Een nieuw onderzoek stelt ter discussie hoever red teams kunnen gaan in het testen van het beveiligingsniveau van een bedrijf. Zo hebben niet-technische medewerkers eerder bezwaar tegen interne pentests dan IT- of security-professionals, vanwege de ethische grenzen die opgezocht worden.

Binnen red teams zijn security-professionals actief die op zoek gaan naar kwetsbaarheden in bedrijfssystemen en -netwerken. Het gaat hierbij dus om ethische hackers die gaten vinden in de IT-infrastructuur, zodat het beveiligingsniveau opgevoerd kan worden en ‘kwaadaardige hackers’ buiten de deur blijven. Red team-leden zijn gemachtigd om de testen uit te voeren.

Een onderzoek van security researchers Tarah Wheeler en Roy Iverson kijkt naar het ethische vraagstuk rond de methodes van red teams. Red teams kunnen bijvoorbeeld phishing e-mails (ook wel social engineering) versturen. Hierbij manipuleert een hacker zijn target om gevoelige informatie te achterhalen, bij een slachtoffer kan dit een vervelend gevoel achterlaten.

Ethische grenzen als obstakel

Volgens de bevindingen van Wheeler en Iverson kijken medewerkers uit de IT anders aan tegen social engineering van red teams dan andere werknemers. Security-professionals vinden het eerder ethisch aanvaardbaar om bepaalde red team-activiteiten uit te voeren dan niet-technische medewerkers.

De niet-technische medewerkers maken waarschijnlijk eerder bezwaar, namelijk negen keer, tegen het ontvang van een phishing e-mail dan security-professionals. Hetzelfde valt te zeggen over aanvallen op receptionisten om toegang te krijgen tot een organisaties, de kans dat niet-technische medewerkers daar bezwaar tegen hebben is vier keer groter. Daarnaast blijken red teams het zelf oké te vinden om de ethische grenzen op te zoeken, als die grenzen maar niet opgezocht worden tegen henzelf.

De onderzoekers ondervroegen meer dan 500 medewerkers. Naar aanleiding van de resultaten willen ze de discussie opstarten over interne pentests en de impact van social engineering.