In qualità di CIO, CISO, CTO o amministratore del sistema, utilizzeresti una piattaforma di crowdsourcing per test di penetrazione al fine di migliorare i tuoi problemi di sicurezza?
LE: Quindi molti di voi downgrade e hanno detto che è sbagliato avere questo tipo di piattaforma. Invece Google, Facebook, PayPal e altre grandi aziende hanno un programma Bug Bounty che funziona molto bene. Chi ha torto? Loro o ...?
Assolutamente no, potrebbe essere una buona idea in qualche modo, ma se ho intenzione di ottenere un test di penetrazione è da una società che firma un contratto che include un accordo di non divulgazione, altrimenti non ho alcun ricorso legale se le cose vanno male. Usando questo mi limiterei a dipingere un grosso "mi hackerò, penso che potrei essere insicuro" sui miei siti.
Per quanto posso dire dalla descrizione sui siti web, non si può davvero dire chi controlla la propria applicazione / server e quanto sono bravi a trovare le vulnerabilità. Quindi non puoi fare affidamento su una dichiarazione del tipo "Nessuna vulnerabilità trovata". Preferirei usare un'azienda con una buona reputazione. Un test gratuito che non trovi alcuna vulnerabilità in realtà non aiuta. Potrebbe anche essere un male per te fornendoti un falso senso di sicurezza.
Non vedo che questo sia accettabile per nessuno dei miei clienti- le loro regole di gestione del rischio proibirebbero questo genere di cose.
Avresti bisogno di ottenere il controllo per ogni tester, NDA individuale, approvazione e approvazione per evitare di cadere in fallo dell'atto di uso improprio del computer ecc.
In che modo il cliente convaliderà la metodologia di test?
Soprattutto, richiedono un fornitore con una solida reputazione e una copertura di responsabilità decente.
Penso che questa non sia l'idea migliore perché il processo non è noto né documentato, tale hackery da parti anonime che ho ogni giorno, e ne ho orde, e non credo che qualcuno voglia ancora più soldi da pagare per effettivamente essere violato Ho ricevuto ogni giorno 100 rapporti sulle pagine da tutti i tipi di hack.
Il trucco è che se ti mando la mia immagine VM, se riesci a metterla al sicuro e mandarmela indietro, non puoi farcela, perché richiederebbe un prodotto specifico e non hai un prodotto, una procedura o qualcosa del genere e offre solo "hackery", che è molto facile da fare, ovviamente è possibile hackerare qualsiasi server LAMP e Windows e questo non è niente di veramente rivelatore, tranne solo quanto danno si può davvero fare. Quindi potresti dire semplicemente: "non hai abbastanza sicurezza per non essere hackerato dalla folla".
Sarebbe molto meglio se si utilizzasse effettivamente un processo come SDL, che includerebbe la protezione dell'applicazione, quindi per questo potrei spendere £ 100 al mese per immagine VM, e dovrebbe essere bullet- prova comprendente l'auto-apprendimento e gli aggiornamenti e l'ambiente di test per i test di hacking e sicurezza, con sincronizzazione dal mio SVN e che includerebbe la revisione delle patch di terze parti e il test DDoS, l'abuso delle cassette postali, la forza bruta, il report delle prestazioni e le statistiche dei test di carico e includerebbe la rete, il sistema e l'applicazione, oltre al DNS, LDAP e posta e qualsiasi specifica disposizione.
Non conosco nessun sito Web che faccia qualcosa del genere con questi metodi, ma "questi" metodi si adattano all'SDL nelle due o tre ultime fasi, quindi per utilizzarlo professionalmente che richiederebbe tutte le fasi, documentato e implementato, quale sarebbe un problema molto complesso, forse LAMP standard e Windows sarebbe OK per iniziare.
Si adatta anche al governo: potresti ottenere una missione che includa l'hacking nel potere nazionale e nelle infrastrutture nucleari, in questo modo potresti testare definitivamente l'NHS, ma non le banche, e sicuramente dovresti provare con l'esercito. Se riesci a farlo, puoi renderlo sensato, perché per le aziende questa non è la cosa più utile, perché le aziende possono fare ciò che è più sicuro e applicato legalmente.
Leggi altre domande sui tag web-application attacks appsec penetration-test bug-bounty