Network Penetration Test (NPT)

Individuer les vulnerabilités des propres systèmes avant quelqu'un d'autre est un procédé important pour assurer la sécurité du réseau. Un Network Penetration Test a pour objectif l'identification des vulnerabilités, en se concentrant sur les secteurs à plus grande influence sur le business de l'entreprise.

Un Network Penetration Test a pour objectiv l'évaluation de la sécurité d'un réseau et peut être executé de l'intérieur (Internal PT) ou de l'extérieur (External PT), avec différents niveaux d'information et accès aux infrastructures et ressources du client (Black Box, Gray Box et White Box).

Il est donc possible de simuler scénarios d'attaque différents. Un External PT du type Black Box, par exemple, a pour objectif l'identification des problèmes causés par un attaquant quelconque extérieur à l'organisation, tandis qu'un Internal PT du type Gray Box simule un employé malicieux.

ISGroup est le fournisseur idéal pour vos nécéssités de Network Penetration Test et agit selon les standards internationaux et au plus haut niveau de qualité, grâce à l'engagement constant dans la recherche. Contactez-nous pour recevoir plus d'informations et demander une estimation personnalisée.

Description

Aujourd'hui, le commerce eléctronique, les opérations en ligne B2B (Business-to-Business) et la connectivité globale sont devenus le composant essentiel de la stratégie d'un business de succés, les entreprises ont adopté procés et pratiques de sécurité.

La grande partie des entreprises agit avec rigueur pour garder une politique de sécurité qui inclue les produits et services plus avancés pour éviter les fraudes, les actes vandaliques, le sabotague est les attaques DoS (Denial of Service).

Malgré cela, de nombreuses entreprises ne donnent pas le juste relief à un ingrédient essentiel du succés d'une politique de sécurité: le contrôle que le réseau et les systèmes de sécurité fonctionnent comme prévu.

L'activité de Network Penetration Test, en utilisant les instruments et processus nécessaires à examiner l'infrastructure du réseau à la recherche des vulnérabilités, aide à améliorer la politique de sécurité de l'entreprise, et assure que l'implémentation de sécurité fournisse réellement la protection que l'entreprise demande et dont elle a besoin.

Counduire réguliérement les Penetration Test aide les entreprises à découvrir les points faibles de la sécurité du réseau, qui peuvent porter à endommager données ou infrastructures de la part d'Exploit, Virus, Trojan, attaques Denial of Service et autres intrusions. Le test peut montrer aussi d'autres vulnérabilités qui peuvent être introduites par patch, mises à jour ou erreurs sur Server, Router et Firewall.

Network Penetration Test en bref:

  • Dans les systèmes plus exposés, on recherche les vulnérabilités soit par l'intérieur soit par l'extérieur.
  • Le vulnerabilités identifiées sont exploitées au but de violer le périmètre du réseau.
  • Les systèmes internes sont inspectés à la recherche d'autres vulnerabilités qui puissent permettre d'obtenir accés ultérieur au données et aux infrastructures.
  • Le processus est répété autant de fois que possible.

Spécifiques du service de Network Penetration Test

Le service de Network Penetration Test est effectué par professionnels qualifiés, selon les méthodes reconnues à niveau international, comme OSSTMM (Open Source Security Testing Methodology Manual), un manuel Open Source pour l'exécution de test de sécurité vers infrastructures et asset informatiques), adaptées aux besoins du client et du scénario d'attaque.

Tous nos services sont personnalisables selon les besoins du client et intégrables avec les autres produits et services offerts. Un NPT peut tenir compte du côté strictement informatique ou aussi des personnes et des procés (Social Engineering) et de la sécurité physique. Le client décide quels sont les aspects plus importants de l'activité et où concentrer les efforts de l'équipe d'attaque.

Toutes les actions plus délicates et techniques sont effectuées par chercheurs experts pour garantir la professionalité et éviter dommages à l'infrastructure et aux données.

Les résultats de l'activité de testing sont résumés et exposés dans le Report, un document simple et détaillé, divisé en trois sections principales.

De l'extérieur (External PT) ou de l'intérieur (Internal PT) et au niveau d'information choisi par le client (Black Box, Gray Box et White Box) pour simuler différents type d'attaque.

Une partie initiale de haut niveau, appelée Executive Summary, destinée au Management. Une partie technique qui décrit en détail les vulnérabilités observées et leur impact, destinée au Security Manager. Une partie technique avec instructions précises sur la solution des problèmes observés, destinée à l'Ingénieur Systèmes, appelée Remediation Plan.

Scénario de Network Penetration Test

ISGroup conduit les tests avec diffèrentes modalités:

Internal PT
Les tests sont effectués en se plaçant à l'intérieur du réseau de l'entreprise.

External PT
Les tests sont effectués à l'extérieur du réseau d'entreprise.

En outre, il est possible de diversifier entre Black Box, Gris Box et les tests boîte blanche, selon les informations fournies sur les systèmes que nous avons à l'attaque. Voici quelques exemples et ensembles:

External PT Black Box
Simule un attaquant casuel ou externe (par exemple un concurrent) qui n'aie pas accès aux informations et crédentielles d'accès à l'enteprise.

Internal PT Black Box
Simule un attaquant qui aie accès physique (par exemple un consultant externe o un visiteur dans la salle réunions) ou àdistance (par exemple l'ordinateur compromis d'un employé) au réseau de l'entreprise.

External PT White Box
Simule la compromission d'un composant exposé à l'extérieur pour comprendre quel niveau d'accès soit possible à travers d'autres parties de l'infrastructure de l'entreprise.

Internal PT Black Box
Simule un attaquant interne à l'organisation, pourvu d'informations et accès à une partie de l'infrastructure, pour évaluer quel niveau d'accès au composantes critiques peut être atteint.

Wireless Penetration Test
Essaye de compromettre l'infrastructure wireless, simule un attaquant physiquement proche à un des bâtiments de l'entreprise qui fournit un réseau wireless.

Social Engineering
Au lieu d'attaquer le composant informatique, on attaque celle humaine, avec techniques de manipulation on essaye d'induire les personnes à commettre des actions ou révéler des informations.

Output

Le Report est un document simple et détaillé qui résume les résultats de l'activité et est divisé en trois parties différentes, comme expliqué auparavant:

Executive Summary
Au début du Report, sur moins d'une page, il y a le résumé de haut niveau adressé au Management.

Vulnerability Details
La partie technique qui décrit en détail les vulnérabilités observées et leur impact, adressée au Security Manager.

Remediation Plan
Section technique contenant instructions détaillées sur la solution des problèmes identifiés, adressée à l'System Administrator.

Si l'activité est requise par une tierce partie, nous travaillons sans problèmes sur des modèles de Report préalablement fournis avec la graphique et selon les modalités qui nous sont indiquées.

Nous donnons grande importance au Remediation Plan. Ce composant, souvent considéré secondaire, est fondamental pour que les problèmes identifiés soient réellement résolus de la manière correcte.

Précision et détail, simplicité et clarté sont les caractéristiques essentielles d'un bon Report. Étant donnée la complexité des problèmes de sécurité, nous essayons toujours de faciliter la tâche de qui s'appuie à nous par des documents rédigés avec le plus grand soin et qui soient vraiments utiles et pragmatiques.

Nos Report sont uniformes et facilement comparables entre eux.

Pour demander un exemple de Report anonymisé, ou pour discuter de vos exigences spécifiques, contactez-nous sans engagement.

Working with us is pretty simple, just call the number (+39) 045 4853232 or send an e-mail so that we can get to know each other and discuss about your IT Security needs.

Request our NPT - Network Penetration Test services

sales@isgroup.it