My company is currently engaged in a security audit framed as a pentest.
e
Note, we've never signed a single NDA or other contract with them yet, and I'm very reluctant to provide this info to them because of this.
L'uso di "impegnati" in questo contesto implica una definizione di "stipulare un contratto per fare qualcosa". Questo mi lascia chiedermi se le dichiarazioni contrastanti sono accidentali o se non sei l'entità all'interno della tua azienda che ha ingaggiato la compagnia di sicurezza.
Se quest'ultimo, potrebbero esserci dei contratti / accordi di cui non sei stato informato. Ciò non sarebbe inusuale, in quanto molti dei test di penetrazione in cui sono stato sul lato ricevente nascondono i dettagli specifici del test da parte dei dipendenti in modo da non intraprendere azioni "anormali" da proteggere contro i test.
Se questo è il caso, allora fai con la richiesta cosa faresti normalmente con tale richiesta. Dì loro "no" e se respingono ("ma è necessario per noi eseguire il test di penetrazione"), quindi esegui la richiesta (per iscritto) al tuo supervisore fornendo i tuoi dubbi. Se il tuo supervisore ti dice (per iscritto) di rilasciare queste informazioni, dovresti essere chiaro perché potrebbero avere una migliore comprensione del test rispetto a te. Se i tuoi superiori non sono chiari, procedi con la catena di comando e / o spingi affinché possano chiedere indicazioni all'entità che ha ingaggiato la compagnia di sicurezza.
Tuttavia, se sei l'entità che ha ingaggiato la società di sicurezza, io (come le altre risposte qui) avrei serie preoccupazioni. Se ritieni che possa valere la pena perseguire (o sei preoccupato che facciano una sorta di richiesta di "violazione del contratto"), ti suggerirei di utilizzare un mezzo per valutare se si tratta di un test di ingegneria sociale. Ad esempio, è possibile generare un elenco di account amministratore e password falsi. Fornisci questo a loro, dì che stai ancora lavorando al resto, e lo invierai mentre è pronto. Quindi vedi come rispondono.
Se si tratta solo di un test di ingegneria sociale, tutto ciò di cui hanno bisogno è vedere la prova di questo tipo di informazioni trapelate (che è possibile mostrare successivamente sono account falsi). Una società di sicurezza responsabile non dovrebbe aver bisogno di più delle informazioni richieste e dovrebbe impedirti di fornirle ("Guardando a ciò che hai fornito, penso che questo dovrebbe essere sufficiente per farci procedere, non preoccuparti del resto a meno che non si trasformi ne abbiamo davvero bisogno "). Se non interrompono ulteriori informazioni, disinnestare immediatamente.
Altre informazioni potrebbero solo sospettare qualsiasi penetrazione che eseguono da quel momento in poi (ovvero è facile penetrare in un sistema se si ha accesso amministrativo) e / o esporle a potenziali cause legali sulla proprietà intellettuale (ad esempio codice sorgente trapelato, ecc. ).