Le Fri, 28 May 2004 08:37:30 +0000, Mister a écrit :
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur une machine Linux ?
Ça dépend du temps que tu veux qu'il y passe, et puis ça dépend aussi de comment il le fait.
Ma conception du test d'intrusion est de fournir une vision de ce que pourrait découvrir un attaquant sur une période de temps jugée significative. Pendant cette période de temps, les attaques sont lancées, automatiquement avec des outils faits pour, mais aussi manuellement. Et là encore, ça joue. Parce que ce que certains appellent un "test d'intrusion" se résume à un coup de Nessus. Perso, je n'appelle pas ça un test d'intrusion. D'autant que lancer un Nessus (ou autre scanner de vulnérabilités) est à la portée du premier venu, le configurer déjà moins, mais faire un vrai pentest demande des compétences, du savoir-faire et de l'expérience, sans parler de la méthodologie. Et je ne m'attarde pas sur la qualité des intervenants, évidemment, parce que tout le monde est le meilleur ;)))
Du coup, si tu regardes le marché, tu vois pouvoir constater des écarts de prix assez significatifs, mais faut creuser un peu derrière. De même, le contenu du rapport est important, et entre un "non, on n'est pas rentré, vous êtes secure", un rapport Nessus et un vrai rapport de pentest, il y a tout un monde de différence...
-- Date: 1995/11/09 The UNREAL engine is a polygon-based real 3D engine and it WILL be out in 1996. It will require Windows 95 and 8Mb of RAM. -+- Mark Rein (Epic) in GPJ : Vaporware, méthode appliquée -+-
Le Fri, 28 May 2004 08:37:30 +0000, Mister a écrit :
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur
une machine Linux ?
Ça dépend du temps que tu veux qu'il y passe, et puis ça dépend aussi
de comment il le fait.
Ma conception du test d'intrusion est de fournir une vision de ce que
pourrait découvrir un attaquant sur une période de temps jugée
significative. Pendant cette période de temps, les attaques sont
lancées, automatiquement avec des outils faits pour, mais aussi
manuellement. Et là encore, ça joue. Parce que ce que certains appellent
un "test d'intrusion" se résume à un coup de Nessus. Perso, je n'appelle
pas ça un test d'intrusion. D'autant que lancer un Nessus (ou autre
scanner de vulnérabilités) est à la portée du premier venu, le
configurer déjà moins, mais faire un vrai pentest demande des
compétences, du savoir-faire et de l'expérience, sans parler de la
méthodologie. Et je ne m'attarde pas sur la qualité des intervenants,
évidemment, parce que tout le monde est le meilleur ;)))
Du coup, si tu regardes le marché, tu vois pouvoir constater des écarts
de prix assez significatifs, mais faut creuser un peu derrière. De même,
le contenu du rapport est important, et entre un "non, on n'est pas
rentré, vous êtes secure", un rapport Nessus et un vrai rapport de
pentest, il y a tout un monde de différence...
--
Date: 1995/11/09
The UNREAL engine is a polygon-based real 3D engine and it WILL be out
in 1996. It will require Windows 95 and 8Mb of RAM.
-+- Mark Rein (Epic) in GPJ : Vaporware, méthode appliquée -+-
Le Fri, 28 May 2004 08:37:30 +0000, Mister a écrit :
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur une machine Linux ?
Ça dépend du temps que tu veux qu'il y passe, et puis ça dépend aussi de comment il le fait.
Ma conception du test d'intrusion est de fournir une vision de ce que pourrait découvrir un attaquant sur une période de temps jugée significative. Pendant cette période de temps, les attaques sont lancées, automatiquement avec des outils faits pour, mais aussi manuellement. Et là encore, ça joue. Parce que ce que certains appellent un "test d'intrusion" se résume à un coup de Nessus. Perso, je n'appelle pas ça un test d'intrusion. D'autant que lancer un Nessus (ou autre scanner de vulnérabilités) est à la portée du premier venu, le configurer déjà moins, mais faire un vrai pentest demande des compétences, du savoir-faire et de l'expérience, sans parler de la méthodologie. Et je ne m'attarde pas sur la qualité des intervenants, évidemment, parce que tout le monde est le meilleur ;)))
Du coup, si tu regardes le marché, tu vois pouvoir constater des écarts de prix assez significatifs, mais faut creuser un peu derrière. De même, le contenu du rapport est important, et entre un "non, on n'est pas rentré, vous êtes secure", un rapport Nessus et un vrai rapport de pentest, il y a tout un monde de différence...
