I test di penetrazione di hacker e cracker etici dovrebbero essere considerati affidabili?

Ci sono alcuni svantaggi nell'assumere un blackhat "hacker" invece di una compagnia di sicurezza.

È più difficile fidarsi

A parte il backdooring del tuo sistema, non mi fiderei di un blackhat che scelgo per strada per mantenere confidenziali le sue scoperte sulla mia rete. Agli hacker piace vantarsi con i loro coetanei. Le conoscenze che ottengono sulla tua sicurezza possono morderti nel culo in più di un modo.

Sono drogati di adrenalina

OK, è un po 'strong. Ma un hacker che è solo per divertimento e non per soldi, si concentrerà su ciò che trova divertente. Ho lavorato sia con penetratori professionali sia con "hacker ricreativi", e quest'ultimo tipo esegue un diverso tipo di test. Se ti trovi un buon hacker, potrebbe avere più conoscenze del tester di penetrazione professionale, ma non fornirà lo stesso rapporto di qualità. Troverà un modo divertente per entrare nella tua rete e sfruttarla pienamente, mentre il penetrometro vedrà se ci sono molti modi per soppesare i problemi che incontra contro il rischio reale e può darti meno nero e bianco consigli su come risolvere i problemi.

È più difficile fare affari con

Pensa in termini di pianificazione, scadenze, disponibilità per gli aggiornamenti di stato eccetera.

Quindi, se ti ritrovi il perfetto gentiluomo hacker con conoscenza del sottosuolo, chi manterrà confidenziali le tue scoperte, proporrà soluzioni realistiche e farà il test dal punto di vista di ciò che è utile per te invece di quello che è divertente per lui, quindi hai un vincitore. Buona fortuna a trovarlo: -)

A proposito, se hai già una compagnia di sicurezza che assumi per regolari test di penetrazione e simili (cosa che dovrebbe avere una grande azienda), assumi alcuni hacker per un test "extra" per vedere se la compagnia manca qualsiasi cosa, può essere una grande mossa. Il problema della riservatezza rimane comunque ...

Ho lavorato come consulente per la sicurezza in solitario, ho assunto e testato testimoni della sicurezza, mi sono occupato del comitato standard per CREST (il gold standard britannico nei test di penetrazione) e ho gestito team di sicurezza di un massimo di 100 persone quindi ho una vasta esperienza di come funziona.

Rischi

• Un pirata informatico "canaglia" - avere un contratto con una società consolidata e stimabile ti fornisce due elementi: prova che hai ridotto al minimo il rischio (il pezzo di "due diligence" per il board) e la leva contrattuale per essere rimborsato per le perdite, il che potrebbe essere difficile se l'hacker se la cavasse con milioni.

• L'hacker non è disponibile (investito da un autobus, malato, ecc.) - la tua grande azienda deve sapere che il lavoro verrà completato. Non puoi ottenere quel livello di "fiducia" con un unico operatore, mentre una grande squadra dovrebbe essere in grado di spostare la risorsa in giro per aiutare a fornire.

• Limiti cosa può fare il penetrometro? Se dai loro più accesso del tuo personale, non dovresti controllarli ad un livello più alto del tuo personale? Dovresti assicurarti che la loro archiviazione dei dati è sicura (dato che potrebbero avere dati molto sensibili sulle vulnerabilità della tua azienda), che le loro pratiche di lavoro sono solide (pensa ISO27002 ecc.) E che sono a basso rischio dal punto di vista della corruzione (credito, criminalità e controlli sullo sfondo.) esegui questi controlli sul tuo personale, giusto?

Queste domande diventano molto più semplici quando si escludono esplicitamente quelli con precedenti convinzioni, e giustificare la tua decisione alla lavagna è anche più facile quando non devi rispondere "hai dato il permesso di hacker condannato per entrare nel nostro sistema bancario? " scrivi domande.

Hai anche due ipotesi interessanti che vorrei sfidare:

Costi

• nonostante affermazioni contrarie, le società di test di penetrazione di grandi dimensioni in genere possono battere o almeno eguagliare i tassi giornalieri. A volte questo avviene consegnando da regioni appropriate (ad es. Ho utilizzato in outsourcing test a distanza in circa 18 paesi diversi per fornire il lavoro di test da sole a un'ampia gamma di tester esperti in modo da consentire loro orari di lavoro ragionevoli, evitando così gli straordinari e i costi associati - e basta eseguire il controllo qualità a livello locale e talvolta semplicemente con un tariffario ragionevole.

Skills

• la visione classica di un hacker blackhat è che sono incredibilmente abili e intelligenti e saranno sempre migliori di un consulente specializzato in sicurezza. In genere questo non è vero su entrambi i lati. I migliori blackhats sono spesso finanziati dalla criminalità organizzata e sviluppano continuamente nuovi exploit, quindi i whitehats sono sempre in recupero, ma la formazione whitehat è alla pari e l'esperienza fornisce qualcosa che l'hacker indipendente non ottiene mai: esperienza su tutta la gamma di exploit, vulnerabilità, rischi aziendali, ecc. Ad esempio:

I test di penetrazione sono preziosi, certo, ma solo come strumento per convalidare una posizione di sicurezza o l'implementazione di controlli specifici. Dal punto di vista del business, non viene nemmeno mostrato nella maggior parte dei registri dei rischi aziendali come qualcosa di diverso da un punto di controllo. La ragione di ciò è che non fornisce una grande azienda con un valore diverso da un "sì - ci siamo assicurati in modo appropriato" o "no - abbiamo bisogno di fare più lavoro", mentre il quadro generale di cui il CISO ha bisogno è tutto intorno a minimizzare il potenziale per problemi, ad esempio implementando un SDLC, controlli tecnici e manuali stratificati e così via.

