¿Qué factores debe tener en cuenta al decidir si los usuarios deben ser informados de una prueba de penetración?

Para mí, la respuesta a esta pregunta gira en gran medida en torno al tipo de prueba que se realiza. Si tiene una prueba de penetración "adecuada" en la que los evaluadores simulan un ataque, una cantidad decente del beneficio de la prueba es cómo / si se observa el ataque y cómo reaccionan los usuarios internos / TI (p. Ej., Informan a en el servicio de asistencia, si ocurre algo extraño, ¿se investigan los accesos AV de manera oportuna?

En este tipo de circunstancias, obviamente, cuanto menor sea el número de personas que conozcan el examen, más útil será. De nuevo, obviamente, algunas personas necesitarán saberlo, pero esto debería reducirse al mínimo. Yo diría que un buen gancho es tener a quien recibe una notificación cuando se conoce un incidente de seguridad completo, para que puedan evitar acciones drásticas como dejar caer los servidores de producción en la jornada laboral.

Eso dice que la mayoría de lo que se denomina "prueba de penetración interna" no es una prueba de confrontación completa y, en esas circunstancias, tiene sentido que la TI operacional sepa sobre la prueba, para que no pierdan una gran cantidad de tiempo investigando los problemas que son solo parte de la revisión.

En cuanto a los aspectos legales, esto, como siempre, depende de la jurisdicción. Si hay un requisito para notificar a los usuarios finales de cualquier acceso potencial a los datos personales, entonces diría que la pluma completa. testing / red teaming es un ejercicio bastante inútil ya que nunca simulará un ataque real.

Sin embargo, en muchos países, los usuarios de una red corporativa no tienen una expectativa de privacidad para los datos personales procesados, por lo que no debería ser una preocupación particular.

En el Reino Unido, la ley es un factor importante. La Ley de derechos humanos de 1998 establece:

  

Toda persona tiene derecho al respeto por su vida privada y familiar, su   El hogar y su correspondencia.

Por lo tanto, si algún usuario que se haya visto involucrado en la prueba de penetración tiene una "expectativa de privacidad", la ley le exige que lo informe antes de realizar cualquier prueba. Tenga en cuenta que el hecho de que estén en el Reino Unido no significa que tengan tal expectativa: esto dependerá de las políticas de la compañía (por ejemplo, la política de uso aceptable y la política de acceso a Internet y correo electrónico) y el contrato de trabajo.

Esta página es un recurso útil en relación con las pruebas de lápiz y la ley del Reino Unido.

Eso depende principalmente de si el usuario debe conocer la prueba. Por supuesto, ya que estás simulando un ataque real, puedes o no decirles dónde viene el dilema de las cosas que harían los usuarios. Es solo que debe informar a todos aquellos usuarios para los que no está probando la preparación para el ataque. Eso es lo suficientemente seguro, porque los ataques reales pueden ocurrir en cualquier momento y es parte de la prueba. No se calmará ni alertará a su sistema diciendo que es solo una prueba, lo que anula el propósito.

Por lo tanto, me gustaría repetir mi respuesta. Informe a todos los usuarios que no forman parte de su seguridad (o incluso a algunos de ellos específicos si se siente perturbado). Usted puede decirles que después de la prueba ha terminado. En mi opinión, eso es lo mejor que se puede hacer.

SilverlightFox, creo que hay 3 puntos principales que hay que tener en cuenta al revelar una prueba de penetración al personal:

1. ¿A qué sistemas te diriges? - Lo más importante porque, dependiendo de lo que esté dentro del alcance, es posible que los técnicos de estos servicios tengan que ser informados para que puedan prepararse y remediar cualquier problema que surja.
2. ¿Cuáles son las leyes y políticas de su entorno? - asegúrese de no violar ninguna ley o política de la compañía con respecto a su divulgación.
3. ¿A quién te diriges? - Deberá asegurarse de que los usuarios a los que se dirige no conozcan la situación y cambien su comportamiento, ya que esto dará lugar a datos basura.

