I migliori studi di sicurezza/test di vulnerabilità?

Question

Sono responsabile di un'applicazione Web che deve essere estremamente sicura. Gli utenti invieranno reciprocamente informazioni altamente sensibili utilizzando il sito. La sicurezza deve essere di classe mondiale.

Crediamo di aver costruito il sito in modo tale da ridurre al minimo i rischi per la sicurezza e abbiamo implementato numerose politiche e procedure a livello aziendale per aumentare la sicurezza.

Desideriamo che una terza parte esegua test di sicurezza esaustivi e in corso: test automatici, test delle applicazioni e altro ancora, per verificare problemi di cross site scripting, errori di configurazione del server, manipolazione di campi nascosti/form, iniezione di comandi , Avvelenamento da cookie, vulnerabilità note della piattaforma, ecc.

Quali sono le migliori aziende per questi tipi di servizi?

Answer 1

Non ho familiarità con le aziende che forniscono tali servizi. Usiamo HP application security center. È uno strumento di test automatico per convalidare la sicurezza dell'applicazione negli aspetti che hai menzionato.

Disclaimer: Lavoro per il software HP.

Answer 2

S21Sec è una società di sicurezza molto specializzata che detiene molte importanti istituzioni e aziende come clienti.

Tenable, i creatori del più famoso VA-Tool Nessus, hanno corsi di formazione e certificazione che possono anche essere utili. Nondimeno non so se loro stessi offrono servizi di sicurezza.

Counterpane, la società fondata dal famoso criptoanalista Bruce Schneier, e ora parte di BT group, offre il tipo di servizi che stai cercando.

Answer 3

avrei sicuramente andare per: http://www.sectheory.com/ il ragazzo che blog regolarmente sulla sicurezza web all'indirizzo: http://ha.ckers.org/blog/

Answer 4

io non posso dirvi quale azienda è la cosa migliore, ma posso parlare di una classe di servizi/aziende che sono abbastanza popolare che credo debba essere evitato. Queste aziende eseguono script semplici (probabilmente solo NMAP) contro l'IP soggetto e raccolgono informazioni superficiali per segnalare eventuali vulnerabilità. Una società famosa in questa categoria è "Hacker Safe" di Scan Alert.

L'anno scorso ho scritto un post sulla mia esperienza con questa particolare impresa: Is Your Site Hacker Safe?

Il problema con Scan Alert, McAffee, ecc, è che semplicemente la scansione di un sito per le stringhe di versione e vulnerabilità note. Non viene preso in considerazione il fatto che alcuni servizi, come Red Hat Enterprise Linux, eseguiranno il backport delle correzioni di sicurezza mantenendo un identificativo della versione precedente. Peggio ancora, il rilevamento effettivo delle vulnerabilità live non viene tentato in modo tale che le vulnerabilità di sicurezza attuali non vengano rilevate mentre i falsi positivi attirano l'attenzione.

Se davvero avessi bisogno di sapere se la mia applicazione o il mio sistema vulnerabile agli attacchi, avrei mantenuto i servizi di un consulente esperto di test di penetrazione. Non mi fiderei dei test automatizzati, ma di veri esperti che cercheranno di sfruttare qualsiasi vulnerabilità che la mia applicazione/sistema potrebbe avere.

Answer 5

In questo momento raccomanderò solo due aziende: Gunnar Peterson di Artec e Nish Bhalla di Security Compass.

Answer 6

Per prima cosa, ti rendi conto che hai diversi tipi di opzioni: a seconda del tuo budget e delle reali esigenze di sicurezza, potresti essere abbastanza (abbastanza) servito da uno strumento di scansione web automatico - molti di quelli là fuori. Ma considera che questi NON sono grandiosi, puoi aspettarti fino al 30-40% delle tue vulnerabilità trovate, d'altra parte questo aiuta a ripulire il frutto basso che gli scriptkiddies e simili salteranno.

Dall'altro lato, forse ciò di cui hai bisogno non è semplicemente un test di penetrazione, ma un controllo di sicurezza più completo, comprese revisioni del progetto, revisione del codice, linee guida, ecc. La risposta per questo sarà in genere diversa dalla tua domanda originale, che sembrava mirato al pentesting. Se ne hai bisogno, fammi sapere e posso aiutarti anche con quello.

Ma per la tua domanda diretta, una buona ditta di pentesting, dipende dalla tua regione.
Inoltre, le vostre esigenze specifiche - non solo la sicurezza che volete, ma anche la tecnologia che avete. Alcuni sono migliori in certe cose rispetto ad altri. Ad ogni modo, non vuoi un nome specifico, dovresti chiedere dei criteri.

Anche in questo caso, a seconda della regione ci sono molti locali, "boutique" di tipo aziende, ma i suoi importante per ottenere riferimenti per questi da parte dei clienti che hanno capiscono sicurezza. Ce ne sono troppi in questo campo confuso che semplicemente nutrono i loro inconsapevoli clienti di alcune strane informazioni, e questi non sanno mai meglio fino al giorno in cui vengono hackerati con un banale exploit da scriptkiddies.