Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

11.3. Formalisation de l'évaluation‌


Avec votre environnement Kali prêt et le type d'évaluation défini, vous êtes presque prêt à commencer à travailler. Votre dernière étape consiste à formaliser le travail à effectuer. Ceci est d'une importance cruciale, car cela définit les attentes pour le travail et vous donne la permission de mener ce qui pourrait autrement être une activité illégale. Nous couvrirons cela à un niveau élevé, mais il s'agit d'une étape très complexe et importante, vous voudrez donc probablement vérifier auprès du représentant légal de votre organisation pour obtenir de l'aide.

Dans le cadre du processus de formalisation, vous devrez définir les règles d'engagement des travaux. Cela couvre des éléments tels que:

• Avec quels systèmes êtes-vous autorisé à interagir ? Il est important de s'assurer que vous n'interférez pas accidentellement avec tout ce qui est essentiel aux opérations commerciales.

• À quelle heure de la journée et sur quelle fenêtre d'attaque l'évaluation est-elle autorisée ? Certaines organisations aiment limiter la durée pendant laquelle le travail d'évaluation peut être effectué.

• Lorsque vous découvrez une vulnérabilité potentielle, êtes-vous autorisé à l'exploiter ? Si non, quel est le processus d'approbation? Certaines organisations adoptent une approche très contrôlée à chaque tentative d'exploitation, tandis que d'autres souhaiteraient une approche plus réaliste. Il est préférable de définir clairement ces attentes avant le début des travaux.

• Si un problème important est découvert, comment doit-il être traité ? Parfois, les organisations veulent être informées tout de suite, sinon cela est généralement abordé à la fin de l'évaluation.

• En cas d'urgence, qui contacter ? Il est toujours important de savoir à qui s'adresser en cas de problème de quelque nature que ce soit.

• Qui sera au courant de l'activité ? Comment leur sera-t-il communiqué ? Dans certains cas, les organisations voudront tester leur réponse aux incidents et leurs performances de détection dans le cadre de l'évaluation. C'est toujours une bonne idée de le savoir à l'avance, afin que vous sachiez si vous devez faire preuve de discrétion dans l'approche de l'évaluation.


image

26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org‌‌

• Quelles sont les attentes à la fin de l'évaluation ? Comment les résultats seront-ils communiqués ? Sachez ce que toutes les parties attendent à la fin de l'évaluation. Définir le livrable est le meilleur moyen de satisfaire tout le monde une fois le travail terminé.


Bien qu'elle ne soit pas complète, cette liste vous donne une idée des détails qui devraient être couverts. Cependant, vous devez comprendre que rien ne remplace une bonne représentation juridique. Une fois ces éléments définis, vous devez obtenir l'autorisation appropriée pour effectuer l'évaluation, car une grande partie de l'activité que vous effectuerez au cours d'une évaluation peut ne pas être légale sans l'autorisation appropriée d'une personne habilitée à donner cette autorisation.

Avec tout cela en place, il reste encore une dernière étape que vous voudrez franchir avant de commencer les travaux : la validation. Ne faites jamais confiance à la portée qui vous est fournie, validez-la toujours. Utilisez plusieurs sources d'informations pour confirmer que les systèmes concernés appartiennent en fait au client et qu'ils sont également exploités par le client. Avec la prévalence des services cloud, une organisation peut oublier qu'elle ne possède pas réellement les systèmes qui lui fournissent le service. Vous devrez peut-être obtenir une autorisation spéciale d'un fournisseur de services cloud avant de commencer à travailler. De plus, validez toujours les blocs d'adresses IP. Ne comptez pas sur l'hypothèse d'une organisation selon laquelle elle possède des blocs IP entiers, même si elle les considère comme des cibles viables. Par exemple, nous avons vu des exemples d'organisations qui demandent une évaluation d'une plage entière de réseau de classe C alors qu'en fait, elles ne possédaient qu'un sous-ensemble de ces adresses. En attaquant tout l'espace d'adressage de classe C, nous aurions fini par attaquer les voisins du réseau de l'organisation. Les Analyse OSINT sous-catégorie de la La collecte d'informations Le menu contient un certain nombre d'outils qui peuvent vous aider dans ce processus de validation.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :