BlackBerry Cylance Pentest-Report

Penetrationstests machen sensible Daten zugänglich

| Redakteur: Peter Schmitz

Die Pentesting-Branche hat sich in einigen Fällen so weiterentwickelt, dass die Trennlinie zwischen realen Angreifern und Testern teilweise vollständig verschwimmt.
Die Pentesting-Branche hat sich in einigen Fällen so weiterentwickelt, dass die Trennlinie zwischen realen Angreifern und Testern teilweise vollständig verschwimmt. (Bild: Blackberry Cylance)

Forscher des BlackBerry Cylance Threat Intelligence Teams haben eine Vielzahl hochsensibler Daten aus dem zivilen Flugsicherungssystem eines Landes in einer halböffentlichen Schadsoftware-Datenbank entdeckt. Die Forscher zeigen, dass sicherheitsrelevante Informationen als Nebenprodukt von Penetrationstests in Malware-Repositorien gespeichert werden.

Im Bericht Thin Red Line: Penetration Testing Practices Examined untersucht das BlackBerry Cylance Threat Intelligence Team eine Reihe von fragwürdigen Penetrationstest-Praktiken, -Nebenprodukten und -Ergebnissen. Der Bericht wirft neue kritische Fragen über Datenschutz und Vertraulichkeit im Rahmen solcher Sicherheitstests auf, aber auch über die Einhaltung gesetzlicher und regulatorischer Anforderungen wie der europäischen Datenschutzverordnung (DSGVO).

In einer Fallstudie des Berichts, in der es um die Daten der Flugsicherung geht, wird eine Gruppe von Testern genauer untersucht. Diese wurde in der Vergangenheit von einem anderen Sicherheitsunternehmen als fortgeschrittene anhaltende Bedrohung (APT; Advanced Persistent Threat) eingestuft, agiert jedoch nach Erkenntnissen des BlackBerry Cylance Threat Intelligence Teams mittlerweile offen als brasilianisches Sicherheitsunternehmen. Diese Beobachtung zeigt, wie Red Team-Übungen dem tatsächlichen Verhalten von Angreifern immer ähnlicher werden. In einigen Fällen hat sich die Pentesting-Branche so weiterentwickelt, dass die Trennlinie zwischen realen Angreifern und Testern teilweise vollständig verschwommen ist, wie Beispiele im aktuellen Blackberry Cylance-Bericht zeigen.

„Obwohl viele unserer Erkenntnisse unbequem sind, möchten wir diese Forschungsergebnisse teilen, um eine Debatte zu beginnen. Wir wollen auf diese Weise Sicherheitsforscher, Pentester und Unternehmen umfassendere Einblicke geben und über aktuelle Praktiken aufklären", sagt Kevin Livelli, Director of Threat Intelligence bei BlackBerry Cylance. „Wir als Security-Branche müssen wachsam bleiben – gegenseitig und uns selbst gegenüber – und sicherstellen, dass wir für Unternehmen und Organisationen eine vertrauenswürdige Anlaufstelle bleiben.“

Die Untersuchung beleuchtet die Tätigkeiten von mehr als zwei Dutzend namhafter Unternehmen unterschiedlicher Größen, die Pentesting-Dienstleistungen anbieten. Dabei zeigt sie, dass sensible Kundendaten in erheblichem Maße in halböffentlichen Malware-Repositorien zugänglich sind. Diese Daten stammen von kritischen Infrastrukturen wie Flughäfen, Gesundheitsorganisationen, großen Finanzinstituten oder Regierungen, aber auch von internationalen Technologieunternehmen, globalen gemeinnützigen Organisationen oder großen Einzelhändlern.

„In den letzten fünf Jahren hat die weltweit rasant steigende Anzahl von Gruppen, die Pentesting-Dienstleistungen anbieten, zu Praktiken geführt, die die Sicherheitslage eines Unternehmens erheblich beeinträchtigen können", sagte Josh Lemos, VP of Research and Intelligence bei BlackBerry Cylance. „Letztendlich wollen wir, dass dieser Bericht der Community und den von ihnen betreuten Kunden hilft, kritischer darüber nachzudenken, wie sich schlecht verwaltete Pentesting-Vorgänge auf die Sicherheit auswirken können. Alle Akteure sollten sich auf Leitprinzipien für ihre Aktivitäten einigen und vor gefährlichen Pentesting-Aktivitäten warnen – ob diese nun versehentlich praktiziert werden oder nicht."

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46090997 / Security-Testing)