Vorrei sapere quali sono i rischi che una società di test di penetrazione deve affrontare durante l'esecuzione dei test per i clienti. Ad esempio: un'azienda di test di penetrazione denominata "A" che fornisce servizi per un cliente denominato "B". Quindi, a quali minacce sarebbe esposta la società "A" se eseguono quel test per il client "B"?
Ad esempio la minaccia ai dati della società "A", se il client "B" presenta gravi vulnerabilità nel sistema.
I veri penetratori non dovrebbero usare la propria larghezza di banda dell'ufficio. Se si tenta di accedere a un sistema da un indirizzo IP registrato, non è difficile riesaminare la ricerca per poter vedere da dove proviene il traffico. Se si tratta di uno scenario di squadra rossa / squadra blu, lo staff interno sa già chi è l'attaccante e può modificare le protezioni di conseguenza se cerca di apparire più sicuro nel tentativo di salvare la faccia . Alcune società di pentesting stipulano l'interruzione delle connessioni del firewall o consentono accessi specifici in modo che non testino il firewall stesso, ma se la società è già infetta questo potrebbe portare a danni significativamente maggiori e nuove intrusioni indesiderate se non eseguite correttamente. È improbabile, ma questo può consentire un tunnel nella rete della compagnia "A" se stanno usando una rete localizzata.
I tester di penetrazione dovrebbero usare sicuramente i beni temprati, se sono professionisti dovrebbero essere idealmente molto difficili da contrastare, rilevare e persino tracciare.
I problemi più importanti potrebbero essere legali.
Se la società "A" non dispone della documentazione legale adeguata per eseguire i test sulla società "B", quindi a seconda delle giurisdizioni legali, la società "A" potrebbe affrontare problemi con l'ISP contratto dalla società "B" come non sono probabilmente parti dell'accordo nel caso di qualcosa come il test DDoS (distributed denial of service) o il sovraccarico della rete. Inoltre, se la società di apparecchiature "B" è ospitata in una struttura come una server farm, potrebbero esserci alcune restrizioni sulla larghezza di banda e i test effettivi eseguiti sulla rete. Alcune attività potrebbero causare allerta delle autorità anche se il "bersaglio" ha fornito un "permesso". Qualcuno del team DFIR (Digital Forensics Incident Response) della server farm potrebbe reagire all'intrusione.
Tutti i reparti interessati dall'azienda "B" devono essere a bordo. A nessuno piace essere citato in giudizio perché c'è una violazione in un dipartimento che non fa parte dell'accordo. Tutti i giocatori della squadra "A" della Società devono essere controllati legalmente.
Se il team DFIR presso la società "B" rileva intrusioni non autorizzate dall'azienda "A", potrebbe esserci un problema lungo la strada. Questo è nel caso di un dipendente canaglia che trova un exploit che decide di approfittare di se stessi nel proprio tempo. Poi ci sono altri problemi legali.
Inoltre, se la società "A" non delinea chiaramente ciò che sta testando e fa cadere il server della società "B" con un exploit, allora potrebbero esserci problemi che derivano dal tempo di inattività se non ci sono clausole relative all'indennizzo. "Non siamo responsabili se troviamo un exploit che rompe la tua attuale installazione.I clienti sono responsabili della manutenzione dei backup." Questo tipo di cose.
L'azienda "A" deve verificare tutti i sistemi che testeranno e assicurarsi che non testino alcun sistema non incluso nel contratto. In alcuni comuni è illegale essere su una rete senza autorizzazione, quindi dipende molto dalle leggi di tutte le aree coinvolte. Anche l'intrusione transfrontaliera può avere impatti negativi, sempre a seconda degli stati. Vogliono essere sicuri che trovino un'altra rete non divulgata, che non vadano a testarla. Basta documentare tutti i problemi e presentare il rapporto con risultati e raccomandazioni.
Se c'è un'infezione, è meglio indagare l'infezione sul posto, cancellarla, quindi eseguire i test, altrimenti potrebbero esserci falsi positivi e troppo rumore rispetto al segnale.
Nella maggior parte dei casi, la società che esegue un test di penetrazione per un cliente ha pochi rischi.
Se il client è attivamente compromesso da alcuni brutti aggressori o malware davvero sgradevole - è possibile che la minaccia possa penetrare nelle macchine del fornitore di servizi ("A") del fornitore durante il test.
Inoltre, si spera almeno che la società di test di penetrazione utilizzi macchine almeno moderatamente temprate per fornire la valutazione.
Leggi altre domande sui tag penetration-test threats