnérabilités, telles que les données sensibles et les problèmes d'authentification.
2. Ouvrez le projet de sécurité des applications Web
OWASP, abréviation de Open Web Application Security Project, est une organisation open source dédiée à la sécurité des applications Web.
L'objectif de l'organisation à but non lucratif est de rendre tout son matériel gratuit et facilement accessible à toute personne souhaitant améliorer la sécurité de ses propres applications Web. L'OWASP possède son propre Top 10 (le lien réside en dehors de ibm.com), qui est un rapport bien tenu décrivant les plus grands problèmes de sécurité et les risques pour les applications Web, tels que les scripts intersites, l'authentification brisée et le passage derrière un pare-feu. L'OWASP utilise la liste des 10 meilleurs comme base pour son guide de test OWASP.
Le guide est divisé en trois parties : cadre de test OWASP pour le développement d'applications Web, méthodologie de test d'applications Web et reporting. La méthodologie d'application Web peut être utilisée séparément ou dans le cadre du cadre de test Web pour les tests d'intrusion d'applications Web, les tests d'intrusion d'applications mobiles, les tests d'intrusion d'API et les tests d'intrusion IoT.
3. Norme d’exécution des tests d’intrusion
PTES, ou Penetration Testing Execution Standard, est une méthode complète de test d’intrusion.
PTES a été conçu par une équipe de professionnels de la sécurité de l'information et est composé de sept sections principales couvrant tous les aspects des tests d'intrusion. L’objectif du PTES est de disposer de directives techniques décrivant ce que les organisations doivent attendre d’un test d’intrusion et de les guider tout au long du processus, en commençant dès la phase de pré-engagement.
Le PTES vise à servir de référence pour les tests d’intrusion et à fournir une méthodologie standardisée pour les professionnels et les organisations de sécurité. Le guide fournit une gamme de ressources, telles que les meilleures pratiques à chaque étape du processus de test d'intrusion, du début à la fin. Certaines caractéristiques clés de PTES sont l’exploitation et la post-exploitation. L'exploitation fait référence au processus d'accès à un système grâce à des techniques de pénétration telles que ingénierie sociale et le piratage de mots de passe. La post-exploitation se produit lorsque les données sont extraites d’un système compromis et que l’accès est maintenu.
4. Cadre d'évaluation de la sécurité des systèmes d'information
Le cadre d'évaluation de la sécurité des systèmes d'information (ISSAF) est un cadre de tests d'intrusion pris en charge par l'Information Systems Security Group (OISSG).
Cette méthodologie n'est plus maintenue et n'est probablement pas la meilleure source d'informations les plus à jour. Cependant, l’un de ses principaux atouts est qu’il relie les étapes individuelles du test d’intrusion à des outils de test d’intrusion spécifiques. Ce type de format peut être une bonne base pour créer une méthodologie individualisée.
5. Institut national des normes et de la technologie
NIST, abréviation de National Institute of Standards and Technology, est un cadre de cybersécurité qui fournit un ensemble de normes de test d'intrusion que le gouvernement fédéral et les organisations extérieures doivent suivre. Le NIST est une agence au sein du Département américain du Commerce et doit être considéré comme la norme minimale à suivre.
Les tests d'intrusion du NIST s'alignent sur les directives envoyées par le NIST. Pour se conformer à ces directives, les organisations doivent effectuer des tests d'intrusion en suivant l'ensemble de directives prédéterminées.
Étapes du test du stylet
Définir une portée
Avant le début d’un test d’intrusion, l’équipe de test et l’entreprise définissent la portée du test. La portée décrit quels systèmes seront testés, quand les tests auront lieu et les méthodes que les testeurs de stylet peuvent utiliser. La portée détermine également la quantité d’informations dont les testeurs de stylet disposeront à l’avance.