En la mayoría de los casos, es bueno mantener la necesidad de conocer la base de las pruebas de penetración porque desea obtener un perfil de la postura de seguridad de línea de base.

Una cosa crucial es referirse a la Política de Seguridad de la Información de la compañía. Estas políticas también decidirán lo que se permite y no se permite que un empleado haga en la empresa con aspectos de seguridad de TI. También decide cuál será la multa si un empleado incumple una política de seguridad. Entonces, por ejemplo: si la política dice que la compañía puede monitorear cualquiera en cualquier momento, ¡usted puede hacer un pentest sin informar al usuario final! Por otro lado, si la política dice que los usuarios finales no pueden ser monitoreados bajo ninguna circunstancia, y si realiza un pentest, entonces podría estar en un problema. Estas políticas se brindan a los empleados cuando firman el contrato. Por lo tanto, el empleado no puede culpar al empleador más adelante diciendo que no estaba al tanto de este hecho.

Le recomendaría encarecidamente que consulte las políticas de seguridad de la empresa antes de realizar un pentest. Le ayudará a comprender mejor el funcionamiento interno de una empresa y también lo ayudará a planificar su fase de prueba:

1. Podría ayudarlo a decidir cuándo realizar la prueba (horario comercial o no comercial)
2. Le ayudará a planificar su pentest completo en algunos aspectos y tener una idea de cuánto tiempo tomará pentest etc. etc.

Aquí es un buen recurso sobre plantillas de políticas de seguridad.

Las políticas de seguridad generalmente se crean teniendo en cuenta las leyes de TI del país para evitar conflictos. Por ejemplo: las políticas de seguridad de una empresa con sede en el Reino Unido se crearán teniendo en cuenta las leyes de TI del Reino Unido.

Otro ejemplo podría ser que algunas compañías tienen una política estricta de que los empleados no pueden traer ningún tipo de dispositivo personal. Si un empleado trae ese tipo de dispositivo, entonces la empresa tiene pleno derecho a examinar ese dispositivo siempre que esté en las instalaciones de la empresa. Por ejemplo: un empleado no puede traer su propia computadora portátil o teléfonos móviles, etc., que se utiliza para el uso personal. Supongamos que un empleado trajo un dispositivo de este tipo ahora según la política de seguridad que la empresa puede analizar en este dispositivo y el propietario del dispositivo debe ser totalmente corporativo. ( También: Ahora tiene un dispositivo más para la prueba de lápiz. : P

Como no existe una política de seguridad universal, las diferentes empresas pueden tener políticas de seguridad diferentes. Así que hay no Sí / No hay respuesta a su pregunta.

Si la política de seguridad no ayuda en algún caso, entonces recomendaría conversar con el propietario de la empresa. Por lo general, el propietario le proporcionará una persona (o un equipo) con una posición técnica / no técnica de nivel superior para que discuta dichos casos según el contexto.

Además, es una buena idea tener un contacto con algunas personas técnicas o no técnicas de alto nivel durante toda la fase del Pentest. Estas personas lo asistirán en cualquier asunto técnico / no técnico. Además, ya que tendrán algunos puestos altos en la empresa, tendrán una mayor autorización y podrán proporcionarle autorizaciones en poco tiempo. Por ejemplo, si durante el pentest desafortunadamente algo va terriblemente mal, puede informar inmediatamente a estos contactos. Podría / podría tener algunas situaciones durante el pentest, cuando tiene que decidir algo al instante. Ejemplos de tales situaciones podrían ser que se olvidó de planificar qué hacer si surge una situación particular antes de realizar el Pentest o surge una situación extraña & Desafortunadamente no tienes un plan de respaldo. En ese momento, puede volver a hablar con las personas de contacto para tomar mejores decisiones.

Hablando de pruebas aisladas, la compartimentación es tu amiga. Siempre es bueno si alguien sabe lo que estás haciendo. Puede ser la Junta Directiva, el CEO, CSO, el director de ICT o cualquier otra gerencia inferior, pero las personas que se van a concentrar no deberían ser informadas si desean observar reacciones genuinas.

