Best Security/Vulnerability Testing Firms?

Question

Ich bin verantwortlich für eine Web-Anwendung, die extrem sicher sein muss. Die Nutzer übermitteln einander höchst vertrauliche Informationen über die Website. Sicherheit muss Weltklasse sein.

Wir glauben, dass wir die Website so aufgebaut haben, dass die Sicherheitsrisiken minimiert werden und wir unternehmensweit zahlreiche Richtlinien und Verfahren implementiert haben, um die Sicherheit zu erhöhen.

Wir möchten, dass ein Drittanbieter umfassende und fortlaufende Sicherheitstests durchführt: automatisierte Tests, Anwendungstests und vieles mehr, um beispielsweise Cross-Site-Scripting-Probleme, Serverfehlkonfigurationen, Form/Verdeckte Feldmanipulation, Befehlsinjektion zu untersuchen , Cookie-Vergiftung, bekannte Sicherheitslücken in der Plattform usw.

Was sind die besten Unternehmen für diese Art von Dienstleistungen?

Answer 1

Ich bin nicht vertraut mit Unternehmen, die solche Dienste anbieten. Wir verwenden HP application security center. Es ist ein automatisches Test-Tool zur Validierung Ihrer Anwendungssicherheit in den genannten Aspekten.

Haftungsausschluss: Ich arbeite für HP Software.

Answer 2

S21Sec ist eine sehr spezialisierte Sicherheitsfirma, die viele wichtige Institutionen und Firmen als Kunden hat.

Tenable, die Schöpfer des berühmtesten VA-Tool Nessus, haben Schulungen und Zertifizierungskurse, die auch nützlich sein können. Trotzdem weiß ich nicht, ob sie selbst Sicherheitsdienste anbieten.

Counterpane, das Unternehmen von berühmtem Kryptoanalysator gegründet Bruce Schneier, und jetzt Teil von BT group, bietet die Art von Dienstleistungen, die Sie für zu suchen.

Answer 3

Ich würde auf jeden Fall für: http://www.sectheory.com/ der Typ, der regelmäßig auf Web-Sicherheit Blogs an: http://ha.ckers.org/blog/

Answer 4

Ich kann Ihnen nicht sagen, welche Unternehmen am besten ist, aber ich kann eine Klasse von Services/Unternehmen nennen, die ganz sind beliebt, dass ich glaube, sollte vermieden werden. Diese Unternehmen führen einfache Skripts (wahrscheinlich nur NMAP) für das betreffende IP aus und sammeln oberflächliche Informationen, um mögliche Sicherheitslücken zu melden. Ein beliebtes Unternehmen in dieser Kategorie ist Scan Alerts "Hacker Safe".

Letztes Jahr habe ich einen Beitrag über meine Erfahrung mit diesem Unternehmen schrieb: Is Your Site Hacker Safe?

Das Problem mit Scan-Alarm, McAffee, etc., ist, dass sie einfach eine Website für Version Strings und bekannte Schwachstellen scannen. Es wird nicht berücksichtigt, dass einige Dienste, wie Red Hat Enterprise Linux, Sicherheitsfixes zurückportieren, während eine frühere Versionskennung beibehalten wird. Schlimmer noch, die tatsächliche Erkennung von Live-Schwachstellen wird nicht versucht, so dass tatsächliche Sicherheitslücken nicht entdeckt werden, während falsche Positive die Aufmerksamkeit ablenken.

Wenn ich wirklich wissen müsste, ob meine Anwendung oder mein System angreifbar wäre, würde ich die Dienste eines seriösen Penetration Testing-Beraters behalten. Ich würde dem automatisierten Testen nicht trauen, sondern tatsächlichen Experten, die versuchen werden, jede Sicherheitslücke auszunutzen, die meine Anwendung/mein System aufweist.

Answer 5

Zur Zeit werde ich nur zwei Firmen empfehlen: Gunnar Peterson von Artec und Nish Bhalla von Security Compass.

Answer 6

Als erstes sollten Sie wissen, dass Sie verschiedene Optionen haben: Abhängig von Ihrem Budget und den tatsächlichen Sicherheitsanforderungen können Sie mit einem automatischen Web-Scan-Tool (genug) bedient werden. Bedenken Sie jedoch, dass diese NICHT großartig sind. Sie können erwarten, dass bis zu 30-40% Ihrer Schwachstellen gefunden werden. Andererseits hilft dies, die tief hängenden Früchte zu bereinigen, auf die Scriptkiddies und Ähnliches springen. Auf der anderen Seite, vielleicht, was Sie brauchen, ist nicht nur Penetrationstests, sondern eine umfassendere Sicherheits-Audit, einschließlich Design-Reviews, Code-Review, Richtlinien, etc. Die Antwort dafür wird in der Regel anders sein als Ihre ursprüngliche Frage, die auf das Penetrieren abzielte. Wenn Sie diese benötigen, lassen Sie es mich wissen und ich kann auch dabei helfen.

Aber zu Ihrer direkten Frage, eine gute Pentesting-Firma - hängt von Ihrer Region ab.
Auch Ihre spezifischen Bedürfnisse - nicht nur welche Sicherheit Sie wollen, sondern auch welche Technologie Sie haben. Manche sind in bestimmten Dingen besser als andere. Wie auch immer, du willst keinen bestimmten Namen, du solltest nach Kriterien fragen.

Auch hier je nach Region gibt es viele lokale, „Boutique“ Typ-Firmen, aber seine wichtigen Referenzen für diese von Kunden zu bekommen, die Sicherheit verstehen. Es gibt zu viele in diesem verwirrenden Feld, die ihren unwissenden Kunden einfach seltsame Informationen liefern, und diese wissen es nie besser bis zu dem Tag, an dem sie mit einem trivialen Exploit von scriptkiddies gehackt werden.