¿Se debe confiar en las pruebas de penetración realizadas por hackers / crackers éticos?

Hay algunos inconvenientes en la contratación de un "hacker" de blackhat en lugar de una empresa de seguridad.

Son más difíciles de confiar

Aparte de la puerta trasera de su sistema, no confiaría en un sombrero negro que saque de la calle para mantener confidenciales sus conclusiones sobre mi red. A los hackers les gusta jactarse de sus compañeros. El conocimiento que obtienen sobre tu seguridad puede morderte en el culo de más de una manera.

Son adictos a la adrenalina

Bien, eso es un poco fuerte. Pero un pirata informático que está solo en esto por diversión y no por dinero, se centrará en lo que él encuentra divertido. He trabajado con probadores de penetración profesionales y "piratas informáticos recreativos", y este último realiza un tipo diferente de prueba. Si se encuentra a sí mismo como un buen hacker, él puede tener más conocimientos que el probador de penetración profesional, pero no entregará el mismo informe de calidad. Encontrará una forma divertida de ingresar a su red y aprovecharla al máximo, mientras que el probador de penetración verá si hay varias formas de hacerlo, sopesará los problemas que encuentre frente al riesgo real y le brindará menos información en blanco y negro. consejos sobre cómo resolver los problemas.

Es más difícil hacer negocios con

Piense en términos de planificación, fechas límite, disponibilidad para actualizaciones de estado, etcétera.

Entonces, si se encuentra a sí mismo como el caballero pirata informático perfecto con conocimiento del movimiento clandestino, quien mantendrá confidenciales sus hallazgos, propondrá soluciones realistas y realizará la prueba desde la perspectiva de lo que es útil para usted en lugar de simplemente para lo que es divertido. Él, entonces tienes un ganador. Buena suerte al encontrarlo :-)

Por cierto, si ya tiene una empresa de seguridad que contrata para las pruebas de penetración regulares (y que es lo que debería tener una empresa grande), entonces contrate a algunos piratas informáticos para una prueba "extra" para ver si la compañía falla. Cualquier cosa, puede ser un gran movimiento. El tema de la confidencialidad sigue siendo ...

Trabajé como consultor de seguridad en solitario, contraté y evalué a evaluadores de seguridad, formé parte del comité de estándares de CREST (el estándar de oro del Reino Unido en pruebas de penetración) y administré equipos de seguridad de hasta 100 personas, por lo que tengo una experiencia bastante amplia. de cómo funciona esto.

Risks

• Un atacante se vuelve "deshonesto": tener un contrato con una compañía establecida y acreditada le proporciona dos cosas: evidencia de que ha minimizado su riesgo (la pieza de 'diligencia debida' para la junta) y apalancamiento contractual para ser reembolsado por las pérdidas, lo que podría ser difícil si el hacker se escapara con tus millones.

• El "pirata informático" no está disponible (atropellado por un autobús, mal, etc.); su gran empresa necesita saber que el trabajo se realizará. No puede obtener ese nivel de "confianza" con un comerciante único, mientras que un gran equipo debería poder mover los recursos para ayudar a entregar.

• ¿Limita lo que puede hacer el comprobador de penetración? Si les da más acceso que su propio personal, ¿no debería estar examinándolos a un nivel más alto que su propio personal? Debe asegurarse de que su almacenamiento de datos sea seguro (ya que pueden tener datos muy confidenciales sobre las vulnerabilidades de su empresa), de que sus prácticas de trabajo son sólidas (piense en ISO27002, etc.) y que representan un riesgo bajo desde una perspectiva de corrupción (crédito, criminal y verificaciones de antecedentes.) usted realiza estas verificaciones en su propio personal, ¿verdad?

Estas preguntas se vuelven mucho más fáciles cuando excluye explícitamente a aquellos con condenas anteriores, y justificar su decisión ante la junta también es más fácil cuando no necesita responder al "¿le dio un permiso a un pirata informático convicto para ingresar a nuestro sistema bancario? " escriba preguntas.

También tienes dos suposiciones interesantes que desafiaría:

Costes

• a pesar de las afirmaciones contrarias, las grandes empresas de pruebas de penetración generalmente pueden superar o al menos igualar las tasas diarias. A veces, esto se realiza mediante la entrega de las regiones apropiadas (p. Ej., Solía subcontratar las pruebas remotas a alrededor de 18 países diferentes para realizar el trabajo de pruebas posteriores al sol de una amplia gama de evaluadores calificados para permitirles horas de trabajo razonables, evitando así horas extras y los costos asociados (y solo llevar a cabo el control de calidad a nivel local) y, en ocasiones, con una simple tarjeta de tarifas.

Habilidades

• la visión clásica de un hacker blackhat es que son increíblemente hábiles e inteligentes y siempre serán mejores que un asesor de seguridad capacitado. Típicamente esto es falso en ambos lados. Los mejores blackhats a menudo son financiados por el crimen organizado y desarrollan nuevos exploits todo el tiempo, así que los whitehats siempre están poniéndose al día, pero el entrenamiento de whitehat está a la par y la experiencia proporciona algo que el hacker independiente nunca obtiene: la experiencia en toda la gama de vulnerabilidades, vulnerabilidades, riesgos empresariales, etc. Por ejemplo:

Las pruebas de penetración son valiosas, seguro, pero solo como una herramienta para validar una postura de seguridad, o la implementación de controles específicos. Desde una perspectiva empresarial, ni siquiera aparece en la mayoría de los registros de riesgos corporativos como algo más que un punto de auditoría. La razón de esto es que no proporciona a una gran empresa otro valor que no sea el "sí, nos hemos asegurado apropiadamente" o "no, tenemos que trabajar más", mientras que la imagen más amplia que necesita un CISO es minimizar al mínimo el potencial de problemas, por ejemplo, mediante la implementación de un SDLC, controles técnicos y manuales en capas, etc.

