Personalmente non ho le risorse o l'autorità per controllare per problemi di sicurezza tutti i servizi di terze parti e le aziende che potrei voler utilizzare o essere costretti a utilizzare per circostanze aziendali. Come posso sapere di più sui loro record di sicurezza?
Prefazione: senza conoscenze interne, è altrettanto probabile che una società con problemi di sicurezza in passato:
Mentre un'analisi della risposta dell'azienda a un incidente di sicurezza potrebbe rivelare alcuni indizi sulla sua preparazione, può anche indicare punti di forza o di debolezza in aree diverse dalla sicurezza stessa (principalmente relazioni pubbliche). Si estende alla frequenza, gravità, tempo di risposta.
Senza una visione completa la loro valutazione potrebbe portare a conclusioni errate.
Personalmente, mi fiderei di più in un'azienda / gruppo / sistema con un numero significativo e decrescente di near misses - informazioni che non saranno pubblicizzate pubblicamente (se non in retrospettiva).
Where do I start to learn more about a given company's or software solutions' security track record?
Questa domanda si riduce a "come faccio a scegliere un partner commerciale in un'economia di libero mercato?" Se sei preoccupato per la sicurezza, inizia di:
navigazione verso la pagina principale di un motore di ricerca Internet (come duckduckgo.com , google.com , bing.com )
digitando company_name security nel campo di ricerca
importante che fa clic sul collegamento ipertestuale News sopra i risultati di ricerca
leggere i rapporti sui media relativi alla società, al servizio, al prodotto in questione, prendendo in considerazione i rapporti delle entità di cui ti fidi di più
iterando con diverse query di ricerca: company_name breach , company_name safety record , service_name security , product_name security ecc.
In breve (e in teoria) in un'economia di libero mercato è il ruolo dei media indipendenti per ottenere le informazioni (compresi gli addetti ai lavori) e presentarle al pubblico con un'analisi. È comunque a discrezione del pubblico di cui si fida.
Ci sono molti diversi indicatori di sicurezza che puoi cercare.
In particolare pubblicano pubblicamente informazioni sulle loro patch di sicurezza? Possono fornire i risultati del test di penetrazione più recente o i risultati di un'analisi del codice statico? Quanto spesso eseguono il test dei loro sistemi e software? Riesci a trovare eventuali CVE relativi al software in questione e, in caso affermativo, quanto tempo è occorso per l'azienda per rispondere e per creare la patch? Oltre ai consigli di techraf sulla ricerca del nome della società e su alcuni termini di sicurezza, vedi se sono cause legali contro l'azienda, puoi farlo cercando "vs. nome della società". La società dispone di un sito Web di sicurezza formale, di un'e-mail o di un processo per segnalare problemi di sicurezza? Sono i loro forum indipendenti o di settore in cui le persone parlano di lavorare con il software delle aziende? puoi cercare in questo sito per problemi di sicurezza? In alcuni casi è anche possibile chiedere a una società una copia delle proprie politiche di sicurezza che potrebbero o meno fornire indicazioni sul loro livello di maturità. Alcune società ti permetteranno di parlare direttamente con il loro team di sicurezza se lo chiedi. ecc ...
Se la società è una piattaforma Software as a service (SAAS) puoi trovare informazioni sulle informazioni sulle minacce relative ai loro IP? (possibile gratuitamente o tramite un servizio commerciale). Allo stesso modo ci sono un sacco di semplici test per vedere quanto sia ben mantenuta la loro sicurezza web, i cifrari utilizzati, le intestazioni di sicurezza del server Web configurate sul loro server web, i dettagli pki, il pinning dei certificati, ecc. Potresti prendere un proxy di penetration testing come Burp Suite pro e "passivamente" naviga sul sito web e vedi quali sono i problemi di sicurezza che si presentano (fai attenzione e non scannerizzali senza permesso, per favore non farlo se non hai familiarità con lo strumento).
Se trovi problemi, vedi se è in grado di determinare la durata di tali problemi . È stato un bug che Internet nel suo complesso si è preso cura di qualche anno fa? o qualcosa che è uscito stamattina?
Se guardi continuamente i tuoi venditori, una cosa divertente da guardare è la frequenza delle patch. Anche sui siti web o le applicazioni che usano puoi quasi sempre trovare informazioni sulla versione di qualche tipo e controllare se è attuale e guardare per vedere fino a quando l'azienda aggiorna le cose. Se si scrive questo script, è possibile creare grafici di patching per determinare quanto sono attivi sulle cose. È una metrica di salute molto utile.
Alla fine ci sono problemi con tutti questi metodi che dovrai capire per prendere una buona decisione. Avere una causa contro un'azienda non significa affatto che sia male. I risultati di ricerca di Google per la sicurezza non indicano se il problema è stato gestito in modo professionale o insufficiente. E le persone arrabbiate su Internet potrebbero dire cose cattive che potrebbero anche non essere vere. Quindi, quando ti concentri su queste cose, vedi se riesci a rilevare gli indicatori di maturità nel loro programma e anche i segnali di risposte rapide ai problemi. Ogni azienda finirà per avere dei brutti giorni ma se impareranno o no da essa e maturerà ciò che diventerà importante a lungo termine.
Puoi anche assumere società per fare analisi sulla sicurezza dei fornitori per te. Sono spesso assunto come tester di penetrazione per testare tutti i tipi di applicazioni e software di terze parti che vengono utilizzati in un'ampia varietà di modi. Se vuoi solo risultati rapidi, qualcuno che lo fa professionalmente può probabilmente accedere alle informazioni critiche molto più velocemente.
Senza ulteriori informazioni, non posso specificarti specificamente cosa testare, ma spero che queste informazioni e i commenti di techraf possano aiutarti.
Leggi altre domande sui tag audit