Penetratietesten (pentesten) hebben regelmatig tot gevolg dat gevoelige informatie lekt. Dat concludeert het BlackBerry Cylance Threat Intelligence Team in het onderzoek ‘Thin Red Line: Penetration Testing Practices Examined’. Het team vond onder meer vertrouwelijke informatie van een luchtverkeersleiding terug in een semipublieke malware-omgeving.
In het onderzoek wordt gekeken naar een reeks twijfelachtige penetratietesten, de bijproducten ervan en resultaten. Penetratietesten worden uitgevoerd om de kwetsbaarheid van netwerken en systemen te testen. In het rapport zijn kritische vragen gesteld over hoe verwachtingen op het gebied van privacy en betrouwbaarheid worden nagestreefd. Ook de naleving van wettelijke en reglementaire eisen, zoals de Europese AVG, zijn nauwkeurig geanalyseerd.
In het rapport wordt een casestudy van een Advanced Persistant Threat (APT) uitgelicht. Het bleek dat de groep achter deze APT een Braziliaans beveiligingsbedrijf is, dat betrokken was bij de blootstelling van gevoelige gegevens van een luchtverkeersleiding. Met dergelijke conclusies toont het rapport volgens BlackBerry aan dat 'pentesting'-praktijken niet zoveel verschillen van daadwerkelijke bedreigingen.
'Confronterende bevindingen'
"Veel van onze bevindingen zijn confronterend", licht Kevin Livelli, Director Threat Intelligence bij BlackBerry Cylance toe. "Toch delen wij dit onderzoek om de discussie aan te wakkeren, omdat het een bijdrage levert aan een betere opleiding van beveiligingsonderzoekers, pentesters en hun klanten. We moeten onszelf verantwoordelijk houden dat we de juiste steun bieden aan degenen die het nodig hebben en uiteindelijk moeten we hun vertrouwen ook verdienen."
In de afgelopen vijf jaar was er wereldwijd een enorme toename van partijen die offensieve testdiensten aanbieden, stelt Josh Lemos, VP Research & Intelligence bij BlackBerry Cylance. Dit leidt uiteindelijk tot praktijken die de beveiliging van een bedrijf aanzienlijk in gevaar kunnen brengen. "Door dit rapport naar buiten te brengen willen we beveiligingsexperts en hun klanten kritischer laten nadenken over hoe pentesten de veiligheid ook negatief kunnen beïnvloeden. Zo kan er vervolgens worden ingestemd met meer leidende richtlijnen voor activiteiten als dataverwerking en wordt bovendien het bewustzijn vergroot rondom al dan niet onbedoelde gevaarlijke testpraktijken."
