Pentests leiden volgens onderzoek van BlackBerry Cylance regelmatig tot het lekken van gevoelige informatie. Het onderzoeksteam van het bedrijf wist onder meer vertrouwelijke informatie over luchtverkeersleiding terug te vinden in een semi-openbare malware-omgeving.
In het rapport, genaamd ‘Thin Red Line: Penetration Testing Practices Examined’, toetsten de onderzoekers een serie pentests met een twijfelachtige betrouwbaarheid, evenals de resultaten van die tests. Het rapport behandelde een aantal vraagstukken over de navolging van privacy- en betrouwbaarheidsverwachtingen, evenals de naleving van wettelijke vereisten en regelgeving zoals de Europese GDPR.
Datalekken aan de orde van de dag
Een case study over een Advanced Persistant Threat (APT) wordt als illustratief voorbeeld gebruikt in het onderzoeksrapport. Een securitybedrijf uit Brazilië bleek achter deze APT te zitten. Dit bedrijf speelde volgens het onderzoek een rol bij een datalek van een luchtverkeersleiding. In het rapport wordt gesteld dat pentests soms even gevaarlijk zijn als daadwerkelijke bedreigingen. Het onderzoek toont verder aan dat de blootstelling van klantgegevens in semi-openbare databases veel voorkomt. Dit blijkt uit een test onder 24 gerenommeerde bedrijven die pentesting aanbieden.
“Veel van onze bevindingen zijn confronterend. Toch delen wij dit onderzoek om de discussie aan te wakkeren, omdat het een bijdrage levert aan een betere opleiding van beveiligingsonderzoekers, pentesters en hun klanten”, zegt Kevin Livelli, Director Threat Intelligence bij BlackBerry Cylance. “We moeten onszelf verantwoordelijk houden dat we de juiste steun bieden aan degenen die het nodig hebben en uiteindelijk moeten we hun vertrouwen ook verdienen.”
“In de afgelopen vijf jaar is er wereldwijd een enorme toename van partijen die offensieve testdiensten aanbieden. Dit leidt uiteindelijk tot praktijken die de beveiliging van een bedrijf aanzienlijk in gevaar kunnen brengen”, meldt Josh Lemos, VP Research & Intelligence bij BlackBerry Cylance. “Door dit rapport naar buiten te brengen willen we beveiligingsexperts en hun klanten kritischer laten nadenken over hoe pentesten de veiligheid ook negatief kunnen beïnvloeden. Zo kan er vervolgens worden ingestemd met meer leidende richtlijnen voor activiteiten als dataverwerking en wordt bovendien het bewustzijn vergroot rondom al dan niet onbedoelde gevaarlijke testpraktijken.”
1 uur geleden
