8.2. D�finition des �valuations et des essais
Les �valuations de vuln�rabilit�s peuvent �tre s�par�es en deux types�: de l'ext�rieur vers l'int�rieur et de l'int�rieur vers l'int�rieur.
Lors d'une �valuation de vuln�rabilit�s de l'ext�rieur vers l'int�rieur, vous essayez de compromettre vos syst�mes de l'ext�rieur. �tre en dehors de votre soci�t� vous offre le point de vue du pirate. Vous pouvez voir ce qu'un pirate voit — les adresses IP routables de fa�on publique, les syst�mes sur votre DMZ, les interfaces externes de votre pare-feu et bien plus encore. DMZ signifie zone d�militaris�e (de l'anglais demilitarized zone) et correspond � un ordinateur ou un petit sous-r�seau qui se situe entre un r�seau interne de confiance, comme un LAN priv�, et un r�seau externe qui n'est pas de confiance, comme l'internet public. Une DMZ contient normalement des p�riph�riques accessibles au trafic Internet, comme les serveurs Web (HTTP), les serveurs FTP, les serveurs SMTP (courrier �lectronique) et les serveurs DNS.
Lors d'une �valuation de vuln�rabilit�s de l'int�rieur vers l'int�rieur, vous avez un avantage vu que vous �tes interne et que votre statut devient de confiance. Ceci est le point de vue que vos coll�gues et vous poss�dez une fois connect�s sur vos syst�mes. Vous verrez les serveurs d'impression, les serveurs de fichiers, les bases de donn�es et d'autres ressources.
Il existe de grandes diff�rences entre ces deux types d'�valuation de vuln�rabilit�s. �tre � l'int�rieur de votre soci�t� vous donne des privil�ges �lev�s — sup�rieurs � toute autre personne de l'ext�rieur. De nos jours, dans la plupart des soci�t�s, la s�curit� est toujours configur�e de mani�re � garder les intrus dehors. Peu est fait pour s�curiser les internes de la soci�t� (comme les pare-feu de d�partements, les contr�les d'acc�s au niveau de l'utilisateur, les proc�dures d'authentification pour les ressources internes et autres). En g�n�ral, il existe bien plus de ressources de l'int�rieur vu que la plupart des syst�mes sont internes � la soci�t�. Une fois que vous devenez externe � la soci�t�, votre statut n'est imm�diatement plus de confiance. Les syst�mes et les ressources qui vous sont disponibles de l'ext�rieur sont g�n�ralement bien plus limit�s.
Consid�rez la diff�rence entre les �valuations de vuln�rabilit�s et les essais de p�n�tration. Pensez � l'�valuation de vuln�rabilit�s comme la premi�re �tape d'un essai de p�n�tration. Les informations glan�es depuis l'�valuation seront utilis�es dans les essais. Alors que l'�valuation v�rifie les trous et les vuln�rabilit�s potentielles, les essais de p�n�tration essaient en fait d'exploiter les conclusions.
L'�valuation d'une infrastructure r�seau est un processus dynamique. La s�curit�, des informations et physique, est dynamique. Effectuer une �valuation offre une vue d'ensemble, qui peut trouver des faux positifs et des faux n�gatifs.
Les administrateurs de s�curit� sont aussi comp�tents que les outils qu'ils utilisent et les connaissances qu'ils retiennent. Prenez n'importe quel outil d'�valuation actuellement disponible, ex�cutez-le sur votre syst�me et il est pratiquement garanti qu'il existera au moins plusieurs faux positifs. Que ce soit une faute de programme ou une erreur d'utilisateur, les r�sultats seront les m�mes. L'outil peut trouver des vuln�rabilit�s qui, en fait, n'existent pas (faux positifs)�; ou, au pire, l'outil peut ne pas trouver des vuln�rabilit�s qui existent bien (faux n�gatifs).
Maintenant que la diff�rence entre l'�valuation de vuln�rabilit�s et l'essai de p�n�tration a �t� �tablie, il est souvent de bonne habitude de rassembler les conclusions de l'�valuation et de les passer en revue avec attention avant de proc�der � un essai de p�n�tration.
| Avertissement |
---|
| Essayer d'exploiter les vuln�rabilit�s de ressources de production peut avoir des effets n�gatifs sur la productivit� et l'efficacit� de vos syst�mes et r�seaux. |
La liste suivante examine certains avantages li�s au fait d'effectuer des �valuations de vuln�rabilit�s.
Accent proactif port� sur la s�curit� des informations
Exploits potentiels d�couverts avant que les pirates ne les trouvent
Syst�mes habituellement � jour et avec des correctifs
Am�lioration et aide au d�veloppement de l'expertise du personnel
R�duction de perte financi�re et de mauvaise publicit�
8.2.1. �tablissement d'une m�thodologie
Pour aider � s�lectionner les outils pour des �valuations de vuln�rabilit�s, il est utile d'�tablir une m�thodologie d'�valuation de vuln�rabilit�s. Malheureusement, il n'existe � ce jour aucune m�thodologie approuv�e par l'industrie ou pr�d�finie�; cependant, du bon sens et de bonnes habitudes peuvent suffisamment servir de guide.
Quelle est la cible�? Faisons-nous face � un serveur ou � notre r�seau entier et tout ce qui s'y trouve�? Sommes-nous externes ou internes � la soci�t�? Les r�ponses � ces questions sont importantes vu qu'elles vous aideront � d�terminer non seulement les outils � s�lectionner, mais �galement la mani�re de les utiliser.
Pour en savoir plus sur l'�tablissement de m�thodologies, veuillez consulter les sites Web suivants�: