O teste de penetração é uma das disciplinas mais antigas e amplamente
utilizadas na área da segurança cibernética.
Hoje,
milhares de organizações, incluindo grandes instituições financeiras,
hospitais, seguradoras, agências militares e de inteligência, e empresas de
energia e eletricidade colocam sua fé, sua reputação e o destino de seus mais
valiosos ativos digitais nas mãos de testadores de penetração, ou pentesters,
como são conhecidos.
As
organizações que buscam pentesters estão caçando defeitos. É o objetivo
completo de um exercício que procura identificar pontos fracos na defesa de uma
organização antes que seja tarde demais.
Os clientes
contratam pentesters para desempenhar o papel de adversários em um ataque
simulado e geralmente os contratados corrompem facilmente soluções caras de
segurança, dados confidenciais e sensíveis, além de constrangerem
administradores e executivos de sistemas – tudo com a permissão do cliente.
Este
relatório tem como objetivo iniciar uma conversa e desmistificar uma série de
práticas, subprodutos e efeitos secundários do pentesting, os quais clientes e
o público em geral podem desconhecer.
À medida que
a indústria de testes de penetração evoluiu e se expandiu, a linha que
distingue os exercícios de formação de equipes vermelhas (um termo militar que,
para muitos, passou a ser associado a serviços que incluem pentesting) do
comportamento real do ator de ameaças diminuiu e, em alguns casos, ficou
totalmente obscura.
Nas páginas
do relatório, a equipe de inteligência dedicada ao estudo de ameaças da
BlackBerry Cylance examina o lado mais difícil dessa fina linha vermelha.
O estudo
examina uma disciplina na qual a falta de padrões universalmente aceitos
permite uma série de práticas comuns que podem inadvertidamente introduzir
muitos riscos ocultos, que podem afetar negativamente a integridade do cliente,
incluindo a privacidade e a segurança, que o pentesting deveria proteger.
Consequentemente, essas práticas levantam questões críticas sobre um dos
paradigmas fundamentais da cibersegurança: a redução de riscos.
Os
resultados da pesquisa incluem:
- um estudo
de caso de um grupo identificado e caracterizado por uma empresa de segurança
como um grupo avançado de ameaças persistentes (APT), que a pesquisa constatou
estar, na verdade, operando abertamente como uma empresa de segurança
brasileira que oferece serviços de pentesting;
- evidências sugerindo que, embora essa empresa fosse
respeitada por alguns clientes, provavelmente também era responsável por
extrair mais de 200 megabytes de dados sensíveis de reconhecimento para o
sistema de controle de tráfego aéreo de um país – dados que encontramos
posteriormente em um repositório semipúblico de malware;
- a ampla
exposição de dados de clientes em repositórios semipúblicos, afetando
aeroportos, organizações de saúde, grandes instituições financeiras, grandes
empresas de tecnologia, governos estaduais e locais, organizações sem fins
lucrativos globais, grandes varejistas e agências governamentais federais dos
EUA – todas reveladas por malware, phishing e infraestrutura de comando e
controle (C2) criada por mais de duas dúzias de pentesters que tiveram suas
práticas comerciais examinadas;
- perguntas
novas e perturbadoras sobre a conformidade do setor de teste com as
expectativas de privacidade e confidencialidade dos clientes, bem como novos
requisitos legais e regulamentares, como o Regulamento Geral de Proteção de
Dados da Europa (GDPR);
- uma
infinidade de pacotes de malware gerados por criminosos e outras ferramentas de
hackers projetadas para uso por defensores de rede que agora estão nas mãos de
vários atores de ameaças e do crime organizado, detalhando seu uso em uma série
de ataques reais de maneira a tornar a identificação adequada do atacante mais
difícil;
- uma visão geral das diretrizes práticas, éticas e legais
disponíveis para os criminosos e uma discussão das implicações da falta de um
padrão de toda a indústria para os clientes.
O objetivo
deste relatório é fornecer uma visão do pentesting na perspectiva do pesquisador
de segurança, na tentativa de educar melhor outros pesquisadores, pentesters e
– o mais importante – os clientes que ambos procuram atender. Discutimos o
potencial de resultados negativos da atividade de pentesting, na esperança de
iniciar um diálogo que catalisará esforços para implementar um conjunto de
padrões comumente aceito para as melhores práticas de pentesting.
Baixe o
relatório completo aqui
(em inglês).
BlackBerry
Cylance
Nenhum comentário:
Postar um comentário