Commencer le test
La prochaine étape consisterait à tester le plan de cadrage et à évaluer les vulnérabilités et les fonctionnalités. Au cours de cette étape, une analyse du réseau et des vulnérabilités peut être effectuée pour mieux comprendre l'infrastructure de l'organisation. Des tests internes et des tests externes peuvent être effectués en fonction des besoins de l'organisation. Il existe une variété de tests que les testeurs de stylet peuvent effectuer, notamment un test en boîte noire, un test en boîte blanche et un test en boîte grise. Chacun fournit différents degrés d’informations sur le système cible.
Une fois qu'une vue d'ensemble du réseau est établie, les testeurs peuvent commencer à analyser le système et les applications dans le cadre donné. Au cours de cette étape, les pen testers collectent autant d’informations que possible pour comprendre toute mauvaise configuration.
Rapport sur les conclusions
La dernière étape consiste à rendre compte et à débriefer. Dans cette étape, il est important d’élaborer un rapport de test d’intrusion avec tous les résultats du pen test décrivant les vulnérabilités identifiées. Le rapport doit inclure un plan d'atténuation et les risques potentiels si des mesures correctives ne sont pas prises.
Tests d'intrusion et IBM
Si vous essayez de tout tester, vous perdrez votre temps, votre budget et vos ressources. En utilisant une plateforme de communication et de collaboration avec des données historiques, vous pouvez centraliser, gérer et hiérarchiser les réseaux, applications, appareils et autres actifs à haut risque pour optimiser votre programme de tests de sécurité. Le portail X-Force® Red permet à toutes les personnes impliquées dans la remédiation de consulter les résultats des tests immédiatement après la découverte des vulnérabilités et de planifier des tests de sécurité à leur convenance.
Explorez les services de tests d'intrusion réseau de X-Force
Cet article a-t-il été utile?
OuiNon
En savoir plus sur la transformation de l'entreprise
Bulletins d'information IBM
Recevez nos newsletters et nos mises à jour thématiques qui fournissent les dernières idées en matière de leadership éclairé et d'informations sur les tendances émergentes.
S'abonner
Plus de newsletters
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.ibm.com/blog/pen-testing-methodology/
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- Qui sommes-nous
- accès
- accessible
- Avec cette connaissance vient le pouvoir de prendre
- Action
- ajoutée
- avances
- Numérique
- Après
- à opposer à
- agence
- devant
- vise
- Aligne
- Tous
- déjà
- aussi
- amp
- an
- selon une analyse de l’Université de Princeton
- analytique
- l'analyse
- ainsi que les
- tous
- chacun.e
- api
- Application
- Le développement d'applications
- sécurité de l'application
- applications
- une approche
- applications
- SONT
- domaines
- article
- AS
- aspects
- Evaluer
- Évaluation de risque climatique
- Outils
- At
- Attaques
- tentative
- Authentification
- auteur
- Automatisation
- disponibles
- moyen
- RETOUR
- Services bancaires
- basé
- Baseline
- base
- BE
- derrière
- LES MEILLEURS
- les meilleures pratiques
- Améliorée
- Le plus grand
- Boîte noire
- Blog
- blogue
- Bleu
- Bas et Leggings
- Marques
- violation
- infractions
- Apportez le
- Cassé
- budget
- construire
- la performance des entreprises
- femme d'affaires
- mais
- bouton (dans la fenêtre de contrôle qui apparaît maintenant)
- by
- CAN
- Compétences
- capital
- Marchés de capitaux
- carbone
- carte
- Cartes
- prudemment
- la réalisation
- CHAT
- Catégories
- Causes
- centraliser
- Change
- Modifications
- Développement
- vérifier
- Passer au paiement
- le choix
- cercles
- CIS
- classe
- collaboration
- collègues
- Couleur
- Venir
- Commerce
- Communication
- Sociétés
- Société
- comparer
- compétitif
- complexités
- conformité
- se conformer
- complet
- Compromise
- ordinateur
- Préoccupations
- Considérer
- considéré
- Les consommateurs
- Contenant
- continuer
- continue
- continuellement
- contrat
- des bactéries
- contrôles
- commodité
- Prix
- Counter
- cours
- couvrant
- couvre
- fissuration
- créée
- La création
- critique
- CSS
- Customiser
- des clients
- les attentes du client
- expérience client
- Fidélité du consommateur
- Clients
- CX
- Cyber-attaque
- cyber-attaques
- Cybersécurité
- données
- violation de données
- la sécurité des données
- Date
- Compte rendu
- Décider
- réduction
- dévoué
- Réglage par défaut
- définitions
- livrer
- page de livraison.
