évaluation des vulnérabilités : protection de votre entreprise

Concepts fondamentaux

Introduction

• Définition de vulnérabilité, exploit, menace et risque
• Objectifs des évaluations
• Création d’un rapport de vulnérabilités
• Réalisation d’un premier balayage
• Liste CVE (Common Vulnerabilities and Exposure)

• Méthodes de détection des vulnérabilités
• Types de scanners
• Scan des ports et découverte du système d’exploitation
• Lister les cibles afin de tester les fuites d’information
• Types d’exploits: worm, spyware, backdoor, rootkits, déni de service (DoS)
• Déploiement des structures d’exploits

Analyse des exploits et des vulnérabilités

Vulnérabilités de l’infrastructure

• Scan de l’infrastructure
• Détection des faiblesses des commutateurs
• Vulnérabilités dans Ethereal et Wireshark
• Attaques des outils de gestion du réseau

• Faiblesses des firewalls
• Identifier les attaques de l’IDS Snort
• Corruption de la mémoire et déni de service

• Scans de serveurs: évaluer les vulnérabilités sur votre réseau
• Téléchargement de scripts nocifs et détournement de la directive « include » PHP
• Repérage d’erreurs de validation d’entrée
• Attaques de type buffer overflow
• Injection de SQL
• Cross–site scripting (XSS) et vol de cookie

• Identification des faiblesses du bureau
• Client buffer overflows
• Chargement silencieux : spyware et adware
• Attaque d’erreurs de conception
• Identification des faiblesses des plug–in pour navigateurs

Configuration des scanners et création de rapports

Configuration et opérations des scanners

• Choix des ports et des tests dangereux
• Identification des dépendances
• Éviter les faux négatifs
• Gestion des faux positifs
• Création de tests de vulnérabilité personnalisés
• Personnaliser des balayages avec le logiciel Nessus

• Filtrage et personnalisation des rapports
• Interprétation des rapports complexes
• Comparaison des résultats de différents scanners

Évaluation des risques dans un environnement évolutif

Recherche des informations d’alerte

• Utilisation de la NVD (National Vulnerability Database) pour obtenir des informations sur les vulnérabilités et les correctifs
• Évaluation et étude des alertes et annonces de sécurité
• Déterminer le degré de sévérité d’une vulnérabilité
• Utilisation du système CVSS

• Évaluation de l’impact d’une attaque réussie
• Calcul du degré de vulnérabilité
• Détermination de la fréquence de vulérabilité
• Évaluation de l’importance des facteurs de risques majeurs
• Évaluation des risques

Gestion des vulnérabilités

Cycle de gestion des vulnérabilités

• Mise en application d’un processus de vulnérabilités
• Standardisation des scans avec OVAL (Open Vulnerability Assessment Language)
• Gestion de la configuration et des correctifs
• Analyse du processus de gestion des vulnérabilités

• Récompense pour la découverte de vulnérabilités
• Prime sur les hackers
• Marchés du bogue et des exploits
• Programme de défis