Quelle est la différence entre un test de pénétration et une évaluation de vulnérabilité?

En plus des réponses déjà fournies, je vais expliquer pourquoi vous pouvez choisir l'une plutôt que l'autre. Les évaluations de vulnérabilité sont plus utiles si vous n'êtes pas sûr de votre position actuelle en matière de sécurité et que vous souhaitez vous faire une idée de l'emplacement de vos problèmes.

Il convient de noter cependant que, comme toutes les évaluations de la vulnérabilité du travail de sécurité ne sont pas toutes créées égales. Pour certains fournisseurs, il peut se concentrer uniquement sur la sortie d'outils, tandis que d'autres effectueront davantage de travaux manuels pour vérifier et étendre ces résultats.

Si tel est votre objectif, je me concentrerais sur le type d'approche "évaluation de la sécurité" mentionné dans la réponse de @ RoryAlsop.

Un test de pénétration est, classiquement, conçu pour reproduire les actions d'un attaquant en tentant de compromettre la sécurité d'un système ou d'une organisation. Il est donc probable que cela soit plus approprié pour les organisations qui ont confiance dans les contrôles de sécurité en place pour un système donné et qui veulent prouver ou réfuter leur efficacité.

Il y a cependant des problèmes avec cette approche, selon qui sont vos attaquants. Si vous cherchez à concevoir des contrôles qui se défendront contre des attaquants ciblés qualifiés (par exemple, le crime organisé), il est très difficile d'utiliser efficacement un test de pénétration pour les vérifier, car il n'inclura pas certaines techniques que les attaquants peuvent utiliser.

Certains exemples de domaines que les tests de pénétration auront du mal à couvrir en raison de problèmes juridiques pourraient être des choses comme le ciblage des ordinateurs personnels du personnel pour compormiser leurs installations d'accès à distance, attaquer des partenaires tiers qui peuvent avoir accès aux systèmes cibles à des fins d'assistance, ou acheter des botnets qui peut avoir des zombies déjà présents dans l'environnement cible.

Il vaut donc la peine d'être conscient des limites des deux types de tests, mais une règle générale est que VA et les évaluations de sécurité sont bonnes lorsque vous n'êtes pas sûr de votre niveau de sécurité et de pénétration) les tests sont bons pour le prouver une fois que vous le savez.

Pour la plupart des gens, ce sont les mêmes. C'est pourquoi des efforts comme PTES échoueront. Vous ne pouvez pas changer les gens qui ne veulent pas changer.

La bonne question est: "Quelle est la différence entre les tests de pénétration et le piratage éthique?".

La réponse à cette question est que les tests de pénétration ont un prix spécifique en tête, sans limite de temps et généralement une longue liste de règles d'engagement (les listes restreintes demandent que personne ne soit physiquement blessé ou menacé). Le piratage éthique est une activité temporelle où autant de défauts que possible sont découverts - généralement en utilisant uniquement des méthodes non physiques.

"Évaluations", "audits" et "tests" sont généralement des mots interchangeables dans le domaine de la sécurité de l'information. Les mots "vulnérabilité", "menace" et quelques autres sont généralement mal compris et mal interprétés. Les professionnels ayant 20 ans d'expérience, les mêmes antécédents et les mêmes certifications se disputeront généralement sur ces termes de base. Il est préférable d'ignorer ce que quelqu'un "dit" ou "pense" est la bonne réponse - et préférez plutôt votre instinct et votre bon sens lorsque vous appliquez le terme dans une conversation avec des non-initiés.

Le problème avec cette question est qu'il n'y a pas de définition stricte/suivie de ce que signifie "test de pénétration" dans l'industrie. Des personnes brillantes de toute la communauté se sont réunies pour résoudre ce problème, formant le " Penetration Testing Execution Standard ."

Il tente de définir chaque étape d'un test de pénétration afin d'établir une attente raisonnable sur laquelle les dirigeants d'entreprise et les testeurs de pénétration peuvent baser leurs interactions.

Les étapes qu'ils énumèrent sont

1. Interactions pré-engagement
2. Collecte de renseignements
3. Modélisation des menaces
4. Analyse de vulnérabilité
5. Exploitation
6. Post-exploitation
7. Rapports

Voici une définition édulcorée de chacun. Pour obtenir une image claire, vous devriez lire les pages wiki liées.

Les interactions pré-engagement consistent à établir la portée et les règles d'engagement, ainsi que de nombreux aspects commerciaux.

La collecte de renseignements est la phase de reconnaissance au cours de laquelle l'attaquant en apprend le plus possible sur la cible (aspects humains et techniques) à utiliser lors de l'analyse et de l'exploitation des vulnérabilités .

La modélisation des menaces consiste à identifier les actifs et les menaces, à les catégoriser et enfin à les associer.

Vulnerability Analysis "est le processus de découverte de failles dans les systèmes et les applications qui peut être exploité par un attaquant." Les gens supposent souvent à tort que cela et l'exploitation sont tout ce qui concerne les tests de pénétration.

L'exploitation "se concentre uniquement sur l'établissement de l'accès à un système ou à une ressource en contournant les restrictions de sécurité."

La post-exploitation est la détermination de la valeur des machines compromises et le maintien du contrôle pour une utilisation ultérieure. Dans cette phase, vous pouvez recueillir des informations qui vous permettent d'aller plus loin (les informations d'identification étant évidentes).

Rapports "[communique] les objectifs, les méthodes et les résultats des tests effectués à divers publics."

Qu'ils réussissent ou non dans leur mission est à débattre, mais je pense que c'est un bon endroit pour commencer à développer une compréhension approfondie.

Il y a aussi les " PTES Technical Guidelines " qui passent en revue les tactiques et outils qui pourraient être utilisés lors d'un test de pénétration.

Je ne suis pas prêt à écrire quelque chose de long pour cela, mais en voici un amusant que la plupart des testeurs partagent:

• J'ai un client qui a reçu des analyses PCI ASV pendant des années (c'est-à-dire une évaluation de vulnérabilité externe sans aucune vulnérabilité grave, élevée ou critique trouvée). Une analyse "propre" selon PCI.
• Et depuis plusieurs années, toutes leurs bases de données internes peuvent être exfiltrées, non détectées, via des tests de plume qualifiés (sans parler des attaques côté client, de l'ingénierie sociale, des tests de plume physiques, du phishing)

Le stylo-test, du moins dans le coin où je traîne, est destiné à simuler une attaque d'un adversaire motivé. Les évaluations de vulnérabilité sont généralement beaucoup moins importantes.

L'analyse des vulnérabilités est le processus d'identification des vulnérabilités sur un réseau, tandis qu'un test de pénétration est axé sur l'obtention effective d'un accès non autorisé aux systèmes testés et l'utilisation de cet accès au réseau ou aux données, comme indiqué par le client. Une analyse de vulnérabilité fournit un aperçu des failles qui existent sur le système tandis qu'un test de pénétration continue pour fournir une analyse d'impact des failles identifie l'impact possible de la faille sur le réseau sous-jacent, le système d'exploitation, la base de données, etc. L'analyse de vulnérabilité est plus d'un processus passif. Dans Vulnerability Analysis, vous utilisez des outils logiciels qui analysent à la fois le trafic réseau et les systèmes pour identifier les expositions qui augmentent la vulnérabilité aux attaques. Les tests de pénétration sont une pratique active dans laquelle des pirates éthiques sont employés pour simuler une attaque et tester la résistance du réseau et des systèmes.

J'ai écrit un article complet couvrant ce sujet. Lisez-le ici: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/