Me gustaría saber a qué riesgos se enfrenta una empresa de pruebas de penetración al realizar pruebas para los clientes. Por ejemplo: una empresa de pruebas de penetración llamada "A" que proporciona servicios para un cliente llamado "B". Entonces, ¿a qué amenazas se expondría la compañía "A" si hacen esa prueba para el cliente "B"?
Por ejemplo, la amenaza a los datos propios de la compañía "A", si el cliente "B" tiene serias vulnerabilidades en el sistema.
Los probadores de penetración reales no deben usar su propio ancho de banda de oficina. Si intenta acceder a un sistema desde una dirección IP registrada, no es tan difícil revertir la búsqueda para poder ver de dónde proviene el tráfico. Si este es un escenario de equipo rojo / equipo azul, entonces el personal interno ya sabe quién es el atacante, y puede ajustar sus protecciones en consecuencia si está tratando de parecer más seguro en un intento de salvar la cara . Algunas firmas pentesting estipulan que se eliminen las conexiones de firewall o se permitan accesos específicos, por lo que no están probando el firewall en sí, pero si la empresa ya está infectada, esto podría generar un daño significativamente mayor y nuevas intrusiones no deseadas si no se realiza correctamente. Es poco probable, pero esto puede permitir un túnel en la red de la Compañía "A" si están usando una red localizada.
Los probadores de penetración definitivamente deberían usar productos endurecidos, si son profesionales, deberían ser muy difíciles de frustrar, detectar e incluso rastrear.
Los problemas más grandes pueden ser legales.
Si la Compañía "A" no tiene la documentación legal adecuada para realizar las pruebas en la Compañía "B", entonces, dependiendo de las jurisdicciones legales, la Compañía "A" podría enfrentar problemas con el ISP contratado por la Compañía "B" como es probable que no sean parte del acuerdo en el caso de pruebas como DDoS (denegación de servicio distribuida) o una tensión adicional en la red. Además, si el equipo que posee la empresa "B" está ubicado en una instalación como una granja de servidores, puede haber ciertas restricciones en el ancho de banda y en las pruebas reales que se realizan en toda la red. Ciertas actividades podrían provocar la alerta de las autoridades a pesar de que el objetivo haya proporcionado "permiso". Alguien en el equipo DFIR (Respuesta de incidente forense digital) de la granja de servidores podría reaccionar a la intrusión.
Todos los departamentos afectados en la Compañía "B" deben estar a bordo. A nadie le gusta ser demandado porque hay un incumplimiento en un departamento que no es parte del acuerdo. Todos los jugadores del equipo "A" de la Compañía deben ser examinados legalmente.
Si el equipo de DFIR en la Compañía "B" detecta una intrusión no autorizada de la Compañía "A", podría haber un problema en el futuro. Esto ocurre en el caso de que un empleado deshonesto que encuentre una vulnerabilidad, decida aprovecharse de sí mismo en su propio tiempo. Luego hay otras cuestiones legales.
Además, si la Compañía "A" no describe claramente qué es lo que están probando y destruye el servidor de la Compañía "B" con una vulnerabilidad, es posible que haya problemas que surjan del tiempo de inactividad si no son legales. Cláusulas en materia de indemnización. "No somos responsables si encontramos una vulnerabilidad que rompa su instalación actual. Los clientes son responsables de mantener las copias de seguridad". Ese tipo de cosas.
La compañía "A" necesita verificar todos los sistemas que estarán probando y asegurarse de que no prueben ningún sistema que no sea parte del acuerdo. En ciertos municipios es ilegal estar en una red sin autorización, por lo que realmente depende de las leyes de todas las áreas involucradas. La intrusión transfronteriza también puede tener impactos negativos, también, dependiendo de los estados. Querrán asegurarse de que si encuentran otra red que no se ha revelado, no vayan a probarla también. Simplemente documente todos los problemas y presente el informe con los hallazgos y recomendaciones.
Si hay una infección, es mejor investigar la infección en el sitio, eliminarla y luego realizar las pruebas; de lo contrario, puede haber falsos positivos y demasiado ruido en comparación con la señal.
En la mayoría de los casos, la compañía que está realizando una prueba de penetración para un cliente corre poco riesgo.
Si el cliente se ve comprometido activamente por algunos atacantes desagradables, o un malware realmente desagradable, es posible que la amenaza llegue a las máquinas del proveedor del servicio (Compañía "A") mientras se realiza la prueba.
Además, al menos uno esperaría que la empresa de pruebas de penetración estuviera utilizando máquinas al menos moderadamente endurecidas para proporcionar la evaluación.
Lea otras preguntas en las etiquetas penetration-test threats