Impostazione delle aspettative di una valutazione della vulnerabilità?

2

È ragionevole rifiutarsi di garantire che troverai il 100% dei problemi di sicurezza quando esegui una valutazione della vulnerabilità su un sito web?

Anche con aziende come Google che hanno team di professionisti della sicurezza, una vulnerabilità di sicurezza occasionale sfugge. Esistono anche problemi di sicurezza zero day con software di terze parti che non sono realisticamente reperibili quando si effettua una valutazione della vulnerabilità.

Considerato quanto sopra, qual è una posizione ragionevole da prendere quando si effettua una valutazione della vulnerabilità relativa alla ricerca di tutte vulnerabilità della sicurezza?

    
posta Abe Miessler 11.10.2013 - 00:03
fonte

1 risposta

4

Dal punto di vista di InfoSec è perfettamente ragionevole. Nessun chirurgo può (o dovrebbe!) Garantire un funzionamento sicuro al 100%, nessun avvocato può garantire la condanna o l'assoluzione.

Naturalmente, il cliente non vuole che i professionisti di InfoSec prendano i loro soldi e si nascondano dietro a quella clausola nel loro contratto, se qualcosa dovesse oltrepassare l'audit.

Suggerirei che la soluzione al problema è esattamente ciò che hai menzionato, impostando le giuste aspettative. Il cliente deve aspettarsi che il team di InfoSec faccia il suo meglio per rilevare le vulnerabilità comuni e facilmente sfruttate. Ci sono molti modi per segnalare che hai veramente intenzione di fare del tuo meglio.

  1. Garanzie finanziarie specifiche per l'ambito della richiesta di controllo: ad es. Rimborso del 100% per un'iniezione SQL sfruttata dopo l'audit.

  2. Garanzie di reputazione : ad es. "Protetto da ACME InfoSec" sul proprio sito Web, in modo che il professionista di InfoSec abbia un interesse acquisito nel mantenere il sito sicuro.

  3. Garanzie di controllo multiplo : ad es. Offrire di avere una ditta InfoSec concorrente fornisce una seconda opinione per il confronto.

  4. Testimonianza : da altri clienti che hai aiutato in passato.

  5. Prova di lavoro : dimostra l'efficacia effettiva dei tuoi consigli. per esempio. Attuatori di penne indipendenti attaccano prima e dopo l'implementazione delle raccomandazioni.

Naturalmente, tutto dipende da un cliente che comprende che le uniche certezze della vita sono la morte e le tasse.

Per quelli che insistono su garanzie al 100%, potresti certamente fornire quelli che rientrano nel campo di applicazione (punto 1 sopra). Potresti (e dovresti) includere una clausola di responsabilità massima - ad es. il massimo che dovrai pagare è $ x.

    
risposta data 11.10.2013 - 00:47
fonte

Leggi altre domande sui tag