- Demande
- Démos
- Département
- départements
- dépendre
- Selon
- la description
- un
- détermine
- développer
- développement
- Développement
- Compatibles
- différence
- différent
- découvrez
- plongeon
- divisé
- do
- fait
- chacun
- même
- Edge
- économies émergentes.
- permet
- s'efforcer
- assurer
- Entrer
- notamment
- établies
- Ether (ETH)
- éthique
- Pourtant, la
- événements
- JAMAIS
- tout le monde
- peut
- Excellence
- exécution
- Sortie
- attendre
- attentes
- d'experience
- expliquant
- exploitation
- Explorer
- externe
- PERSONNEL
- juste
- faux
- non
- Fonctionnalités:
- National
- Gouvernement fédéral
- champ
- Déposez votre dernière attestation
- finale
- finance
- la traduction de documents financiers
- services financiers
- Trouvez
- trouver
- résultats
- finition
- pare-feu
- Prénom
- premières étapes
- cinq
- Fixer
- Focus
- suivre
- Abonnement
- polices
- Pour
- le format
- en avant
- trouvé
- Fondation
- Framework
- cadres
- Gratuit
- de
- fonction
- avenir
- gagner
- rassemblement
- générateur
- obtenez
- obtention
- donné
- Global
- objectif
- Bien
- pour les
- gouvernance
- Gouvernement
- Grille
- Réservation de groupe
- Croître
- l'orientation
- guide
- lignes directrices
- Guides
- les pirates
- piratage
- arriver
- nuire
- Vous avez
- Titre
- la taille
- vous aider
- utile
- Haute
- risque élevé
- louer
- historique
- holistique
- Comment
- How To
- Cependant
- HTTPS
- IBM
- ICO
- ICON
- identifié
- identifier
- if
- image
- immédiatement
- Impact
- important
- améliorer
- amélioration
- in
- en magasin
- comprendre
- inclut
- Y compris
- Améliore
- incrémental
- indice
- individuel
- industrie
- inflation
- d'information
- sécurité de l'information
- Systèmes D'Information
- Infrastructure
- idées.
- Institut
- interactions
- intérêt
- Taux d'intérêt
- interne
- développement
- impliqué
- IOT
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- Janvier
- jpg
- juste
- juste un
- ACTIVITES
- paysage d'été
- gros
- Nouveautés
- lancer
- Leadership
- Lens
- moins
- Probable
- Gamme
- LINK
- Gauche
- Liste
- locales
- local
- plus long
- Fidélité
- LES PLANTES
- Entrée
- maintenir
- majeur
- a prendre une
- malware
- gérer
- gestion
- Manuel
- manuellement
- de nombreuses
- Marché
- marché
- Marchés
- Matériel
- compte
- largeur maximale
- Mai..
- signifiait
- méthode
- méthodologies
- Méthodologie
- méthodes
- Métrique
- pourrait
- million
- m.