Sin embargo, existen algunos inconvenientes, principalmente si las pruebas van a ser agresivas. Algunas pruebas pueden hacer daño a algunos sistemas y si estos sistemas son críticos para la misión o el negocio, es bueno tener un plan de contingencia. Los aspectos legales y otros ya se habían descrito en las otras respuestas.

Esta puede ser una decisión muy compleja, por lo que no hay una respuesta simple ni un algoritmo simple que conduzca a una decisión sensata. Se tiene que decidir por caso.

Teniendo en cuenta el impacto de una penetración real por parte de partes malintencionadas (que es muy alta para la mayoría de las empresas modernas), la mejor práctica sería realizar pruebas de pluma solo como parte de un ámbito de acción mucho más amplio sobre las contramedidas de penetración.

Por ejemplo, la primera prueba de lápiz que hagas puede recibir una notificación completa. Luego puede registrar cualquier objeción, y quizás incluso hacer un seguimiento de los cambios en el hábito del usuario (haciendo una auditoría de software pasiva remota antes / después). Realice la prueba de lápiz y registre todos los resultados. Debería tener suficientes elementos de acción de estas dos actividades para mantenerlo ocupado, incluso si los usuarios cerraron subrepticiamente un montón de agujeros.

Luego, de 6 a 12 semanas después, vuelva a realizar la misma prueba de lápiz, pero no informe a ningún usuario. Use sus notas de la primera prueba para identificar los procesos de negocios que necesitan atención especial para no interrumpir. Esto debería ilustrar el resto de los problemas que debe abordar.

Si observa muchas discrepancias entre las pruebas uno y dos, es posible que necesite un "simulacro de preparación de amenazas" de algún tipo, es decir, avise a los usuarios que existe una amenaza inminente y que deben tener cuidado con cualquier correos electrónicos desconocidos, actividad de la red, etc. y evaluar la respuesta. En última instancia (volviendo a la primera parte de su pregunta) si puede lograr que sus usuarios se incorporen con una buena postura de seguridad, se mantendrá a la altura de las amenazas que si toma un enfoque reactivo y confía solo en las pruebas de pluma (anunciadas o no anunciadas) para encontrar los problemas.

Los factores son en gran medida uno de confianza y riesgo. ¿Confías en que la gente no irá y de repente agregará una nueva seguridad que no existía antes?

La confianza es increíblemente importante en seguridad y, en general, es poco apreciada en la comunidad de TI. La confianza entre el departamento de seguridad y el resto de la empresa facilita el trabajo de todos. Cuando las personas confían en usted, están más dispuestas a ofrecer información voluntaria y trabajar con usted. Cuando desconfían de ti, estarán en guardia y no aprenderás nada. Con demasiada frecuencia, el departamento de seguridad crea relaciones adversas con otros departamentos, creando tribalismo y fallas en las comunicaciones y las relaciones.

NO informar a sus administradores sobre una prueba de lápiz solo servirá para degradar la confianza. Obviamente, la prueba de la pluma puede afectar las operaciones, y saber que está sucediendo les permitirá reaccionar mucho mejor si una prueba de la pluma termina rompiendo algo. Si tienen que descubrirlo más adelante, solo generará enojo, desconfianza, y es posible que se reduzcan las futuras pruebas de lápiz debido a la naturaleza "sorpresa" de romper sistemas críticos.

Aquí hay dos factores contra el anuncio:

Un atacante real que es un usuario pero estaba esperando el momento más oportuno para el ataque (o no está seguro de si atacar), puede encontrar el momento oportuno en un pentest anunciado, cuando se vuelve normal para el cosas inusuales que suceden.

Las personas que de otro modo otorgarían alegremente el acceso a activos restringidos a cualquiera que llamara pidiendo, o incluso que compartieran sus contraseñas, estarán alertas. Si el alcance de Pentest involucra ingeniería social, se distorsiona enormemente.