Utilizzo di strumenti di test di sicurezza automatizzati nel settore

Naviga le tue risposte
5

Ho letto questo articolo sul ragazzo finlandese di 10 anni che ha raccolto un premio di $ 10.000 da Instagram con interesse. Secondo l'articolo (e spero che qualcuno possa fare più luce sui dettagli esatti della taglia del bug), questo ragazzo è stato in grado di raccogliere informazioni da Youtube e altre risorse online per capire la scappatoia della sicurezza.

Quello che mi chiedo è se ci sono strumenti o plug-in standardizzati che i programmatori usano per condurre controlli di sicurezza automatizzati sul loro codice, e se ci sono strumenti standardizzati che i penetrometri usano per eseguire un test di sicurezza automatico del sito. E se ci sono, allora qual è la probabilità di eventi come quello descritto nell'articolo che si verifica e che cosa possono fare le aziende per minimizzare il rischio di questi eventi?

    
posta Michael Lai 12.05.2016 - 01:04
fonte

2 risposte

2

Ci sono molti strumenti e alcuni standard, ma nessuno strumento standardizzato e molti strumenti sono costosi.

Per minimizzare i rischi, in pratica devi insegnare al tuo team come codificare e implementare in sicurezza, eseguire frequentemente test di sicurezza e aggiornare frequentemente l'infrastruttura di sicurezza a un ritmo ciclico molto veloce.

Questo può essere costoso da fare (tempo o denaro), quindi molte persone semplicemente non lo fanno o fanno solo un po '.

La costante "corsa al mercato" non aiuta le cose. L'attuale tendenza commerciale è sulla velocità di fornire un prodotto incompleto piuttosto che costruire per la qualità a lungo termine. Quindi vengono fatti inevitabilmente dei tagli e alcuni dei tagli sono in sicurezza. Questo è un peccato perché nella maggior parte dei casi il costo di riprogettare un prodotto in modo che abbia sicurezza è MOLTO più di quanto sarebbe stato per progettare la sicurezza fin dall'inizio.

    
risposta data 12.05.2016 - 02:46
fonte
1

Owasp è una delle autorità più rispettate in materia di sicurezza delle informazioni. Ecco la loro lista di strumenti di test. link

Per minimizzare il rischio:

  1. Le organizzazioni dovrebbero garantire che la loro architettura della soluzione tenga conto dell'importanza della sicurezza delle informazioni.

  2. le organizzazioni dovrebbero commissionare regolari test di penetrazione da parte di società esterne specializzate nella sicurezza delle informazioni e correggere eventuali vulnerabilità rilevate.

  3. Le organizzazioni dovrebbero mantenere il loro software e l'infrastruttura di rete il più attuali possibile.

  4. Le organizzazioni dovrebbero disporre di esperti di sicurezza delle informazioni dedicati che mantengono aggiornato l'emergere di nuove minacce e applicano le patch in modo tempestivo.

risposta data 13.05.2016 - 13:58
fonte

Leggi altre domande sui tag

Quali informazioni si possono ottenere dallo screenshot di un dispositivo Apple o dai suoi dati EXIF? Token di verifica dell'autenticazione basata sul tempo