-- Date: 1995/11/09 The UNREAL engine is a polygon-based real 3D engine and it WILL be out in 1996. It will require Windows 95 and 8Mb of RAM. -+- Mark Rein (Epic) in GPJ : Vaporware, méthode appliquée -+-
LaDDL
Mister wrote:
Bonjour à tous, Bonjour,
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur une machine Linux ? Le coût d'une prestation de ce type dépend essentiellement de la nature
et la cible des tests car le contenu de chaque phase peut varier. Tout comme le nombre des ingénieurs testeurs.
Mister wrote:
Bonjour à tous,
Bonjour,
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur
une machine Linux ?
Le coût d'une prestation de ce type dépend essentiellement de la nature
et la cible des tests car le contenu de chaque phase peut varier. Tout
comme le nombre des ingénieurs testeurs.
Combien coûte un test d'intrusion par un professionnel de la sécurité, sur une machine Linux ? Le coût d'une prestation de ce type dépend essentiellement de la nature
et la cible des tests car le contenu de chaque phase peut varier. Tout comme le nombre des ingénieurs testeurs.
JRD
Mister wrote:
Bonjour ? tous,
Combien co?te un test d'intrusion par un professionnel de la s?curit?, sur une machine Linux ? Merci de vos r?ponses.
Bonjour,
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois réellement perplexe sur la qualité des tests d'intrusion... Mais comme les décideurs n'y connaissent rien, tout le monde est content.
Je ne réponds pas directement à la question, mais Nessus est gratuit : http://www.nessus.org/
Je m'en sers régulièrement. Pas que sur Linux. ;-)
JRD. --
http://jerome.drapeau.free.fr La critique est aisée, l'art est difficile.
Mister <foo@bar.com> wrote:
Bonjour ? tous,
Combien co?te un test d'intrusion par un professionnel de la s?curit?, sur
une machine Linux ?
Merci de vos r?ponses.
Bonjour,
Dans les sociétés pour lesquelles j'ai travaillé, les tests
d'intrusion étaient fait à chaque fois par ISS et (quelquefois)
Nessus.
Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois
réellement perplexe sur la qualité des tests d'intrusion... Mais comme
les décideurs n'y connaissent rien, tout le monde est content.
Je ne réponds pas directement à la question, mais Nessus est gratuit :
http://www.nessus.org/
Je m'en sers régulièrement. Pas que sur Linux. ;-)
JRD.
--
NOSPAMjerome.drapeau@free.fr
http://jerome.drapeau.free.fr
La critique est aisée, l'art est difficile.
Combien co?te un test d'intrusion par un professionnel de la s?curit?, sur une machine Linux ? Merci de vos r?ponses.
Bonjour,
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Les ingénieurs "sécurité" sont de tous horizons, ce qui laisse parfois réellement perplexe sur la qualité des tests d'intrusion... Mais comme les décideurs n'y connaissent rien, tout le monde est content.
Je ne réponds pas directement à la question, mais Nessus est gratuit : http://www.nessus.org/
Je m'en sers régulièrement. Pas que sur Linux. ;-)
JRD. --
http://jerome.drapeau.free.fr La critique est aisée, l'art est difficile.
Cedric Blancher
Le Fri, 28 May 2004 12:58:32 +0000, JRD a écrit :
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique. La nuance est de taille.
-- Et, en passant, sachez tout de même que Sacha a dit une sacré dose de conneries à mon égard. La plus savoureuse est qu'il me prend pour une victime, alors que je suis un GAGNANT. -+- AB in GNU : Neuneu gagne surtout à ne pas être connu. -+-
Le Fri, 28 May 2004 12:58:32 +0000, JRD a écrit :
Dans les sociétés pour lesquelles j'ai travaillé, les tests
d'intrusion étaient fait à chaque fois par ISS et (quelquefois)
Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de
vulnérabilités automatique. La nuance est de taille.
--
Et, en passant, sachez tout de même que Sacha a dit une sacré
dose de conneries à mon égard. La plus savoureuse est qu'il me prend
pour une victime, alors que je suis un GAGNANT.
-+- AB in GNU : Neuneu gagne surtout à ne pas être connu. -+-
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique. La nuance est de taille.
-- Et, en passant, sachez tout de même que Sacha a dit une sacré dose de conneries à mon égard. La plus savoureuse est qu'il me prend pour une victime, alors que je suis un GAGNANT. -+- AB in GNU : Neuneu gagne surtout à ne pas être connu. -+-
Fabien LE LEZ
On 28 May 2004 12:59:37 GMT, Cedric Blancher wrote:
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique.
