Outils et techniques d'audit de la sécurité réseau> Évaluation des contrôles de sécurité – Serveur d’impression

L'évaluation des contrôles de sécurité implique plus que la simple analyse d'un pare-feu pour voir quels ports sont ouverts, puis son exécution dans une salle silencieuse pour générer un rapport. Il est naturel que les ingénieurs en sécurité s'intéressent à la technologie et se concentrent sur les tests de contrôle de sécurité techniques (également appelés tests d'intrusion), car ils constituent probablement la partie "amusante" de la sécurité pour la plupart des ingénieurs. Effectuer un test d'intrusion revient à poser le gant aux professionnels de la sécurité et leur donne l'occasion de faire preuve de souplesse dans leurs compétences en piratage informatique. Tester la sécurité en tant que système implique toutefois bien plus que de lancer des paquets malveillants soigneusement conçus sur le réseau pour voir ce qui se passe. Ce chapitre traite des outils logiciels et des techniques que les auditeurs peuvent utiliser pour tester les contrôles de sécurité du réseau. Il est important de noter qu'il ne s'agit pas d'un chapitre sur le piratage. Vous n'apprendrez pas toutes les techniques et les outils disponibles aujourd'hui pour pénétrer des réseaux. Faites une recherche chez votre libraire en ligne préféré pour les termes hacking, hacker ou test d'intrusion et vous trouverez une multitude de livres consacrés à ces sujets. Les tests de sécurité en tant que processus sont couverts, mais l’accent est mis sur la collecte des preuves utiles à un audit. Une évaluation minutieuse des contrôles de sécurité constitue un élément essentiel pour déterminer si une entreprise se conforme ou non à ses politiques, procédures et normes. Grâce aux tests des contrôles de sécurité, vous pouvez déterminer si l'entreprise remplit ses objectifs en matière de réduction des risques et d'éloignement des malfaiteurs des réseaux et des systèmes critiques. Évaluation des contrôles de sécurité Les contrôles de sécurité sont les garanties qu'une entreprise utilise pour réduire les risques et protéger les actifs. La stratégie détermine quels contrôles de sécurité sont nécessaires, et ces contrôles sont sélectionnés en identifiant un risque et en choisissant la contre-mesure appropriée qui réduit l'impact d'un événement indésirable (par exemple, le vol d'une base de données client). L'évaluation des contrôles de sécurité dans sa forme la plus simple permet de vérifier si le contrôle tient compte de manière adéquate des politiques, des meilleures pratiques et du droit. Tester l'efficacité des contrôles de sécurité et les comparer à des normes sont l'un des meilleurs moyens d'aider une organisation à respecter ses obligations envers les actionnaires et ses responsabilités réglementaires. Comme indiqué au chapitre 1, "Principes de l'audit", les principaux types de contrôle de sécurité sont les contrôles administratif, technique et physique. Dans chaque catégorie, les contrôles spécifiques pouvant être mis en œuvre sont préventifs, détectifs, correctifs ou de récupération. Ces types de contrôle fonctionnent ensemble et, en général, vous devez fournir des contrôles de chaque catégorie pour protéger efficacement un actif. Lors du test des contrôles, assurez-vous que chaque catégorie fonctionnelle est traitée et que tous les contrôles sont mis en œuvre de manière à ne pas permettre un contournement facile. Vous pouvez avoir le pare-feu le plus avancé au monde en tant que contrôle préventif, mais sans contrôler son efficacité au moyen de contrôles de détection, tels que la révision des journaux et l'IPS, vous ne saurez jamais avec certitude s'il a appliqué une stratégie. Ces pièces manquantes sont généralement ce que les pirates informatiques exploitent pour pénétrer dans les systèmes. C’est le travail de l’auditeur d’identifier les faiblesses du système et de faire rapport à ce sujet. Lors de l'évaluation de l'efficacité de la sécurité, vous devez examiner trois facettes principales pour chaque contrôle. Tous les incidents de sécurité, des introductions par effraction aux enregistrements de clients perdus, peuvent généralement être imputés à une déficience imputable aux personnes, aux processus ou à la technologie. Le test de ces zones vous permet d'analyser la sécurité d'un point de vue global, vous permet de mieux comprendre le fonctionnement actuel d'une organisation et de recommander des améliorations pour demain. Voici les trois facettes à examiner:

Les personnes sont des utilisateurs, des administrateurs, des propriétaires de données et des gestionnaires de l'entreprise avec des niveaux de compétences, d'attitudes et d'agenda variables. Si les utilisateurs ne respectent pas les règles de sécurité, il pourrait être nécessaire de renforcer les contrôles administratifs, tels que la formation à la sensibilisation à la sécurité ou les sanctions en cas de non-conformité (il s'agit de la clause "jusqu'à et y compris le licenciement" que HR introduit dans le manuel de l'employé). Une organisation peut également mettre en œuvre un contrôle de détection / correction pour appliquer des stratégies, telles que les dernières mises à jour antivirus ou les derniers correctifs du système d'exploitation avant que l'utilisateur ne soit autorisé à accéder au réseau. Les personnes représentent également la structure organisationnelle et les stratégies qui assurent la sécurité. Le processus représente la manière dont l’organisation fournit le service informatique. Ce sont les procédures et les normes mises en place pour protéger les actifs. Les processus doivent être à jour, cohérents et suivre les meilleures pratiques pour être efficaces. Le processus est l’un des domaines les plus importants à tester, car la plupart des attaques qui entraînent une perte importante ont un élément dans lequel le processus a échoué. Prenons l'exemple de la création et de la désaffectation d'un compte utilisateur. Une personne est embauchée et une requête est introduite dans le service informatique pour créer les comptes appropriés du nouvel employé. Qui est autorisé à envoyer la demande? S'agit-il d'un responsable du recrutement ou doit-il en être un des ressources humaines? Comment la demande est-elle validée comme légitime? En l'absence de processus rigoureux et de contrôles appropriés pour empêcher, détecter et corriger, quiconque peut appeler et se faire passer pour un responsable du recrutement et demander la création d'un compte. Ceci est nettement plus facile (et plus rapide) que d’essayer d’exécuter un outil de force brute, de piratage du mot de passe sur un serveur. La technologie représente les installations, l'équipement, le matériel informatique et les logiciels qui automatisent une entreprise. La technologie permet aux utilisateurs d’accomplir des tâches répétitives plus rapidement et avec moins d’erreurs. Bien sûr, la technologie permet également à quelqu'un de faire des choses stupides de manière aussi efficace (et plus rapide). Une mauvaise configuration et un logiciel mal implémenté peuvent prendre une erreur et multiplier son impact de manière exponentielle. Imaginez que vous laissiez la porte ouverte sur une pièce abritant des fichiers papier. Quelqu'un pourrait éventuellement entrer dans la pièce et prendre des dossiers, mais cela prendrait beaucoup de temps (sans parler des efforts) de remettre ces documents à une voiture. Maintenant, imaginez une mauvaise configuration d’un serveur dans la zone démilitarisée pour permettre l’accès depuis Internet à un serveur de base de données. Quelqu'un pourrait télécharger toute la base de données sans même laisser de trace de leur présence. C'est pourquoi il est si important pour une entreprise de normaliser les meilleures pratiques et les configurations connues pour leur efficacité. Les meilleures pratiques ont tendance à anticiper plusieurs de ces scénarios.

Pour évaluer les contrôles de sécurité, l’auditeur doit examiner un système avec les yeux d’un pirate informatique et prévoir la façon dont les choses pourraient être exploitées pour obtenir un accès non autorisé. Ce n'est pas parce que quelque chose "ne devrait pas" être exploitable que ce n'est pas le cas. La seule façon de le savoir est de tester le système et les personnes chargées de le surveiller et de le maintenir devraient le faire.

Click to rate this post! [Total: 0 Average: 0]