- minimum
- minutes
- Réduire les
- atténuation
- Breeze Mobile
- PLUS
- (en fait, presque toutes)
- Le Plus Populaire
- beaucoup
- must
- Nationales
- Navigation
- nécessaire
- nécessaire
- Besoins
- réseau et
- Network Security
- réseaux
- Nouveauté
- Nouvel An
- Newsletters
- next
- nist
- aucune
- une organisation à but non lucratif
- rien
- maintenant
- se produire
- of
- de rabais
- offensive
- Bureaux
- souvent
- on
- ONE
- en ligne
- ouvert
- open source
- ouverture
- opérationnel
- Opérations
- Opportunités
- Optimiser
- optimisé
- l'optimisation
- or
- organisation
- organisations
- Autre
- nos
- les résultats
- contour
- grandes lignes
- décrivant
- au contrôle
- plus de
- global
- vue d'ensemble
- propre
- propriétaire
- rythmé
- page
- Pain
- Points douloureux
- partie
- les pièces
- Mot de Passe
- évaluées par des pairs
- pénétration
- effectuer
- effectué
- effectuer
- Pharmaceutique
- phishing
- Téléphone
- PHP
- plan
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- plug-in
- des notes bonus
- politique
- Populaire
- Portail
- position
- possible
- Post
- défaillances
- pratiques
- Préparer
- la parfaite pression
- primaire
- Avant
- Prioriser
- procédures
- processus
- les process
- approvisionnement
- Produit
- le développement de produits
- Qualité du produit
- Produits
- ,une équipe de professionnels qualifiés
- Programme
- Projet
- fournir
- fournisseurs
- fournit
- but
- poursuite
- qualité
- fréquemment posées
- gamme
- rapidement
- Tarifs
- plutôt
- en cours
- réal
- en temps réel
- Rouge
- réduction
- se réfère
- rester
- assainissement
- rapport
- Rapports
- conditions
- a besoin
- réside
- résoudre
- Resources
- sensible
- conserver
- Analyse
- évaluation des risques
- risques
- Collaboratif
- Salle
- Courir
- s
- vente
- Épargnes
- balayage
- calendrier
- sur une base scientifique
- portée
- Scoping
- pour écran
- scripts
- les sections
- Secteurs
- sécurité
- les tests de sécurité
- sensible
- envoyé
- seo
- serveur
- service
- Services
- set
- sept
- plusieurs
- Shorts
- devrait
- montrer
- Spectacles
- côté
- Signal
- site
- compétences
- petit
- smart
- So
- Résoudre
- quelques
- parfois
- Identifier
- Space
- groupe de neurones
- passer
- Sponsorisé
- carrés
- Étape
- mise en scène
- parties prenantes
- Standard
- standardisé
- Normes
- Commencer
- Commencez
- rester
- étapes
- Étapes
- Boutique
- de Marketing
- forces
- STRONG
- Étude
- inscrire
- réussi
- tel
- Appareils
- surprenant
- Alentours
- SVG
- combustion propre
- Système
- tactique
- Target
- équipe
- équipes
- Technique
- techniques
- technologique
- Technologie
- Avoir tendance
- conditions
- tertiaire
- tester
- examiné
- testeurs
- Essais
- tests
- que
- à
- qui
- Les
- les informations
- leur
- Les
- thème
- Là.
- Ces
- l'ont
- penser
- this
- ceux
- pensée
- leadership éclairé
- trois
- Avec
- tout au long de
- fiable
- Titre
- à
- aujourd'hui
- ensemble
- trop
- les outils
- top
- Top 10
- sujet
- De La Carrosserie
- Trends
- La confiance
- Essai
- turbulent
- type
- types
- nous
- devoiler
- découvert
- sous
- comprendre
- compréhension
- imprévu
- mise à jour
- Actualités
- URL
- USD
- utilisé
- d'utiliser
- Usages
- en utilisant
- variété
- variant
- Voir
- visible
- vulnérabilités
- vulnérabilité
- évaluation de la vulnérabilité
- analyse des vulnérabilités
- W
- veut
- était
- Déchets
- Façon..
- we
- faiblesses
- Météo
- web
- application Web
- Applications Web
- Quoi
- quand
- que
- qui
- tout en
- WHO
- why
- sera
- comprenant
- dans les
- Outils de gestion
- ouvriers
- de travail
- digne
- pourra
- écrivain
- code écrit
- XML
- an
- années
- you
- jeune
- Votre
- zéphyrnet