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
-- ;-) FLL, Epagneul Breton
On 28 May 2004 12:59:37 GMT, Cedric Blancher
<blancher@cartel-securite.fr> wrote:
Ce qui ne constitue pas un test d'intrusion, mais un scan de
vulnérabilités automatique.
C'est tout de même la première étape : inutile de payer des fortunes
pour un test d'intrusion tant qu'on n'a pas colmaté les failles
découvertes par Nessus...
On 28 May 2004 12:59:37 GMT, Cedric Blancher wrote:
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique.
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
-- ;-) FLL, Epagneul Breton
Cedric Blancher
Le Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ a écrit :
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
Ben ouais, justement. Si tu paies une boîte pour avoir un test d'intrusion, et qu'en fait il te font la phase préliminaire que tu aurais pu faire toi-même pour pas un rond, ça le fait pas vraiment.
-- J'ai beau observé plusieurs groupes, je n'ai pas la réponse! Je crois que c'est truc qu'on utilise avec le crosspost, non? Par contre, j'ai remarqué que les crossposts, ça emmerdé pas mal de gens! -+- M. in GNU : Le follow up to expliqué à ma fille -+-
Le Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ a écrit :
C'est tout de même la première étape : inutile de payer des fortunes
pour un test d'intrusion tant qu'on n'a pas colmaté les failles
découvertes par Nessus...
Ben ouais, justement. Si tu paies une boîte pour avoir un test
d'intrusion, et qu'en fait il te font la phase préliminaire que tu aurais
pu faire toi-même pour pas un rond, ça le fait pas vraiment.
--
J'ai beau observé plusieurs groupes, je n'ai pas la réponse! Je crois
que c'est truc qu'on utilise avec le crosspost, non? Par contre,
j'ai remarqué que les crossposts, ça emmerdé pas mal de gens!
-+- M. in GNU : Le follow up to expliqué à ma fille -+-
Le Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ a écrit :
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
Ben ouais, justement. Si tu paies une boîte pour avoir un test d'intrusion, et qu'en fait il te font la phase préliminaire que tu aurais pu faire toi-même pour pas un rond, ça le fait pas vraiment.
-- J'ai beau observé plusieurs groupes, je n'ai pas la réponse! Je crois que c'est truc qu'on utilise avec le crosspost, non? Par contre, j'ai remarqué que les crossposts, ça emmerdé pas mal de gens! -+- M. in GNU : Le follow up to expliqué à ma fille -+-
Nicob
On Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ wrote:
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
Encore faut-il avoir les compétences pour :
- télécharger et compiler Nessus - configurer Nessus (options de scan, plugins, timing) - virer les faux-positifs des résultats
En plus, il restera encore les faux-négatifs générés par Nessus, pour lesquels il faudra croiser les résultats avec ceux générés par d'autres outils ou par une phase manuelle d'analyse.
Nicob
On Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ wrote:
C'est tout de même la première étape : inutile de payer des fortunes
pour un test d'intrusion tant qu'on n'a pas colmaté les failles
découvertes par Nessus...
Encore faut-il avoir les compétences pour :
- télécharger et compiler Nessus
- configurer Nessus (options de scan, plugins, timing)
- virer les faux-positifs des résultats
En plus, il restera encore les faux-négatifs générés par Nessus, pour
lesquels il faudra croiser les résultats avec ceux générés par d'autres
outils ou par une phase manuelle d'analyse.
On Fri, 28 May 2004 13:55:01 +0000, Fabien LE LEZ wrote:
C'est tout de même la première étape : inutile de payer des fortunes pour un test d'intrusion tant qu'on n'a pas colmaté les failles découvertes par Nessus...
Encore faut-il avoir les compétences pour :
- télécharger et compiler Nessus - configurer Nessus (options de scan, plugins, timing) - virer les faux-positifs des résultats
En plus, il restera encore les faux-négatifs générés par Nessus, pour lesquels il faudra croiser les résultats avec ceux générés par d'autres outils ou par une phase manuelle d'analyse.
Nicob
Eric Razny
Cedric Blancher wrote:
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique. La nuance est de taille.
