Sospetto "100% garantito" pacchetto di sicurezza per l'hosting web

3

Note: ho una conoscenza ed esperienza molto limitate in questo campo. Il mio capo non vuole spendere un centesimo in più di quello che abbiamo già pagato. Il sito web ha un modulo che invia un messaggio al nostro indirizzo email e che ha scatenato la conversazione sulla sicurezza.

Contesto: il mio capo ha acquistato un pacchetto da una società di webdesign. Questo pacchetto includeva un dimissionario per il sito, 12 mesi di hosting e un Account Manager che ci avrebbe aiutato con il sito. Ho parlato con il nostro Account Manager della sicurezza del nuovo sito e ha cercato di venderci un altro pacchetto per altri $ 2.000. Ha detto che se avessimo acquistato il pacchetto, avrebbero vietato qualsiasi indirizzo IP sospettato di eseguire attacchi MITM, attacchi DDOS, ecc. Ha affermato che era garantito al 100% che nessun attacco potesse aggirare la loro sicurezza. Ha anche detto che il nostro sito web otterrà un blocco verde sul lato sinistro della barra degli indirizzi.

Cosa penso: penso che il pacchetto che ha offerto sia una truffa. Ho fatto alcune letture e in base a ciò che ho letto, il pacchetto che ha descritto non fermerà gli attacchi MITM o gli attacchi DDOS su larga scala. A mia conoscenza, non esiste alcuna misura di sicurezza che non possa essere aggirata.

Quello che ho letto: Posso rilevare un attacco MITM? , DDoS: perché non bloccare gli indirizzi IP di origine? , < a href="https://security.stackexchange.com/questions/20803/how-does-ssl-tls-work"> Come funziona SSL / TLS? , link

Domande: sbaglio nel pensare che quello che ha offerto è una truffa? Dovremmo prendere in considerazione l'acquisto del pacchetto? Sto meglio usando solo un SSL gratuito come Zero SSL?

Grazie e scusa se ho postato questo nella borsa sbagliata o se questo non è il posto giusto per chiederlo. Non sono sicuro su quale altro posto porre queste domande.

    
posta Davidwestcoast 06.11.2018 - 19:26
fonte

3 risposte

9

Alcune cose che vale la pena notare (espandendo il mio commento, così posso elaborare un po 'di più).

  • He claimed there was a 100% guarantee that no attack could bypass their security.

    Questo reclamo non può mai essere verificato. A prescindere dal fatto che questa affermazione provenga probabilmente da un addetto alle vendite con conoscenza della sicurezza delle informazioni limitata (se esistente), direi che chiunque abbia mai affermato che un sistema è sicuro al 100% non deve essere considerato attendibile.

  • they would ban any IP addresses that are suspected of performing MITM attacks, DDOS attacks

    Distribuire un certificato SSL / TLS per mitigare qualsiasi rischio di attacchi MITM. LetsEncrypt ti permetterà di farlo gratuitamente e molti host li supportano ora in modo nativo. L'attenuazione degli attacchi DDoS probabilmente non è qualcosa che il tuo host ha la capacità di fare da solo e probabilmente ti metterà semplicemente su un piano gratuito CloudFlare .

Se sei preoccupato per la sicurezza dell'applicazione stessa, dovresti cercare i servizi di Penetration Tester. Le "misure di sicurezza" che questo rappresentante di account ha presentato si riferiscono rigorosamente al livello del protocollo (come il traffico arriva al tuo sito web) e non alla sicurezza del sito stesso. Testare la sicurezza, il flusso logico, ecc. Dell'applicazione reale è un compito che è meglio lasciare ai tester esperti di penetrazione web.

    
risposta data 06.11.2018 - 19:44
fonte
3

Regola uno: mai, mai credi a ciò che ti dice il venditore

Regola due: essere molto sospettoso di ciò che il commesso si impegna nel contratto

Regola tre: misura le promesse fatte

Sembra che tu stia ascoltando la regola 1, non sei arrivato al punto di indirizzare la regola 2, ma sembra che tu non abbia la possibilità di applicare la regola 3.

He claimed there was a 100% guarantee that no attack could bypass their security

Sembra che tu sia dell'opinione che, poiché esiste una garanzia, non accadrà. Una garanzia spiega semplicemente quale riparazione può essere effettuata dal fornitore in caso di insorgenza della situazione. Una garanzia "perfetta" (dal punto di vista del cliente) non esiste. Alcuni fornitori si spingeranno fino a far sottoscrivere le garanzie da una terza parte e ad implementare l'escrow IP, ma è improbabile che ciò avvenga qui.

"acquistato un pacchetto da una società di web design" - che l'hosting e l'implementazione sono stati raggruppati in questo modo e hanno acquistato una immagine molto specifica sia della società di web design che dei datori di lavoro. Non posso dirti se il pacchetto $ 2000 soddisfa i tuoi requisiti, non posso dirti quale sia il valore della garanzia, non posso dirti se la società di hosting è in grado di fornire ciò che promette, ma ha un odore tutto piuttosto male.

Dato che entrambi hanno sviluppato e ospitato il sito, direi che li rende responsabili per qualsiasi compromesso del servizio derivante dall'esterno dell'organizzazione dei datori di lavoro.

Il fatto che la sicurezza del servizio non sia stata adeguatamente affrontata nel momento in cui il progetto e l'hosting sono stati concordati è un fallimento del tuo datore di lavoro.

Sembra che questo servizio sia quasi completamente alla mercé della società di web design e non sotto il controllo dei datori di lavoro. Finché qualcuno non affronterà questo equilibrio di potere che continuerà.

Nel frattempo, potresti considerare la difficile situazione di altre piccole imprese che ricevono visite da un'organizzazione privata che offre servizi di protezione in cambio di denaro contante, e la natura di quelle organizzazioni private. Forse $ 2000 compra qualche idea?

    
risposta data 07.11.2018 - 14:16
fonte
1

Esaminiamo le affermazioni di cui ci occupiamo.

  • Ban IP coinvolto in MITM:
    TLS interrompe gli attacchi MITM. Il costo di $ 2,000 è molto, considerando che è possibile ottenere un certificato gratuitamente (ad es. Da Lets Encrypt). Non è chiaro cosa succederebbe se qualche valore aggiungesse.
  • IP ban coinvolto in attacchi DDOS:
    Potrebbe essere prezioso se è buono. Ma puoi ottenere una protezione DDOS efficace da Cloudflare gratuitamente.
  • Ban IP coinvolto in "etc":
    Ehm, vorrei sapere più dettagli prima di pagare per questo. Potrebbe essere fantastico, potrebbe non essere nulla.
  • Il 100% garantisce che nessun attacco possa aggirare la sicurezza: Non ci sono certezze al 100% nella vita. Questo è solo vendere conversazioni senza contenuti.
  • Il sito Web ottiene un blocco verde nella barra degli indirizzi:
    Lo stesso di # 1.

Non direi che è una "truffa", ma non sembra che tu abbia molto valore per i tuoi soldi. La maggior parte (tutti?) Di ciò che stanno offrendo può probabilmente essere acquisita gratuitamente se si impiega un po 'di tempo e impegno.

    
risposta data 07.11.2018 - 14:22
fonte

Leggi altre domande sui tag