Relatório examina as práticas de pentesting

0

Hoje, milhares de organizações, incluindo grandes instituições financeiras, hospitais, seguradoras, agências militares e de inteligência, e empresas de energia e eletricidade colocam seus mais valiosos ativos digitais nas mãos de testadores de brechas, ou pentesters, como são conhecidos.

As organizações que buscam pentesters estão caçando defeitos. É o objetivo completo de um exercício que procura identificar pontos fracos na defesa de uma organização antes que seja tarde demais.

Os clientes contratam pentesters para desempenhar o papel de adversários em um ataque simulado e geralmente os contratados corrompem facilmente soluções caras de segurança, dados confidenciais e sensíveis, além de constrangerem administradores e executivos de sistemas – tudo com a permissão do cliente.

O relatório "Thin Red Line" tem como objetivo iniciar desmistificar uma série de práticas, subprodutos e efeitos secundários do pentesting, os quais clientes em geral podem desconhecer.

Nas páginas do relatório, a equipe de inteligência dedicada ao estudo de ameaças da BlackBerry Cylance examina o lado mais difícil dessa "fina linha vermelha".

O estudo examina uma disciplina na qual a falta de padrões universalmente aceitos permite uma série de práticas comuns que podem inadvertidamente introduzir muitos riscos ocultos, que podem afetar negativamente a integridade do cliente, incluindo a privacidade e a segurança, que o pentesting deveria proteger. Consequentemente, essas práticas levantam questões críticas sobre um dos paradigmas fundamentais da cibersegurança: a redução de riscos.

Os resultados da pesquisa incluem:

– um estudo de caso de um grupo identificado e caracterizado por uma empresa de segurança como um grupo avançado de ameaças persistentes (APT), que a pesquisa constatou estar, na verdade, operando abertamente como uma empresa de segurança brasileira que oferece serviços de pentesting;

– evidências sugerindo que, embora essa empresa fosse respeitada por alguns clientes, provavelmente também era responsável por extrair mais de 200 megabytes de dados sensíveis de reconhecimento para o sistema de controle de tráfego aéreo de um país – dados que encontramos posteriormente em um repositório semipúblico de malware;

– a ampla exposição de dados de clientes em repositórios semipúblicos, afetando aeroportos, organizações de saúde, grandes instituições financeiras, grandes empresas de tecnologia, governos estaduais e locais, organizações sem fins lucrativos globais, grandes varejistas e agências governamentais federais dos EUA – todas reveladas por malware, phishing e infraestrutura de comando e controle (C2) criada por mais de duas dúzias de pentesters que tiveram suas práticas comerciais examinadas;

– perguntas novas e perturbadoras sobre a conformidade do setor de teste com as expectativas de privacidade e confidencialidade dos clientes, bem como novos requisitos legais e regulamentares, como o Regulamento Geral de Proteção de Dados da Europa (GDPR);

– uma infinidade de pacotes de malware gerados por criminosos e outras ferramentas de hackers projetadas para uso por defensores de rede que agora estão nas mãos de vários atores de ameaças e do crime organizado, detalhando seu uso em uma série de ataques reais de maneira a tornar a identificação adequada do atacante mais difícil;

– uma visão geral das diretrizes práticas, éticas e legais disponíveis para os criminosos e uma discussão das implicações da falta de um padrão de toda a indústria para os clientes.

O objetivo deste relatório é fornecer uma visão do pentesting na perspectiva do pesquisador de segurança, na tentativa de educar melhor outros pesquisadores, pentesters e – o mais importante – os clientes que ambos procuram atender. Discutimos o potencial de resultados negativos da atividade de pentesting, na esperança de iniciar um diálogo que catalisará esforços para implementar um conjunto de padrões comumente aceito para as melhores práticas de pentesting.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.