Un exemple simple de nuance : un serveur ftp qui a le bon gout de laisser des uploads dans le champs d'accès du serveur web qui "va avec" et qui permet directement ou pas de lancer un executable ainsi uploadé, via une url un peu trafiquée (en profitant parfois d'un php ou d'un accès sql configuré avec les pieds). Un humain va pouvoir le faire, ton scanner de vulnérabilité non (il peu à la rigueur mettre en garde sur un éventuel ftp anonymous, mais il y a parfois des sites qui donnent automatiquement un login/password pour des uploads et dans ce cas ton scanner ne remonte que dalle).
Par contre utiliser ce genre de produit est utile pour débroussailler le plus gros (pourquoi crocheter la porte principale quand les fenêtres sont grandes ouvertes). Inversement, vu que c'est gratuit, j'ose espérer que le "testé" à utilisé ça avant.
Ensuite un test d'intrusion, pour quoi faire? Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ). Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus. Mais quitte a payer cher un professionnel autant le faire venir pour sécuriser d'abord en interne le bouzin. Ensuite on l'attaque de l'extérieur (de préférence -encore que!- par un autre professionnel, afin que le premier ne dise pas que tout va bien et qu'il a bien fait son boulot)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Cedric Blancher wrote:
Dans les sociétés pour lesquelles j'ai travaillé, les
tests d'intrusion étaient fait à chaque fois par ISS et
(quelquefois) Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de
vulnérabilités automatique. La nuance est de taille.
Un exemple simple de nuance :
un serveur ftp qui a le bon gout de laisser des uploads dans le champs
d'accès du serveur web qui "va avec" et qui permet directement ou pas de
lancer un executable ainsi uploadé, via une url un peu trafiquée (en
profitant parfois d'un php ou d'un accès sql configuré avec les pieds). Un
humain va pouvoir le faire, ton scanner de vulnérabilité non (il peu à la
rigueur mettre en garde sur un éventuel ftp anonymous, mais il y a parfois
des sites qui donnent automatiquement un login/password pour des uploads et
dans ce cas ton scanner ne remonte que dalle).
Par contre utiliser ce genre de produit est utile pour débroussailler le
plus gros (pourquoi crocheter la porte principale quand les fenêtres sont
grandes ouvertes). Inversement, vu que c'est gratuit, j'ose espérer que le
"testé" à utilisé ça avant.
Ensuite un test d'intrusion, pour quoi faire?
Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un
test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne
prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu
:) ).
Par contre si ça suit une politique de sécurité mise en place préalablement,
oui, amha, c'est un plus. Mais quitte a payer cher un professionnel autant
le faire venir pour sécuriser d'abord en interne le bouzin. Ensuite on
l'attaque de l'extérieur (de préférence -encore que!- par un autre
professionnel, afin que le premier ne dise pas que tout va bien et qu'il a
bien fait son boulot)
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Dans les sociétés pour lesquelles j'ai travaillé, les tests d'intrusion étaient fait à chaque fois par ISS et (quelquefois) Nessus.
Ce qui ne constitue pas un test d'intrusion, mais un scan de vulnérabilités automatique. La nuance est de taille.
Un exemple simple de nuance : un serveur ftp qui a le bon gout de laisser des uploads dans le champs d'accès du serveur web qui "va avec" et qui permet directement ou pas de lancer un executable ainsi uploadé, via une url un peu trafiquée (en profitant parfois d'un php ou d'un accès sql configuré avec les pieds). Un humain va pouvoir le faire, ton scanner de vulnérabilité non (il peu à la rigueur mettre en garde sur un éventuel ftp anonymous, mais il y a parfois des sites qui donnent automatiquement un login/password pour des uploads et dans ce cas ton scanner ne remonte que dalle).
Par contre utiliser ce genre de produit est utile pour débroussailler le plus gros (pourquoi crocheter la porte principale quand les fenêtres sont grandes ouvertes). Inversement, vu que c'est gratuit, j'ose espérer que le "testé" à utilisé ça avant.
Ensuite un test d'intrusion, pour quoi faire? Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ). Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus. Mais quitte a payer cher un professionnel autant le faire venir pour sécuriser d'abord en interne le bouzin. Ensuite on l'attaque de l'extérieur (de préférence -encore que!- par un autre professionnel, afin que le premier ne dise pas que tout va bien et qu'il a bien fait son boulot)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Cedric Blancher
Le Fri, 28 May 2004 15:21:21 +0000, Eric Razny a écrit :
Ensuite un test d'intrusion, pour quoi faire? Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un temps T après une exploration sur une durée D. Point. Il n'y a d'ailleurs pas de pentest raté. Le but du pentest n'est pas de rentrer, mais d'offrir une prestation qui fournit une vision de sa plateforme. Même sans entrer, on peut sortir énormément d'information qui seront utiles aux commanditaire. Pour le moment, aucun de mes clients pour lesquels une intrusion proprement dite n'a pu être réalisée semble avoir regretté ses sous.
