Score interne
Méthode de scoring
Le score de résilience du test d'intrusion reflète la posture globale en cybersécurité de l'environnement interne testé. Ce score dépend fortement du type de périmètre couvert par le test (nquantité d'actif dans le périmètre, périmètre durci, etc...). Le Nutriscore de résilience est fourni sur une échelle allant de A à C, avec les notes A, A-, B+, B, B-, C+ et C.
Le score de résilience permet d'établir le score global du diagnostic interne en établissant une correspondance vers l'échelle Visiativ en suivant la matrice ci-dessous :
| Nutriscore Pentera | Score Visiativ | Nutriscore Visiativ |
|---|---|---|
| A | 87% | A |
| A- | 67% | B |
| B+ | 47% | C |
| B | 27% | D |
| B- | 20% | D- |
| C+ | 7% | E |
| C | 0% | E- |
Les scores de résilience "Scorecard" internes correspondent à des niveaux risques, classés sur une échelle à 4 niveaux (faible, moyen, élevé, critique) pour plusieurs catégories clés, basés sur les résultats du test.
Une correspondance est effectuée avec l'échelle Visiativ en suivant la matrice ci-dessous :
| Scorecard Pentera | Score Visiativ | Nutriscore Visiativ |
|---|---|---|
| low | 67% | B |
| medium | 47% | C |
| high | 20% | D- |
| critical | 0% | E- |
| none | n/a | n/a |
Certaines catégories peuvent obtenir un résultat "none" ou "non applicable (N/A)" si les résultats du test sont insuffisants. Cela peut se produire lorsque les actions ne sont pas approuvées et que le pentest n'a pas pu effectuer d'actions dans la catégorie pour l'évaluer.
Catégories du score interne
Identifiants et prise de contrôle de compte
Cet indicateur présente le nombre de comptes et de comptes privilégiés auxquels Pentera a eu accès, répartis par types d'utilisateurs : domaine, administrateurs locaux, Unix/Linux, services réseau, applications web, Telnet et FTP.
Problèmes Typiques : Mauvaise gestion des mots de passe et stockage non sécurisé des identifiants. Le manque de surveillance des accès privilégiés complique également la détection et la prévention des prises de contrôle hostiles.
Impact : La prise de contrôle hostile des identifiants et comptes privilégiés permet aux attaquants d'accéder aux ressources du réseau et de se déplacer latéralement dans l'organisation.
Écoute Réseau
Les techniques d'écoute réseau (sniffing) permettent aux attaquants d'intercepter et d'analyser le trafic réseau pour obtenir des informations sensibles, telles que les identifiants des utilisateurs de domaine.
Problèmes Typiques : Le sniffing est facilité par l'utilisation de protocoles obsolètes qui ne cryptent pas correctement les données et les hachages de mots de passe mal protégés. Si les activités des utilisateurs ne sont pas surveillées, les attaquants peuvent capturer des informations sans être détectés.
Impact : Les informations capturées par sniffing peuvent permettre aux attaquants d'accéder aux systèmes du réseau et de se déplacer latéralement à l'intérieur de l'organisation.
Robustesse des mots de passe
Le moteur de craquage de mots de passe de Pentera teste l'efficacité de la politique de mots de passe de l'organisation en mesurant le degré d'expertise et le temps nécessaires pour craquer les mots de passe qui ont été sniffés ou obtenus à partir d'actions post-exploitation. Cet indicateur prédit la probabilité que les attaquants réussissent à craquer les mots de passe qu'ils obtiennent.
Problèmes Typiques : Les mots de passe faibles ou courants, ainsi que l'absence de politiques de sécurité strictes, rendent le craquage plus facile. L'utilisation de mots de passe réutilisés ou prévisibles augmente la vulnérabilité.
Impact : Des mots de passe facilement craquables permettent aux attaquants d'accéder plus facilement aux comptes et systèmes protégés.
Mouvement Latéral
Pentera évalue la facilité avec laquelle un attaquant peut se déplacer à l'intérieur du réseau après avoir franchi le périmètre de sécurité. Cela inclut la capacité à accéder à différents systèmes et ressources en se déplaçant d'un endpoint à un autre.
Problèmes Typiques : Un réseau vulnérable peut permettre aux attaquants de naviguer librement entre les systèmes grâce à des exploitations réussies sur plusieurs endpoints. L'absence de segmentation du réseau et de contrôles de sécurité internes facilite ces mouvements.
Impact : Le mouvement latéral permet aux attaquants d'étendre leur accès et de compromettre davantage de systèmes, augmentant ainsi le risque de vols de données, de dommages aux systèmes et de perturbations importantes pour l'organisation. Une telle mobilité interne complique également la détection et la réponse aux intrusions.
Données Accessibles
Cet indicateur évalue dans quelle mesure un attaquant peut accéder aux données sensibles sur le système. Il vérifie si des partages et services ouverts, tels que FTP, SSH ou bases de données, sont accessibles et quelles informations critiques peuvent être récupérées.
Problèmes Typiques : Les services non sécurisés et les partages ouverts permettent aux attaquants d'accéder facilement aux données. Les identifiants de navigateur enregistrés, les scripts, et les fichiers stockés sur les endpoints peuvent être exposés.
Impact : Un accès non contrôlé aux données sensibles peut mener au vol d'informations confidentielles, à des fuites de données importantes et à des compromissions de la confidentialité.
Prise de contrôle des actifs
La prise de contrôle des actifs évalue le risque qu'un attaquant obtienne un accès total au matériel, aux logiciels et aux fichiers d'un ordinateur ou d'un serveur. Cela survient généralement via l'exécution de code malveillant à distance.
Problèmes Typiques : Les vulnérabilités permettant l'exécution de code à distance (RCE) peuvent être exploitées pour prendre le contrôle complet d'un hôte. Cela peut être dû à des défauts dans les services réseau, des erreurs dans les applications web, des logiciels obsolètes ou mal configurés, ou des protocoles de communication non sécurisés.
Impact : Une prise de contrôle complète d'un hôte permet aux attaquants de manipuler et d'exfiltrer des données, d'installer des malwares, et d'accéder à des informations sensibles.
Contournement AV/EDR
Cet indicateur mesure à quel point les systèmes de sécurité des endpoints de l'organisation, tels que les antivirus (AV) et les solutions de détection et réponse (EDR), sont efficaces pour prévenir l'exécution de logiciels malveillants et d'attaques sans fichier.
Problèmes Typiques : Les techniques de contournement avancées, comme l'exécution de commandes à distance ou l'utilisation de malwares sans fichier, peuvent échapper aux défenses des antivirus et EDR. Les attaques furtives exploitent des failles dans la sécurité des endpoints pour exfiltrer des données critiques.
Impact : Si les protections contre ces attaques sont insuffisantes, les attaquants peuvent exfiltrer des informations sensibles, telles que les mots de passe des navigateurs et les fichiers système critiques.
Actifs Critiques
Les "actifs critiques" sont des éléments essentiels pour le fonctionnement d'une organisation. Ils peuvent inclure des systèmes informatiques, des bases de données, des infrastructures réseau, des applications, des informations sensibles ou des services vitaux.
Problèmes Typiques : Les actifs critiques sont souvent exposés à des problèmes tels que l'accès non autorisé, les malwares, les ransomwares, et les vulnérabilités non corrigées. De plus, des erreurs humaines comme des configurations incorrectes et des mots de passe faibles peuvent faciliter les attaques.
Impact : La compromission ou la perte de ces actifs peut avoir des conséquences graves, comme des interruptions de service, des pertes financières, des atteintes à la réputation ou des risques pour la sécurité.