les-equipes-rouges-sont-d'accord-pour-repousser-les-limites-ethiques-mais-pas-sur-elles-memes,-selon-une-etude

Les équipes rouges sont d'accord pour repousser les limites éthiques mais pas sur elles-mêmes, selon une étude

Réveillez-vous, préparez le petit-déjeuner, amenez les enfants à l'école, conduisez au travail, entrez par effraction dans la boîte de réception du directeur financier et volez tous les dossiers fiscaux des employés de l'entreprise. Peut-être que plus tard, vous prendrez un bagel de l'autre côté de la rue.

Pour les «équipes rouges» – ou les chercheurs en sécurité offensifs – c'est juste une autre journée de travail.

Ces équipes de sécurité offensives sont composées de hackers qualifiés qui sont autorisés à détecter les vulnérabilités des systèmes, réseaux mais aussi de leurs employés. En piratant une entreprise de l'intérieur, l'entreprise peut mieux comprendre où elle doit renforcer ses défenses pour empêcher un véritable futur pirate. Mais l'ingénierie sociale, où les pirates manipulent leurs cibles, peut avoir de graves conséquences sur la cible. Bien que les engagements de l'équipe rouge soient autorisés et légaux, l'éthique de certaines attaques et de certains efforts peut être négligée.

Des recherches récemment publiées portent sur l'éthique impliquée dans les missions de sécurité offensives. Est-il éthiquement acceptable d'envoyer des e-mails de phishing, de soudoyer un réceptionniste ou de planter des documents compromettants sur l'ordinateur d'une personne si cela signifie empêcher une brèche sur la ligne?

Les résultats ont montré que les professionnels de la sécurité, comme les équipes rouges et les intervenants en cas d'incident, étaient plus susceptibles de juger éthiquement acceptable de mener certains types d'activités de piratage sur d'autres personnes que de les faire exécuter contre eux-mêmes.

La recherche – une enquête auprès de plus de 500 personnes occupant des postes à la fois sécuritaires et non sécuritaires, présentée pour première fois à Shmoocon 2020 à Washington DC cette semaine – a constaté que les professionnels non liés à la sécurité, tels que les employés travaillant dans les ressources juridiques, humaines ou à la réception, sont neuf fois plus susceptibles de s'opposer à la réception d'un e-mail de phishing dans le cadre d'un engagement d'équipe rouge qu'un professionnel de la sécurité, tel qu'un collaborateur rouge ou une réponse à un incident.

Nous espérons que les résultats aideront à lancer une discussion sur les effets de l'engagement d'une équipe rouge sur le moral d'une entreprise lors d'un test de pénétration interne, et aideront les entreprises à comprendre les limites des règles d'engagement d'une équipe rouge.

«Lorsque les coéquipiers rouges sont obligés de faire face au fait que leurs cibles sont comme eux, leur attitude à propos de ce qu'il est OK de faire à une autre personne pour tester la sécurité sur d'autres personnes change radicalement après avoir fait face au fait que cela pourrait arriver à », a déclaré Tarah Wheeler, chercheur en politique de cybersécurité à New America et co-auteur de la recherche.

L'enquête portait sur une gamme de tactiques potentielles dans les tests de sécurité offensifs, telles que le phishing, la corruption, les menaces et l'emprunt d'identité. Les répondants ont été assignés au hasard à l'une des deux enquêtes contenant toutes les mêmes questions, sauf l'une a demandé s'il était acceptable de mener l'activité et l'autre a demandé si elle était acceptable si cela leur arrivait.

Les résultats ont montré que les professionnels de la sécurité s'opposeraient jusqu'à quatre fois si certaines tactiques étaient utilisées contre eux, telles que les e-mails de phishing et la plantation de documents compromettants.

« Les humains sont mauvais à être objectifs », a déclaré Wheeler.

Les résultats arrivent à un moment où les équipes rouges font de plus en plus la une de leurs activités dans le cadre des engagements. Cette semaine encore, deux chercheurs en sécurité offensive de Coalfire ont été inculpés pour avoir pénétré par effraction dans un palais de justice de l'Iowa dans le cadre d'un engagement de l'équipe rouge. Les chercheurs ont été chargés et autorisés par la branche judiciaire de l'Iowa de trouver des vulnérabilités dans ses bâtiments et réseaux informatiques afin d'améliorer sa sécurité. Mais le shérif local a attrapé le couple et s'est opposé à leurs activités, malgré la présentation d'une lettre «sortir de prison sans» détaillant l'engagement autorisé. L'affaire a donné un rare aperçu du monde des tests de pénétration de la sécurité et des équipes rouges, même si les arrestations ont été universellement rejetées par la communauté de la sécurité.

L'enquête a également révélé que les professionnels de la sécurité dans différentes parties du monde étaient plus opposés à certaines activités que d'autres. Les professionnels de la sécurité en Amérique centrale et en Amérique du Sud, par exemple, s'opposent davantage à la plantation de documents compromettants, tandis que ceux du Moyen-Orient et de l'Afrique s'opposent davantage aux pots-de-vin et aux menaces.

Les auteurs de la recherche ont déclaré que les points à retenir ne sont pas que les équipes rouges devraient éviter certaines pratiques de sécurité offensives, mais être conscientes de l'impact qu'elles peuvent avoir sur les cibles, qui incluent souvent leurs collègues d'entreprise.

«Lorsque vous mettez en place une équipe rouge et que vous ciblez vos cibles, tenez compte de l'impact sur vos collègues et clients», a déclaré Roy Iversen, directeur de l'ingénierie et des opérations de sécurité chez Fortalice Solutions, qui est également co-auteur du recherche. Iversen a déclaré que les résultats pourraient également aider les entreprises à décider si elles souhaitent qu'une équipe rouge extérieure réalise un engagement afin de minimiser tout conflit interne entre l'équipe rouge interne d'une entreprise et l'ensemble du personnel.

Les chercheurs prévoient d'élargir leurs travaux au cours de la prochaine année afin d'améliorer leur nombre global d'enquêtes et de mieux comprendre la démographie de leurs répondants pour aider à affiner les résultats.

« C'est un projet en cours », a déclaré Wheeler.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *