O teste de penetração é uma das disciplinas mais antigas e amplamente utilizadas na área da segurança cibernética.
Hoje, milhares de organizações, incluindo grandes instituições financeiras, hospitais, seguradoras, agências militares e de inteligência, e empresas de energia e eletricidade colocam sua fé, sua reputação e o destino de seus mais valiosos ativos digitais nas mãos de testadores de penetração, ou pentesters, como são conhecidos.
As organizações que buscam pentesters estão caçando defeitos. É o objetivo completo de um exercício que procura identificar pontos fracos na defesa de uma organização antes que seja tarde demais.
Os clientes contratam pentesters para desempenhar o papel de adversários em um ataque simulado e geralmente os contratados corrompem facilmente soluções caras de segurança, dados confidenciais e sensíveis, além de constrangerem administradores e executivos de sistemas – tudo com a permissão do cliente.
Este relatório tem como objetivo iniciar uma conversa e desmistificar uma série de práticas, subprodutos e efeitos secundários do pentesting, os quais clientes e o público em geral podem desconhecer.
À medida que a indústria de testes de penetração evoluiu e se expandiu, a linha que distingue os exercícios de formação de equipes vermelhas (um termo militar que, para muitos, passou a ser associado a serviços que incluem pentesting) do comportamento real do ator de ameaças diminuiu e, em alguns casos, ficou totalmente obscura.
Nas páginas do relatório, a equipe de inteligência dedicada ao estudo de ameaças da BlackBerry Cylance examina o lado mais difícil dessa fina linha vermelha.
O estudo examina uma disciplina na qual a falta de padrões universalmente aceitos permite uma série de práticas comuns que podem inadvertidamente introduzir muitos riscos ocultos, que podem afetar negativamente a integridade do cliente, incluindo a privacidade e a segurança, que o pentesting deveria proteger. Consequentemente, essas práticas levantam questões críticas sobre um dos paradigmas fundamentais da cibersegurança: a redução de riscos.
Os resultados da pesquisa incluem:
– um estudo de caso de um grupo identificado e caracterizado por uma empresa de segurança como um grupo avançado de ameaças persistentes (APT), que a pesquisa constatou estar, na verdade, operando abertamente como uma empresa de segurança brasileira que oferece serviços de pentesting;
– evidências sugerindo que, embora essa empresa fosse respeitada por alguns clientes, provavelmente também era responsável por extrair mais de 200 megabytes de dados sensíveis de reconhecimento para o sistema de controle de tráfego aéreo de um país – dados que encontramos posteriormente em um repositório semipúblico de malware;
– a ampla exposição de dados de clientes em repositórios semipúblicos, afetando aeroportos, organizações de saúde, grandes instituições financeiras, grandes empresas de tecnologia, governos estaduais e locais, organizações sem fins lucrativos globais, grandes varejistas e agências governamentais federais dos EUA – todas reveladas por malware, phishing e infraestrutura de comando e controle (C2) criada por mais de duas dúzias de pentesters que tiveram suas práticas comerciais examinadas;
– perguntas novas e perturbadoras sobre a conformidade do setor de teste com as expectativas de privacidade e confidencialidade dos clientes, bem como novos requisitos legais e regulamentares, como o Regulamento Geral de Proteção de Dados da Europa (GDPR);
– uma infinidade de pacotes de malware gerados por criminosos e outras ferramentas de hackers projetadas para uso por defensores de rede que agora estão nas mãos de vários atores de ameaças e do crime organizado, detalhando seu uso em uma série de ataques reais de maneira a tornar a identificação adequada do atacante mais difícil;
– uma visão geral das diretrizes práticas, éticas e legais disponíveis para os criminosos e uma discussão das implicações da falta de um padrão de toda a indústria para os clientes.
O objetivo deste relatório é fornecer uma visão do pentesting na perspectiva do pesquisador de segurança, na tentativa de educar melhor outros pesquisadores, pentesters e – o mais importante – os clientes que ambos procuram atender. Discutimos o potencial de resultados negativos da atividade de pentesting, na esperança de iniciar um diálogo que catalisará esforços para implementar um conjunto de padrões comumente aceito para as melhores práticas de pentesting.
Baixe o relatório completo aqui (em inglês).
A BlackBerry Cylance desenvolve inteligência artificial para fornecer produtos de segurança preditiva e preventiva, além de soluções inteligentes, simples e seguras que mudam a maneira como as organizações abordam a segurança dos endpoints.
A BlackBerry Cylance fornece prevenção e visibilidade preditiva de espectro completo em toda a empresa para combater os mais notórios e avançados ataques de segurança cibernética, fortalecendo pontos de extremidade para promover a segurança no centro de operações, nas redes globais e até nas redes domésticas dos funcionários.
Com prevenção de malware com base em IA, busca de ameaças, detecção e resposta automatizadas e serviços de segurança especializados, a BlackBerry Cylance protege o endpoint sem aumentar a carga de trabalho ou os custos da equipe.