Après, un pentest peut avoir des buts plus précis, comme montrer qu'une plate-forme ou une application n'est pas sûre, foutre la honte au DSI qui fait chier, demander des crédits, se faire virer, etc.
Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide de tout, ce qui permet de ne pas se disperser. Et les pentests en interne, c'est très utile pour tester l'application des politiques de sécurité, parce que surface d'action est beaucoup plus large et les risques nettement plus grands.
--
Notre devoir, pour leur bien et pour le bien de Linux, est de te flinguer avant que tu ne les sacrifies (fût-ce avec les meilleures intentions du monde). -+- TP In: Guide du linuxien pervers : "De la pédagogie par l'Exemple"
Le Fri, 28 May 2004 15:21:21 +0000, Eric Razny a écrit :
Ensuite un test d'intrusion, pour quoi faire?
Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un
test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne
prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu
:) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un
temps T après une exploration sur une durée D. Point.
Il n'y a d'ailleurs pas de pentest raté. Le but du pentest n'est pas de
rentrer, mais d'offrir une prestation qui fournit une vision de sa
plateforme. Même sans entrer, on peut sortir énormément d'information
qui seront utiles aux commanditaire. Pour le moment, aucun de mes clients
pour lesquels une intrusion proprement dite n'a pu être réalisée semble
avoir regretté ses sous.
Après, un pentest peut avoir des buts plus précis, comme montrer qu'une
plate-forme ou une application n'est pas sûre, foutre la honte au DSI qui
fait chier, demander des crédits, se faire virer, etc.
Par contre si ça suit une politique de sécurité mise en place
préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide
de tout, ce qui permet de ne pas se disperser. Et les pentests en interne,
c'est très utile pour tester l'application des politiques de sécurité,
parce que surface d'action est beaucoup plus large et les risques
nettement plus grands.
--
Notre devoir, pour leur bien et pour le bien de Linux, est de te
flinguer avant que tu ne les sacrifies (fût-ce avec les meilleures
intentions du monde).
-+- TP In: Guide du linuxien pervers : "De la pédagogie par l'Exemple"
Le Fri, 28 May 2004 15:21:21 +0000, Eric Razny a écrit :
Ensuite un test d'intrusion, pour quoi faire? Non ce n'est pas de la provoc. Si c'est pour se rassurer c'est oublier qu'un test d'intrusion réussi signifie qu'il y a un problème. Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un temps T après une exploration sur une durée D. Point. Il n'y a d'ailleurs pas de pentest raté. Le but du pentest n'est pas de rentrer, mais d'offrir une prestation qui fournit une vision de sa plateforme. Même sans entrer, on peut sortir énormément d'information qui seront utiles aux commanditaire. Pour le moment, aucun de mes clients pour lesquels une intrusion proprement dite n'a pu être réalisée semble avoir regretté ses sous.
Après, un pentest peut avoir des buts plus précis, comme montrer qu'une plate-forme ou une application n'est pas sûre, foutre la honte au DSI qui fait chier, demander des crédits, se faire virer, etc.
Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide de tout, ce qui permet de ne pas se disperser. Et les pentests en interne, c'est très utile pour tester l'application des politiques de sécurité, parce que surface d'action est beaucoup plus large et les risques nettement plus grands.
--
Notre devoir, pour leur bien et pour le bien de Linux, est de te flinguer avant que tu ne les sacrifies (fût-ce avec les meilleures intentions du monde). -+- TP In: Guide du linuxien pervers : "De la pédagogie par l'Exemple"
Eric Razny
Cedric Blancher wrote:
Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un temps T après une exploration sur une durée D. Point. Il n'y a d'ailleurs pas de pentest raté.
Au temps pour moi, je me suis mal exprimé. Par raté je voulais dire négatif, bien sur! :)
Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide de tout, ce qui permet de ne pas se disperser. Et les pentests en interne, c'est très utile pour tester l'application des politiques de sécurité, parce que surface d'action est beaucoup plus large et les risques nettement plus grands.
Et souvent nettement sous estimé aussi (c'est la mode du gros méchant qui vient m'embêter rien que de l'internet! :( ). Accessoirement un problème des politiques de sécurité, c'est comme les sauvegardes : ça a tendance à ne plus s'appliquer sur la durée. Surtout quand le prestataire pond ce qu'on lui demande[1] mais qu'il n'y a personne derrière de nommé officiellement responsable et que les conseils restent lettre morte.
