Quali fattori dovresti prendere in considerazione al momento di decidere se gli utenti debbano essere informati di un test di penetrazione?

Per me la risposta a questa domanda ruota in gran parte attorno al tipo di test in corso. Se si dispone di un test di penetrazione "corretto" in cui i tester simulano un attacco, una quantità decente del beneficio del test è vedere come / se l'attacco viene notato e come reagiscono gli utenti interni / IT (ad esempio lo segnalano a l'helpdesk se succede qualcosa di strano, i colpi AV vengono investigati in modo tempestivo.

In questo tipo di circostanze, ovviamente, minore è il numero di persone che conoscono il test, più è utile. Di nuovo ovviamente alcune persone dovranno saperlo, ma questo dovrebbe essere ridotto al minimo. Direi che un buon hook da avere è sapere a chi viene notificato quando viene rilevato un incidente di sicurezza completo, in modo che possano affrontare azioni drastiche come la caduta dei server di produzione nel giorno lavorativo.

Ciò detto la maggior parte di ciò che viene chiamato "test di penetrazione" interno non è un completo contraddittorio e in tali circostanze ha senso che l'IT operativo conosca il test, quindi non sprecano un sacco di tempo a indagare sui problemi che sono solo parte della recensione.

Per quanto riguarda gli aspetti legali, questo, come sempre, dipende dalla giurisdizione. Se è necessario informare gli utenti finali di qualsiasi potenziale accesso ai dati personali, direi che penna piena. test / teaming rosso è un esercizio piuttosto inutile in quanto non simula mai un vero attacco.

Tuttavia, in molti paesi gli utenti di una rete aziendale non hanno alcuna aspettativa di privacy per i dati personali elaborati, quindi non dovrebbe essere una preoccupazione particolare.

Nel Regno Unito, la legge è un fattore strong. The Human Rights Act 1998 afferma:

Everyone has the right to respect for his private and family life, his home and his correspondence.

Quindi se qualsiasi utente coinvolto nel test di penetrazione ha una "aspettativa di privacy", allora è richiesto dalla legge di informarlo prima di qualsiasi test. Nota che solo perché sono nel Regno Unito non significa che abbiano una tale aspettativa - questo dipenderebbe dalle politiche della compagnia (ad esempio politica di utilizzo accettabile e politica di accesso a Internet e posta elettronica) e contratto di lavoro.

Questa pagina è una risorsa utile per quanto riguarda i test delle penne e la legge del Regno Unito.

Questo dipende principalmente dal fatto che l'utente debba conoscere il test. Naturalmente, dal momento che stai simulando un vero attacco, puoi o non puoi dirlo, da dove viene il dilemma delle cose che gli utenti farebbero. È solo che dovresti informare tutti quegli utenti per i quali non stai testando la preparazione dell'attacco. Questo è abbastanza sicuro, perché i veri attacchi possono arrivare in qualsiasi momento e fa parte del test. Non ti calmi o non avverti il tuo sistema dicendo che è solo un test, che sconfigge lo scopo.

Quindi, vorrei ripetere la mia risposta. Informa tutti gli utenti che non fanno parte della tua sicurezza (o anche alcuni di loro specifici se ti senti disturbato). Puoi dire loro dopo che il test è finito. Secondo me, è la cosa migliore da fare.

SilverlightFox, ritengo che ci siano 3 punti principali da tenere a mente quando si rivela un test di penetrazione a personale:

1. Quali sistemi stai prendendo di mira? - Il più importante perché, in base a ciò che è nel campo di applicazione, i tecnici di questi servizi potrebbero aver bisogno di essere informati in modo che possano preparare e rimediare a eventuali problemi che si presentano.
2. Quali sono le leggi e le politiche del tuo ambiente? - assicurati di non violare alcuna legge o politica aziendale in merito alla divulgazione.
3. A chi stai mirando? - Dovrai assicurarti che gli utenti che hai scelto come target non conoscano la situazione e cambino il loro comportamento in quanto ciò comporterà dati inutili.

