저는 매우 안전해야하는 웹 응용 프로그램을 담당하고 있습니다. 사용자는 사이트를 사용하여 매우 민감한 정보를 서로에게 제출하게됩니다. 보안은 세계 정상급이어야합니다.최고의 보안/취약성 테스트 회사입니까?
우리는 보안 위험을 최소화하는 방식으로 사이트를 구축했으며 보안을 강화하기 위해 전사적으로 다양한 정책과 절차를 구현했다고 생각합니다.
우리는 제 3자가 자동 테스트, 응용 프로그램 테스트 등과 같은 철저한 보안 테스트를 수행하여 크로스 사이트 스크립팅 문제, 서버 구성 오류, 양식/숨겨진 필드 조작, 명령 주입 , 쿠키 중독, 알려진 플랫폼 취약점 등
이러한 유형의 서비스에 가장 적합한 회사는 무엇입니까?
저는 이러한 서비스를 제공하는 회사에 익숙하지 않습니다. HP application security center을 사용합니다. 언급 한 측면에서 애플리케이션 보안을 검증하는 자동 테스트 도구입니다.
면책 조항 : 본인은 HP 소프트웨어를 사용합니다.
S21Sec은 많은 중요한 기관 및 회사를 고객으로 보유하고있는 매우 전문화 된 보안 회사입니다.
Tenable, 가장 유명한 VA-Tool Nessus의 제작자는 유용한 교육 및 인증 과정을 보유하고 있습니다. 그럼에도 불구하고 나는 그들 스스로가 보안 서비스를 제공하는지 모른다.
Counterpane, 유명한 암호 해독자 Bruce Schneier에 의해 설립되었으며 현재 BT group의 일부인이 서비스는 당신이 찾고있는 종류의 서비스도 제공합니다.
나는 확실히 갈 것입니다 : http://www.sectheory.com/ 정기적으로 웹 보안에 블로그를 사람 : http://ha.ckers.org/blog/이
내가 가장 적합한 기업을 말할 수 없다,하지만 난 꽤 있습니다 서비스/기업의 클래스를 말할 수 있습니다 내가 믿어야하는 대중은 피하여야한다. 이들 회사는 주체 IP에 대해 간단한 스크립트 (아마도 NMAP)를 실행하고 가능한 취약점을보고하기위한 피상적 인 정보를 수집합니다. 이 카테고리의 인기있는 회사 중 하나가 Scan Alert의 "Hacker Safe"입니다.
작년이 특정 회사 내 경험에 대한 글을 썼습니다 등 스캔 경고, McAffee와 Is Your Site Hacker Safe?
문제, 그들은 단순히 버전 문자열 및 알려진 취약점에 대한 사이트를 검색한다는 것입니다. Red Hat Enterprise Linux와 같은 일부 서비스는 이전 버전 식별자를 유지하면서 보안 수정 사항을 백 포트한다는 사실에 대해서는 아무런 고려가 없습니다. 더욱이 라이브 공격의 실제 탐지는 시도되지 않으므로 실제 보안 취약성은 탐지되지 않은 채로 오 탐지되고 오 탐지는주의를 분산시킵니다.
공격에 취약한 곳의 응용 프로그램이나 시스템이 평판이 좋은 침투 테스트 컨설턴트의 서비스를 유지할 수 있는지 진정으로 알아야 할 경우. 자동화 된 테스트를 신뢰하지 않지만 내 애플리케이션/시스템의 취약점을 악용하려는 실제 전문가는 신뢰할 수 있습니다.
현재 Gunnar Peterson은 Artec이고 Nish Bhalla는 Security Compass입니다.
우선, 몇 가지 유형의 옵션이 있음을 알아야합니다. 예산 및 실제 보안 요구 사항에 따라 자동 웹 검색 도구를 사용하여 충분할 수 있습니다. 그러나 이것들이 좋지 않다는 것을 고려해보십시오. 발견 된 취약점의 30-40 %를 기대할 수 있습니다. 반면에 이것은 scriptkiddies 등이 점프 할 낮은 매달린 과일을 정리하는 데 도움이됩니다.
다른 측면에서 보면 필요한 것은 단순히 침투 테스트가 아니라 디자인 검토, 코드 검토, 지침 등을 포함하는보다 포괄적 인 보안 감사입니다.이 질문에 대한 대답은 일반적으로 원래의 질문과 다를 수 있습니다. 그것은 의지를 목적으로 한 것처럼 보였다. 너가 이것들을 필요로하면, 나에게 알리 라. 그러면 나는 그것으로도 도울 수있다.
그러나 귀하의 직접적인 질문에 따르면, 바람직한 유치 회사는 귀하의 지역에 따라 다릅니다.
또한 사용자가 원하는 보안뿐만 아니라 사용자가 보유한 기술도 필요합니다. 어떤 사람들은 다른 사람들보다 어떤 것에 더 낫습니다. 어쨌든 특정 이름을 원하지 않으면 기준을 요구해야합니다.
또, 지역에 따라가, '부티크'형 기업 지역의 많은,하지만 는 보안을 이해 클라이언트에서 이러한 에 대한 중요한 얻을 참조. 이 혼란스러운 분야에는 너무 많은 사람들이 모르는 고객에게 이상한 정보를 제공하기 만합니다. 이들은 scriptkiddies의 사소한 공격으로 해킹당하는 날까지 잘 알지 못합니다.