Uso de herramientas automatizadas de pruebas de seguridad en la industria

5

Leí este artículo sobre el niño finlandés de 10 años que recolecta una recompensa de $ 10,000 de Instagram con Instagram interesar. De acuerdo con el artículo (y espero que alguien pueda arrojar más luz sobre los detalles exactos de la recompensa de errores), este niño pudo obtener información de Youtube y otros recursos en línea para descubrir la laguna de seguridad.

Lo que me pregunto es si hay herramientas o complementos estandarizados que los programadores utilizan para realizar una auditoría de seguridad automatizada de su código, y si hay herramientas estandarizadas que los evaluadores de penetración utilizan para realizar una prueba de seguridad automatizada del sitio. Y si los hay, ¿cuál es la probabilidad de que ocurran eventos como el que se describe en el artículo y qué pueden hacer las empresas para minimizar el riesgo de estos eventos?

    
pregunta Michael Lai 12.05.2016 - 01:04
fuente

2 respuestas

2

Hay muchas herramientas y algunos estándares, pero no hay herramientas estandarizadas y muchas de ellas son caras.

Para minimizar el riesgo, básicamente tiene que enseñar a su equipo cómo codificar e implementar de forma segura, realizar pruebas de seguridad con frecuencia y actualizar con frecuencia su infraestructura de seguridad a un ritmo cíclico muy rápido.

Esto puede resultar costoso (en términos de tiempo o dinero), por lo que muchas personas simplemente no lo hacen o solo lo hacen un poco.

El constante "apuro al mercado" no está ayudando a las cosas. La tendencia actual del negocio es la velocidad para entregar un producto incompleto en lugar de crear una calidad a largo plazo. Así que inevitablemente se hacen recortes y algunos de ellos están en seguridad. Esto es desafortunado porque en la mayoría de los casos el costo de rediseñar un producto para que tenga seguridad es MUCHO más de lo que hubiera sido diseñar la seguridad desde el principio.

    
respondido por el Trey Blalock 12.05.2016 - 02:46
fuente
1

Owasp es una de las autoridades más respetadas en materia de seguridad de la información. Aquí está su lista de herramientas de prueba. enlace

Con respecto a minimizar el riesgo:

  1. Las organizaciones deben garantizar que la arquitectura de su solución tenga en cuenta la importancia de la seguridad de la información.

  2. las organizaciones deben realizar pruebas de penetración periódicas por parte de compañías externas que se especializan en seguridad de la información y corregir cualquier vulnerabilidad detectada.

  3. Las organizaciones deben mantener su software y su infraestructura de red lo más actual posible.

  4. Las organizaciones deben tener expertos dedicados en seguridad de la información que estén al tanto de la aparición de nuevas amenazas y apliquen parches de manera oportuna.

respondido por el Chris - Mayhem Software 13.05.2016 - 13:58
fuente

Lea otras preguntas en las etiquetas