Nella maggior parte dei casi è opportuno mantenere la necessità di conoscere le basi dei test di penetrazione perché si desidera ottenere un profilo della posizione di sicurezza di base.

Una cosa fondamentale è fare riferimento alla politica di sicurezza delle informazioni dell'azienda. Queste politiche decideranno anche cosa è consentito a un dipendente e non è autorizzato a farlo in azienda con aspetti di sicurezza IT. Decide anche quale sarà la penalità se un dipendente viola una politica di sicurezza. Quindi, per esempio: se la politica dice che l'azienda può monitorare uno qualsiasi in qualsiasi momento, allora puoi pentest senza informare l'utente finale! D'altra parte, se la politica dice che gli utenti finali non possono essere monitorati in nessuna circostanza, e se conduci un pentest, potresti essere in difficoltà. Queste politiche vengono fornite ai dipendenti quando firmano il contratto. Quindi il dipendente non può incolpare il datore di lavoro in seguito dicendo che non era a conoscenza di questo fatto.

Consiglio vivamente di fare riferimento alle politiche di sicurezza della compagnia prima di condurre un pentest. Ti aiuterà a capire meglio il funzionamento interno di un'azienda e ti aiuterà anche a pianificare la tua fase di test:

1. Potrebbe aiutarti a decidere quando testare (orari lavorativi o non lavorativi)
2. Ti aiuterà a pianificare il tuo pentest completo in alcuni aspetti e ad avere un'idea di quanto tempo ci vorrà per pentestare ecc.

Qui è una buona risorsa sui modelli di criteri di sicurezza.

Normalmente le politiche di sicurezza vengono create tenendo presente le leggi IT del paese per evitare conflitti. Ad esempio: le politiche di sicurezza di un'azienda del Regno Unito verranno create tenendo presenti le leggi IT del Regno Unito.

Un altro esempio potrebbe essere che alcune aziende hanno una politica rigorosa che i dipendenti non sono autorizzati a portare alcun tipo di dispositivo personale. Se un dipendente porta questo tipo di dispositivo, l'azienda ha il pieno diritto di esaminare tale dispositivo finché è nei locali dell'azienda. Ad esempio: un dipendente non può portare il proprio laptop o telefono cellulare ecc. Utilizzato per l'uso personale. Supponiamo che un dipendente abbia portato un tale tipo di dispositivo ora secondo la politica di sicurezza che l'azienda può esaminare su questo dispositivo e che il proprietario del dispositivo deve essere pienamente aziendale! ( Inoltre: ora hai un altro dispositivo da testare. : P

Poiché non esiste una politica di sicurezza universale, diverse società potrebbero avere politiche di sicurezza diverse. Quindi c'è no Sì / Nessuna risposta alla tua domanda.

Se la politica di sicurezza non aiuta in alcuni casi, consiglierei di discutere con il proprietario della società. Di solito una persona (o una squadra) con una posizione tecnica / non tecnica di alto livello le sarà fornita dal proprietario per discutere tali casi a seconda del contesto.

Inoltre, è una buona idea avere un contatto con alcune persone di alto livello tecnico / non tecnico durante l'intera fase del pentest. Queste persone ti assisteranno in qualsiasi questione tecnica / non tecnica. Inoltre, poiché saranno in possesso di alcune posizioni elevate nell'azienda, quindi avranno un'autorizzazione più elevata e potrebbero fornire le autorizzazioni in breve tempo. Ad esempio, se durante il pentest sfortunatamente qualcosa va terribilmente male, allora puoi immediatamente informare questi contatti. Potresti / potresti avere alcune situazioni durante il pentest, quando devi decidere qualcosa all'istante. Esempi di tali situazioni potrebbero essere che ti sei dimenticato di pianificare cosa fare se si verifica una situazione particolare prima di condurre il pentest o se sorge una situazione strana & sfortunatamente non hai un piano di backup. In quel momento puoi di nuovo discutere con le persone di contatto per prendere decisioni migliori.

A proposito di pentesting isolato, compartimentalizzazione è tuo amico. È sempre bene se qualcuno sa cosa stai facendo. Potrebbe essere il consiglio di amministrazione, l'amministratore delegato, il direttore operativo, il direttore dell'ICT o qualsiasi altro management inferiore, ma le persone che saranno sottoposte a pentimento non dovrebbero essere informate se si desidera osservare reazioni genuine.

