In che modo le piccole imprese gestiscono la sicurezza delle app Web?

Naviga le tue risposte
9

Tutto nella top 10 di Owasp, in che modo le piccole imprese attuali (< 1000 dipendenti) gestiscono la sicurezza delle applicazioni Web, insieme alla sicurezza mobile delle loro applicazioni?

Si preoccupano della sicurezza delle informazioni / delle app? Le aziende di queste dimensioni pagano per l'analisi del codice statico o per i test di penetrazione? Oppure usano qualche framework / software open source per testare?

    
posta CodeTalk 03.10.2012 - 01:39
fonte

5 risposte

8

Risposta breve: NO.

È davvero scioccante sapere che la maggior parte delle aziende non si preoccupa della sicurezza del loro prodotto o ne è all'oscuro. Di solito, i team di controllo qualità di queste aziende eseguono il test e forse i casi di test includeranno alcuni vettori di attacco per XSS, SQLi ecc. Ma sono abbastanza sicuro che non avrebbero un processo dedicato per test di sicurezza o modellazione delle minacce / analisi del codice / test delle penne. Come faccio a saperlo? Parlando con le persone (sia tecniche che non tecniche) durante gli eventi di carriera di massa, quindi immagino, potresti prendere questa risposta con circa il 70% di confidenza.

    
risposta data 03.10.2012 - 01:46
fonte
10

La mia esperienza dipende dall'industria, dai regolamenti e dalle relazioni commerciali (non necessariamente dalle dimensioni dell'azienda).

Esempi:

  • < azienda di 10 persone, creazione di un'app Web che recupera il credito storia, sono stati richiesti dai partner commerciali per avere un pieno webapp pentest

  • < azienda di 50 persone, creando un portale web che consente i clienti per visualizzare le informazioni sul punto di vendita, sono caduti sotto requisiti normativi (PCI) e le richieste dei partner di avere il loro portale pentito

  • < 5 persone di start-up che cercano di vendere la loro app web a un'azienda più grande, è stato richiesto di ottenere la valutazione dell'app per sicurezza durante la due diligence (codice audit + pentest)
  • quasi tutte le aziende che creano app web bancarie / finanziarie, secondo la mia esperienza, fare qualcosa per mostrare che la sicurezza è valutata e di solito per motivi normativi (codice audit + pentest)

Molte piccole imprese scelgono il pentesting sul controllo del codice perché è in genere più economico (e potrebbero non avere accesso a tutto il codice sorgente se utilizzano altri componenti commerciali).

    
risposta data 03.10.2012 - 06:30
fonte
7

Lavoro con tutto, dalle piccole aziende locali alle aziende Fortune 100 e FTSE 100 e una delle cose che trovo è che le tutte aziende di dimensioni stanno cercando di fare qualcosa per la sicurezza. Certo, la misura in cui una piccola azienda può implementare alcuni controlli di sicurezza è limitata dal budget, ma certamente non c'è una correlazione del 100% con le grandi aziende che lo fanno meglio delle piccole aziende.

Spesso le piccole società finanziarie (dicono 150 dipendenti) sono le migliori in questo campo - implementando funzionalità complete di gestione del ciclo di vita delle informazioni, compreso lo sviluppo di codice sicuro fino alla distruzione definitiva al termine della vita. Per la top ten di OWASP, non c'è nulla che sia fuori dalla portata di un'azienda di queste dimensioni. A cosa andrà incontro è la motivazione:

  • Se sono regolamentati, faranno quanto necessario per superare l'audit
  • Se memorizzano informazioni personali, cercheranno di assicurarsi che soddisfino i requisiti di protezione dei dati ovunque siano
  • Se conservano una preziosa proprietà intellettuale, posizioneranno i controlli per proteggerlo
risposta data 03.10.2012 - 19:37
fonte
2

Penso che per molte piccole imprese sia più facile sperare che non ti capiti di spendere di più in sicurezza di quanto hai fatto con la creazione del sito web.

Dato 1) la facilità di hacking delle PMI e 2) il relativo basso rischio, si potrebbe pensare che su una base di rischio, questi sarebbero gli obiettivi principali per gli hacker.

    
risposta data 10.10.2012 - 01:08
fonte
2

Sto vedendo e sentendo parlare di piccole imprese che tentano di adottare misure di sicurezza integrate piuttosto che reattive .

Esempi:

  • Creazione di test di sicurezza nei loro requisiti e suite di test automatizzati
  • Sviluppatori che includono strumenti di analisi statica (indipendentemente dalla qualità del codice o della sicurezza) nei loro ambienti di sviluppo o persino il processo di creazione
  • Comprese le configurazioni di protezione avanzata nel provisioning del sistema IaaS / PaaS
  • Utilizzo di scanner Web (di solito open source o economici, come W3AF) come parte dei processi di pre-distribuzione

Questo sembra essere più spesso il caso per le squadre con team di sviluppo e dev specializzati che non possono permettersi test di sicurezza esterni manuali, puntuali (e in corso).

    
risposta data 20.02.2013 - 16:41
fonte

Leggi altre domande sui tag

Non sono registrati in modo permanente account intrinsecamente insicuri? Come testare una macchina fisica?