Oltre ai punti citati, c'è un altro aspetto che a mio avviso è abbastanza importante.

I whitehats sono spesso addestrati a tradurre le chiacchiere degli hacker in un linguaggio comprensibile per la gestione. Un manager o dirigente non è interessato al fatto che ci sia un'iniezione SQL, né gli importa che non vengano applicate le ultime patch. Vuole sapere come questi avrebbero un impatto sulla sua attività. Capire il business è la chiave qui. Un'iniezione SQL in un caso può significare che non protegge la privacy dei suoi utenti e quindi può essere multato (rischio aziendale) mentre in un altro caso potrebbe essere che un'iniezione SQL possa portare a cifre inaffidabili per il ragioniere aziendale o maggiore possibilità di frode (rischio aziendale).

Un whitehat addestrato può tradurre una vulnerabilità in un sistema in un rischio aziendale, mentre un blackhat può solo parlare di "imprudenza" tecnica che il manager non si cura né capisce.

Quindi, sebbene tu possa pagare di più per un consulente di sicurezza assunto, i risultati che ottieni sono a mio parere molto migliori e quindi ne fanno un investimento fondato.

Questa domanda di etica non è molto realistica. I fatti reali rendono questa domanda più facile di quella che il tuo istruttore potrebbe aver voluto che fosse:

• Se vuoi una buona valutazione della sicurezza del tuo sito, assumere qualcuno per tentare di hackerarlo non è il modo migliore per ottenerne uno. Molte persone che sono le nuove per il business pensano che il modo per testare la sicurezza è assumere una squadra rossa per comportarsi come un gruppo di hacker, provare a hackerare e vedere se ci riescono. Tuttavia, questo è un equivoco. È un errore comprensibile, ma non è ancora accurato.

  Invece, il modo migliore per ottenere una seria valutazione della sicurezza è assumere un professionista della sicurezza e dare loro pieno accesso alle informazioni su processi, pratiche e codice. Il professionista sarà in grado di darti una valutazione molto migliore, se lui / lei ha accesso a tali informazioni. Potresti essere tentato di dire: un hacker non lo saprebbe, quindi perché dovrei dirlo al valutatore della sicurezza? La risposta è che dà l'influenza del valutatore: un problema che un hacker potrebbe essere in grado di trovare in 100 ore senza le informazioni, potrebbe essere individuato dal valutatore in 10 ore con le informazioni.

  Ecco un'analogia. Se stavi pensando di acquistare un'auto usata e te la portassi dal tuo meccanico per una valutazione, legherei le mani dei tuoi meccanici dicendo "non ti è permesso aprire il cofano, non ti è permesso guardare il servizio del proprietario record, e non ti è permesso di guardare la garanzia "? No, sarebbe sciocco. Daresti ai meccanici più informazioni e accesso possibili. Lo stesso dovrebbe andare per una valutazione della sicurezza.

• I criminali non sono più bravi a valutare la sicurezza dei professionisti onesti. Al contrario, per la maggior parte, i professionisti onesti saranno probabilmente in grado di svolgere un lavoro molto migliore dei criminali. Molti criminali in realtà non sanno molto del lato tecnico; sanno quanto basta per fare soldi, ma certamente non più di un abile professionista onesto.

  La tua affermazione relativa ai problemi sembra presumere che i criminali condannati saranno più efficaci nell'aiutarti a comprendere i rischi per la sicurezza che la tua azienda deve affrontare. Tuttavia, questa ipotesi non è accurata nella pratica.

Una volta che hai compreso meglio la situazione reale, vedrai che ci sono poche ragioni per cercare specialmente hacker criminali e molte ragioni per essere cauti nell'assumerli. In particolare, qui non sembra esserci un grosso dilemma etico; anche mettendo da parte l'etica della situazione, perché vorresti assumere un hacker criminale? In pratica, probabilmente non lo faresti.

Da un punto di vista pratico la risposta sembra davvero semplice:

La domanda definisce il tuo ruolo di "tizio IT in una grande azienda".

"Grande azienda" implica che è soggetta ai requisiti di conformità. Pertanto la direzione superiore desidera un certificato di sicurezza. Qualcosa, che possono usare in un processo legale, per dimostrare che non sono colpevoli di negligenza. "Abbiamo assunto questo c3wl dude phr3ak crack3r" non li aiuterà in caso di attacco riuscito.

"Grande azienda" implica inoltre che l'azienda ha la possibilità di investire un po 'di denaro in sicurezza, se si preoccupano dell'argomento. Almeno non è il denaro personale del ragazzo IT. Ultimo ma non meno importante, il fenomeno "nessuno è mai stato licenziato per aver acquistato [nome della grande azienda]" si applica al tuo personaggio fittizio.

Dal punto di vista etico : beh, questo è il tuo compito.

Detto questo, c'è una ragione per assumere un criminale di alto profilo: Pubblicità . Dopo aver ricevuto titoli come "Incompetent [company] distrugge il futuro di un ragazzino di 12 anni dotato di grande talento, facendo pressione sulle accuse penali", assumere quel ragazzo potrebbe essere un buon approccio.