Ci sono alcuni svantaggi, soprattutto se il tuo test sarà aggressivo. Alcuni test possono fare del male ad alcuni sistemi e se questi sistemi sono mission o business critical, è bene avere un piano di emergenza. Aspetti legali e altri erano già stati descritti nelle altre risposte.

Questa può essere una decisione molto complessa, quindi non esiste una risposta semplice né esiste un semplice algoritmo che porti a una decisione sana. Deve essere deciso caso per caso.

Considerando l'impatto di una penetrazione effettiva da parte di utenti malintenzionati (che è molto alta per la maggior parte delle aziende moderne), la migliore pratica sarebbe quella di eseguire i test con penna solo come parte di un più ampio campo di azione sulle contromisure di penetrazione.

Ad esempio, il primo pen-test che fai potrebbe essere completamente notificato. È quindi possibile registrare eventuali obiezioni e persino tracciare le modifiche alle abitudini dell'utente (eseguendo un controllo passivo del software passivo prima / dopo). Effettuare il test della penna e registrare tutti i risultati. Dovresti avere abbastanza elementi di azione da queste due attività per tenerti occupato, anche se i tuoi utenti chiudono di nascosto un sacco di buchi.

Quindi, da 6 a 12 settimane dopo, ripetere lo stesso test con penna ma non informare alcun utente. Usa le tue note del primo test per identificare i processi aziendali che richiedono un'attenzione speciale per non disturbare. Questo dovrebbe illustrare il resto dei problemi che devi risolvere.

Se noti molte discrepanze tra i test 1 e 2, potresti aver bisogno di un "drill di preparazione alle minacce" di qualche tipo, cioè dire agli utenti che c'è una minaccia imminente e che dovrebbero essere diffidenti nei confronti di qualsiasi email non familiari, attività di rete, ecc. e misurare la risposta. In definitiva (tornando alla prima parte della tua domanda) se riesci a portare i tuoi utenti a bordo con una buona postura di sicurezza, rimarrai in vantaggio di più minacce che se adottassi un approccio reattivo e affidarti solo a pen-test (annunciati o non annunciati) per trovare i problemi.

I fattori sono in gran parte fiducia e rischio. Ti fidi che la gente non andrà e improvvisamente aggiungere una nuova sicurezza che non esisteva prima?

La fiducia è incredibilmente importante per la sicurezza e generalmente poco apprezzata nella comunità IT. La fiducia tra il reparto sicurezza e il resto dell'azienda rende più facile il lavoro di tutti. Quando le persone si fidano di te, sono più disponibili a fornire informazioni volontarie e lavorare con te. Quando diffidano di te, saranno di guardia e non imparerai nulla. Troppo spesso il dipartimento di sicurezza crea relazioni contraddittorie con gli altri dipartimenti, creando tribalismo e interruzioni delle comunicazioni e delle relazioni.

NON dire ai tuoi amministratori di un pen-test servirà solo a degradare la fiducia. Le prove con le penne possono ovviamente influire sulle operazioni e sapere che sta accadendo permetterà loro di reagire molto meglio se un test con la penna finisce per rompere qualcosa. Se dovessero scoprirlo in seguito, alleverai solo rabbia, sfiducia e potrebbe essere abbreviato in futuro a causa della natura "a sorpresa" della rottura dei sistemi critici.

Ecco due fattori contro l'annuncio:

Un vero attaccante che è un utente ma che stava aspettando il momento più opportuno per l'attacco (o non è sicuro se attaccare affatto), potrebbe semplicemente trovare il momento opportuno in un Pentest annunciato, quando diventa normale-ish per cose insolite accadere.

Le persone che altrimenti darebbero allegramente accesso alle risorse riservate a chiunque abbia chiamato a chiedere o anche a condividere le loro password, saranno a loro agio. Se il campo d'azione più potente coinvolge l'ingegneria sociale, questo diventa molto distorto.