Además de los puntos que se mencionan, hay otro aspecto que, en mi opinión, es muy importante.

Whitehats están a menudo entrenados para traducir el parloteo de los hackers a un lenguaje comprensible para la administración. A un gerente o ejecutivo no le interesa el hecho de que haya una inyección de SQL, ni le importa que no se apliquen los últimos parches. Él quiere saber cómo esto afectaría su negocio. Entender el negocio es clave aquí. Una inyección de SQL en un caso puede significar que no protege la privacidad de sus usuarios y, por lo tanto, puede ser multado (riesgo comercial), mientras que en otro caso podría ser que una inyección de SQL pueda llevar a cifras poco confiables para el contador de la empresa o aumentar las posibilidades. de fraude (riesgo empresarial).

Un whitehat capacitado puede traducir una vulnerabilidad en un sistema a un riesgo empresarial, mientras que un blackhat solo puede hablar de 'tonterías' técnicas que el gerente no se preocupa ni entiende.

Por lo tanto, aunque puede pagar más por un asesor de seguridad contratado, los resultados que obtiene son, en mi opinión, mucho mejores y, por lo tanto, lo convierten en una inversión fundada.

Esta pregunta ética no es muy realista. Los hechos reales hacen que esta sea una pregunta más fácil de lo que su instructor podría haber intentado que fuera:

• Si desea una buena evaluación de la seguridad de su sitio, contratar a alguien para que intente piratearlo no es la mejor manera de obtener una. muchas personas que son nuevas en el negocio piensan la forma de probar la seguridad es contratar a un equipo rojo para que se comporte como un grupo de hackers, intente hackear y ver si tienen éxito. Sin embargo, eso es un error. Es un error comprensible, pero aún no es exacto.

  En cambio, la mejor manera de obtener una evaluación de seguridad seria es contratar a un profesional de seguridad y darles acceso completo a la información sobre sus procesos, prácticas y códigos. El profesional podrá brindarle una evaluación mucho mejor si tiene acceso a esa información. Podría sentirse tentado a decir: un pirata informático no lo sabría, entonces, ¿por qué debería decírselo al evaluador de seguridad? La respuesta es que proporciona al apalancamiento del evaluador: un problema que un pirata informático podría encontrar en 100 horas sin la información, puede ser detectado por su evaluador en 10 horas con la información.

  Aquí hay una analogía. Si estuviera pensando en comprar un automóvil usado y se lo llevó a su mecánico para una evaluación, ¿ataría las manos de sus mecánicos diciendo "no está permitido abrir el capó, no está permitido mirar el servicio del propietario?" registros, y no está permitido mirar la garantía "? No, eso sería una tontería. Le darías a los mecánicos tanta información y acceso como sea posible. Lo mismo debería ir para una evaluación de seguridad.

• Los delincuentes no son mejores evaluando la seguridad que los profesionales honestos. Por el contrario, en su mayor parte, los profesionales honestos probablemente podrán hacer un trabajo mucho mejor que los delincuentes. Muchos criminales en realidad no saben mucho sobre el lado técnico; saben lo suficiente para ganar dinero, pero ciertamente no más que un profesional honesto y capacitado.

  La declaración de su problema parece suponer que los delincuentes condenados serán más eficaces para ayudarlo a comprender los riesgos de seguridad que enfrenta su empresa. Sin embargo, esta suposición no es precisa en la práctica.

Una vez que comprenda mejor la situación real, verá que hay pocas razones para buscar piratas informáticos criminales, y muchas razones para tener cuidado de contratarlos. En particular, no parece haber mucho de un dilema ético aquí; Incluso dejando de lado la ética de la situación, ¿por qué querría contratar a un pirata informático criminal? En la práctica, probablemente no lo harías.

Desde un punto de vista práctico la respuesta parece muy sencilla:

La pregunta define su rol como "miembro de TI en una gran empresa".

"Gran empresa" implica que está sujeta a requisitos de cumplimiento. Por lo tanto la gerencia superior desea un certificado de seguridad. Algo, que pueden usar en un juicio legal, para probar que no son culpables de negligencia. "Contratamos a este tipo c3wl phr3ak crack3r" no los ayudará en caso de un ataque exitoso.

"Gran compañía" implica además que la compañía tiene la capacidad de invertir algo de dinero en seguridad, si les interesa el tema. Al menos no es el dinero personal del informático. Por último, pero no menos importante, el fenómeno de "nadie fue despedido por comprar [nombre de una gran empresa]" se aplica a tu personaje ficticio.

Desde el punto de vista ético : bueno, esta es tu tarea.

Habiendo dicho eso, hay una razón para contratar a un criminal de alto perfil: Publicidad . Después de que haya titulares como "La [compañía] incompetente destruye el futuro de un niño de 12 años altamente dotado al presentar cargos penales", contratar a ese tipo podría ser un buen enfoque.