Personalmente no tengo los recursos ni la autoridad para auditar los problemas de seguridad de todos los servicios y compañías de terceros que pueda querer usar o que me obliguen a usar por circunstancias comerciales. Entonces, ¿cómo puedo obtener más información sobre sus registros de seguridad?
Prefacio: sin conocimiento interno, es igualmente probable que una empresa con incidentes de seguridad en el pasado:
Si bien un análisis de la respuesta de la compañía a un incidente de seguridad puede revelar algunas pistas sobre su preparación, también puede indicar fortalezas o debilidades en áreas distintas a la seguridad en sí misma (principalmente relaciones públicas). Se extiende a la frecuencia, severidad, tiempo de respuesta.
Sin una visión completa, su evaluación podría llevar a conclusiones erróneas.
Personalmente, confiaría más en una empresa / equipo / sistema con un número significativo y decreciente de casi falla - una información que no se publicará oficialmente (a menos que sea retrospectiva).
¿Dónde empiezo a obtener más información sobre el historial de seguridad de una empresa determinada o de las soluciones de software?
Esta pregunta se reduce a "¿Cómo selecciono un socio comercial en una economía de libre mercado?" Si le preocupa la seguridad, comienza de la siguiente manera:
navega a la página principal de un motor de búsqueda de Internet (como duckduckgo.com , google.com , bing.com )
escribiendo company_name security en el campo de búsqueda
importante haciendo clic en el hipervínculo News sobre los resultados de búsqueda
leyendo los informes de los medios relacionados con la compañía, el servicio, el producto en cuestión, teniendo en cuenta los informes de las entidades en las que más confía
iterando con diferentes consultas de búsqueda: company_name breach , company_name safety record , service_name security , product_name security etc.
En resumen (y en teoría) en una economía de libre mercado, la función de los medios de comunicación independientes es obtener la información (incluida la información privilegiada) y presentarla al público con un análisis. Sin embargo, depende del público en quien confíe.
Hay varios indicadores diferentes de salud de seguridad que puede buscar.
Más notablemente, ¿publican información pública sobre sus parches de seguridad? ¿Pueden proporcionarle los resultados de su prueba de penetración más reciente o los resultados de un análisis de código estático? ¿Con qué frecuencia hacen la prueba sus sistemas y software? ¿Puede encontrar algún CVE relacionado con el software en cuestión y, en caso afirmativo, cuánto tiempo le tomó a la compañía responder y crear el parche? Además de los consejos de techraf sobre la búsqueda del nombre de la empresa y algunos términos de seguridad, también puede ver si existen demandas contra la compañía, puede hacerlo buscando "vs. nombre de la compañía". ¿Tiene la empresa un sitio web de seguridad formal, correo electrónico o proceso para informar problemas de seguridad? ¿Hay algún foro independiente o de la industria donde las personas hablan sobre el trabajo con el software de las empresas? ¿Puedes buscar en este sitio por problemas de seguridad? En algunos casos, también puede solicitar a una empresa una copia de sus políticas de seguridad que pueden o no darle indicaciones de sus niveles de madurez. Algunas compañías incluso te dejarán hablar directamente con su equipo de seguridad si lo pides. etc ...
Si la empresa es una plataforma de software como servicio (SAAS) , ¿puede encontrar información de inteligencia sobre amenazas acerca de sus IP? (posible gratis o mediante servicio comercial). Del mismo modo, hay muchas pruebas sencillas para ver qué tan bien mantenidas están sus sistemas de seguridad web, sistemas de cifrado, encabezados de seguridad de servidores web configurados en su servidor web, detalles de pki, identificación de certificados, etc. Puede tomar un proxy de prueba de penetración como Burp Suite pro y "pasivamente" navegue por el sitio web y vea qué tipo de problemas de seguridad surgen (tenga cuidado y no los escanee sin permiso; tampoco haga esto si no está realmente familiarizado con la herramienta).
Si encuentra algún problema, vea si puede determinar cuánto tiempo han estado presentes esos problemas también. ¿Fue un error del que se ocupó Internet en su conjunto hace unos años? ¿O algo que salió esta mañana?
Si vigila continuamente a sus proveedores, una cosa divertida es la frecuencia de parches. Incluso en los sitios web o en las aplicaciones que usan, casi siempre puede encontrar información de versión de algún tipo y verificar si está actualizada y ver. Para ver cuánto tiempo hasta que la empresa actualice las cosas. Si escribes esto, puedes crear gráficos de parches para determinar qué tan activos están sobre las cosas. Es una métrica de salud muy útil.
En última instancia, hay problemas con todos estos métodos que tendrá que comprender para tomar una buena decisión. El solo hecho de presentar una demanda contra una empresa no significa que sea malo en absoluto. Los resultados de búsqueda de Google para seguridad no indican si el problema se manejó profesionalmente o mal. Y las personas enojadas en Internet pueden decir cosas malas que tal vez ni siquiera sean ciertas. Entonces, al enfocarse en estas cosas, vea si puede detectar indicadores de madurez en su programa y también signos de respuestas rápidas a los problemas. Eventualmente, todas las empresas tendrán días malos, pero lo que cobrará importancia a largo plazo será que aprendan de ellas y maduren.
También puede contratar compañías para que realicen análisis de seguridad de proveedores por usted. Con frecuencia me contratan como probador de penetración para probar todo tipo de aplicaciones y software de terceros que se utilizan en una amplia variedad de formas. Si solo quieres resultados rápidos, alguien que lo haga profesionalmente también puede acceder a la información crítica mucho más rápido.
Sin más información, no puedo decirte específicamente qué probar, pero espero que esta información y los comentarios de techraf te ayuden.
Lea otras preguntas en las etiquetas audit