Data la cattiva stampa delle violazioni dei dati, la mia azienda sta esaminando le opzioni di test delle penne. Abbiamo esaminato la guida ai test di penna , ma che altro puoi suggerire in modo da non essere hackerato ?
Data la cattiva stampa delle violazioni dei dati, la mia azienda sta esaminando le opzioni di test delle penne. Abbiamo esaminato la guida ai test di penna , ma che altro puoi suggerire in modo da non essere hackerato ?
Sì, anche se il PTES (citato dalla risposta di Soufiane) è decisamente obsoleto, è in qualche modo ancora uno dei migliori standard di riferimento.
Questa è una guida tecnica che utilizza Metasploit in base al PTES .
Ciò che sarebbe straordinario è che un cliente possa vedere i progressi dei test, sia con accesso live a qualcosa come il framework LAIR, sia come videocast. Il mio portale di collaborazione per il consolidamento delle vulnerabilità e il portale di collaborazione preferito è LAIR-framework, ma mi piace anche Dradis Pro. Un ulteriore elenco potrebbe contenere: Cisco Kvasir, Serpico, CheckSec Canopy, Faraday, ecc. Alcuni sono inclusi in Kali Linux - - MagicTree, KeepNote, sparta e Dracnmap. Alcune persone inseriscono dati di vulnerabilità in Splunk o ElasticSearch (vFeed consiglia questo). Una soluzione molto costosa ma completa di tutte le funzionalità è Core Vulnerability Insight di Core Security. Salesforce fornisce VulnReport.io . Persino Shodan offre una vista geografica (mappa mondiale) dei dati di vulnerabilità consolidati - link
Se stai cercando informazioni su cosa dovresti aspettarti prima del test, controlla questa risorsa da SANS - link
Se vuoi sapere quali sono i report di output di un pen-test, controlla - link
La prima cosa da fare è assicurarsi che il team di sviluppo comprenda come codificare utilizzando principi di sviluppo e best practice sicuri. Ci sono molte grandi risorse online che possono essere sfruttate per aiutare a supportare e formare la tua squadra. Ad esempio Accademia online OWASP .
L'integrazione dei test di sicurezza dovrebbe essere integrata nel ciclo di vita dello sviluppo. Ci sono strumenti che ti permetteranno di scansionare automaticamente la tua app, anche se la scansione automatica non catturerà tutto, aiuterà a catturare il frutto basso appeso. Ad esempio, può aver impedito TalkTalk hack che era il risultato dell'iniezione SQL .
Ci sono numerosi strumenti che puoi usare per questo, inclusi servizi di abbonamento basati su cloud che analizzeranno la tua app da internet, la versione pro del proxy di Burp e il libero e open source OWASP ZAP proxy. Questa è una guida su come configurare ZAP con Jenkins.
Utilizzando questo metodo, i buchi di sicurezza possono essere scoperti e risolti come parte standard del processo di devoluzione, in teoria questo dovrebbe significare un più difficile prodotto finale con un rischio inferiore . / p>
Questo dovrebbe essere usato come aggiunta ai test di penetrazione di terze parti, che dovrebbero essere eseguiti da una terza parte rispettabile, nota per aver condotto test approfonditi in ambito. I tester di terze parti porteranno nuovi occhi al progetto, competenze di sicurezza dedicate ed eviteranno i problemi inerenti al "segnare i propri compiti".
Secondo la mia esperienza, se gli scanner automatici hanno catturato il frutto basso appeso, i tester di penetrazione devono lavorare un po 'più difficile per trovare alcune "buone" cose da segnalare. Dovrebbero anche essere in grado di produrre report che possano essere utilizzati per segnalare i problemi in modo chiaro.
Questo ultimo punto è fondamentale, qualsiasi problema scoperto dovrebbe avere un processo intorno a loro per assicurare che siano corretti entro un ragionevole lasso di tempo, non ha senso semplicemente conoscere le vulnerabilità se non hai un piano in atto per risolverli, che Equifax (e tutti i suoi clienti soggetti dei dati) ha scoperto che il suo costo è scaduto anno.
Leggi altre domande sui tag web-application penetration-test vulnerability-scanners