Regras e condutas no Pentest

Regras e condutas no Pentest

31/05/2020 Notícias 2
Hacker Ético

Quando você cria um produto de software ou cria um serviço ou cria uma plataforma, é uma boa ideia garantir que ele seja seguro. Os dados que geramos estão alimentando o apetite cyber criminoso a ponto de os ataques de segurança cibernética serem normalizados. Para verificar se criamos sistemas robustos e seguros, podemos recorrer à um Pentesting.

O que é Pentesting?

Testes de penetração (intrusão), ou pentesting, é uma ferramenta/metodologia que existe há décadas. É um método usado para procurar vulnerabilidades de segurança em um sistema de TI, como um aplicativo Web ou serviço online. Geralmente, um teste é realizado por especialistas em segurança que investigam o sistema em questão, agindo como um criminoso cibernético, para encontrar falhas e ‘maneiras de entrar’.

A OWASP criou um conjunto de guias de teste padrão da indústria para o pentest. Eles também produzem sua série de vulnerabilidades ‘Top Ten’ para ajudar a concentrar os testes nas principais vulnerabilidades conhecidas.  Além disso, o Penetration Testing Execution Standard (PTES) publicou o Pentest Standard’, que percorre as sete principais áreas que o processo de pentesting usa: Isso inclui coleta de inteligência, análise de vulnerabilidade e geração de relatórios.

Em suma, o pentesting é um trabalho qualificado que requer altos níveis de atenção aos detalhes e um profundo conhecimento da segurança do sistema de TI. Também é, no entanto, por sua própria natureza, um trabalho que exige que um indivíduo tenha conhecimento íntimo de dados confidenciais e entrada em áreas normalmente restritas de uma empresa. O pentesting exige que uma empresa tenha um nível profundo de confiança na empresa e nos indivíduos que executam os pentests.

Isso leva ao principal ponto de discussão … precisamos de regras de engajamento e códigos de conduta no pentesting?

Código de Conduta para Pentesting

A razão de ser dos pentesters é invadir sistemas. Eles querem encontrar falhas; eles investigam o funcionamento interno de seus sistemas e serviços de TI para encontrar maneiras pelas quais os cyber criminosos se localizarão. Portanto, é necessário que haja um forte código de conduta para qualquer pessoa do setor. Caso contrário, você poderá acabar com bons pentesters.

Existem órgãos da indústria para ajudar com isso. O The Council of Registered Ethical Security Testers (CREST) ​​desenvolveu um código de conduta (CREST, 2014) ao qual os pentesters aderem. Se você é um pentester individual ou uma empresa que oferece serviços de pentesting, pode se tornar credenciado pelo CREST.

Também existem modelos que tentam fornecer orientações sobre a ética dos testes de invasão. O tal modelo foi desenvolvido em 2006 por Pierce.  O trabalho da equipe apresenta uma taxonomia da ética da invasão que pode ser usada como base para um contrato de trabalho, por exemplo. No entanto, houve algumas críticas a esse modelo e este não é um padrão de certificação, como o oferecido pelo CREST. No entanto, ele pode ser usado como base para o desenvolvimento de padrões éticos que você esperaria ao contratar uma equipe mais comprometida.

Individualmente, existem vários organismos de certificação que fornecem treinamento e certificação para pentesters.  Muitas certificações específicas para pentesters detalharão um código de conduta para pentest como parte do treinamento. Outros, como o The Cyber ​​Scheme, do Reino Unido (“TCS”), enfatizam bastante a manutenção de um código de conduta como pentester.

Conclusão: Confiança no Pentesting

Podemos realmente confiar em pentesters? Embora sempre exista um elemento de risco ao permitir que alguém confie em si, é justo dizer que, se uma empresa de investimentos tem uma reputação a defender, será menos provável que a perca, agindo de maneira antiética. No entanto, faz sentido que você sempre opte por escolher o pentester. Faça referências de clientes anteriores, verifique o credenciamento e a certificação. Afinal, você estará efetivamente permitindo que eles invadam seu sistema, vejam dados confidenciais da empresa e, se eles forem antiéticos, poderão vender essas informações para seus concorrentes.

Quaisquer que sejam as medidas que você usa para verificar o status ético de seus criminosos, atores desonestos são sempre um risco. No entanto, o pentesting é uma maneira extremamente útil de reduzir as escotilhas em um cenário de segurança cibernética, onde violações de dados e ataques cibernéticos são cada vez mais comuns. Por fim, você deve decidir se os benefícios de ter seus sistemas de TI superestimados neste ambiente agressivo de segurança cibernética se equilibram contra o risco de um mal pentester. O uso de códigos de conduta no seu contrato, juntamente com certificação e credenciamento reconhecidos, certamente pode ajudar a mitigar esse risco.

Referências

Infosec Institute, The Types of Penetration Testing: https://resources.infosecinstitute.com/the-types-of-penetration-testing

OWASP: https://www.owasp.org/index.php/Main_Page

Penetration Testing Execution Standard: http://www.pentest-standard.org/

Secure World Expo: https://www.secureworldexpo.com/industry-news/pentesters-jailed-arrested

CREST Accredited companies: https://www.crest-approved.org/accredited-companies/members-providing-penetration-testing/index.html

Pierce, J., et.al., PENETRATION TESTING PROFESSIONAL ETHICS: A CONCEPTUAL MODEL AND TAXONOMY: https://journal.acs.org.au/index.php/ajis/article/view/52/39

Infosec Institute, Top 10 Penetration Testing Certifications for Security Professionals: https://resources.infosecinstitute.com/top-5-penetration-testing-certifications-security-professionals

 

2 comentários

  1. Thanks for posting useful information. Your Blog helps to clarify a few terms for me as well as giving. Great article and interesting too.<

  2. Thanks for posting useful information. Your Blog helps to clarify a few terms for me as well as giving.

Deixe um comentário

O seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.