Par officiellement je ne parle pas de "l'admin" à qui on ajoute une tache, mais bien de quelque chose qui figure sur le contrat de travail (avec la rémunération -supplémentaire en cas d'ajout de travail[2]- qui va avec). Si le gus[2] n'est pas responsable dans tous les sens du terme, au final c'est mort quand même.
Eric
[1] on va supposer que le prestataire est bon et qu'il y a au moins temporairement quelqu'un qui a définit aux moins basiquement les attentes de la boite.
[2] Il est clair que la sécurité devrait être un boulot à plein temps dans l'idéal, et qu'une structure importante devrait avoir une division et pas une personne ; mais le monde réel, tout çaaaa...
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Cedric Blancher wrote:
Un test raté ne prouve pas que tout va bien (bon, si c'est
fait correctement ça aide un peu :) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un
temps T après une exploration sur une durée D. Point.
Il n'y a d'ailleurs pas de pentest raté.
Au temps pour moi, je me suis mal exprimé. Par raté je voulais dire négatif,
bien sur! :)
Par contre si ça suit une politique de sécurité mise en place
préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide
de tout, ce qui permet de ne pas se disperser. Et les pentests en
interne, c'est très utile pour tester l'application des politiques de
sécurité, parce que surface d'action est beaucoup plus large et les
risques nettement plus grands.
Et souvent nettement sous estimé aussi (c'est la mode du gros méchant qui
vient m'embêter rien que de l'internet! :( ).
Accessoirement un problème des politiques de sécurité, c'est comme les
sauvegardes : ça a tendance à ne plus s'appliquer sur la durée. Surtout
quand le prestataire pond ce qu'on lui demande[1] mais qu'il n'y a personne
derrière de nommé officiellement responsable et que les conseils restent
lettre morte.
Par officiellement je ne parle pas de "l'admin" à qui on ajoute une tache,
mais bien de quelque chose qui figure sur le contrat de travail (avec la
rémunération -supplémentaire en cas d'ajout de travail[2]- qui va avec). Si
le gus[2] n'est pas responsable dans tous les sens du terme, au final c'est
mort quand même.
Eric
[1] on va supposer que le prestataire est bon et qu'il y a au moins
temporairement quelqu'un qui a définit aux moins basiquement les attentes de
la boite.
[2] Il est clair que la sécurité devrait être un boulot à plein temps dans
l'idéal, et qu'une structure importante devrait avoir une division et pas
une personne ; mais le monde réel, tout çaaaa...
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Un test raté ne prouve pas que tout va bien (bon, si c'est fait correctement ça aide un peu :) ).
Un test d'intrusion te donne une vision de ta surface vulnérable à un temps T après une exploration sur une durée D. Point. Il n'y a d'ailleurs pas de pentest raté.
Au temps pour moi, je me suis mal exprimé. Par raté je voulais dire négatif, bien sur! :)
Par contre si ça suit une politique de sécurité mise en place préalablement, oui, amha, c'est un plus.
Pas de vraie sécurité sans politique, de toute manière. C'est le guide de tout, ce qui permet de ne pas se disperser. Et les pentests en interne, c'est très utile pour tester l'application des politiques de sécurité, parce que surface d'action est beaucoup plus large et les risques nettement plus grands.
Et souvent nettement sous estimé aussi (c'est la mode du gros méchant qui vient m'embêter rien que de l'internet! :( ). Accessoirement un problème des politiques de sécurité, c'est comme les sauvegardes : ça a tendance à ne plus s'appliquer sur la durée. Surtout quand le prestataire pond ce qu'on lui demande[1] mais qu'il n'y a personne derrière de nommé officiellement responsable et que les conseils restent lettre morte.
Par officiellement je ne parle pas de "l'admin" à qui on ajoute une tache, mais bien de quelque chose qui figure sur le contrat de travail (avec la rémunération -supplémentaire en cas d'ajout de travail[2]- qui va avec). Si le gus[2] n'est pas responsable dans tous les sens du terme, au final c'est mort quand même.
Eric
[1] on va supposer que le prestataire est bon et qu'il y a au moins temporairement quelqu'un qui a définit aux moins basiquement les attentes de la boite.
[2] Il est clair que la sécurité devrait être un boulot à plein temps dans l'idéal, et qu'une structure importante devrait avoir une division et pas une personne ; mais le monde réel, tout çaaaa...
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
