Paquete de seguridad de hospedaje web "100% garantizado" sospechoso

3

Notas: Tengo un conocimiento y una experiencia muy limitados en este campo. Mi jefe no quiere gastar un centavo más de lo que ya pagamos. El sitio web tiene un formulario que envía un mensaje a nuestra dirección de correo electrónico y que provocó la conversación de seguridad.

Contexto: mi jefe compró un paquete de una empresa de diseño web. Este paquete incluía una renuncia al sitio, 12 meses de alojamiento y un administrador de cuentas que nos ayudaría con el sitio. Hablé con nuestro Gerente de Cuenta sobre la seguridad del nuevo sitio e intentó vendernos otro paquete por $ 2,000 adicionales. Dijo que si compramos el paquete, prohibirían las direcciones IP sospechosas de realizar ataques MITM, DDOS, etc. Afirmó que existía una garantía del 100% de que ningún ataque podría pasar por alto su seguridad. También dijo que nuestro sitio web tendrá un candado verde en el lado izquierdo de la barra de URL.

Lo que pienso: creo que el paquete que ofreció es una estafa. Hice algunas lecturas y, según lo que leí, el paquete que describió no detendrá los ataques MITM ni los ataques DDOS a gran escala. Que yo sepa, no hay ninguna medida de seguridad que no pueda ser anulada.

Lo que leí: ¿Puedo detectar un ataque MITM? , DDoS: ¿Por qué no bloquear las direcciones IP de origen? , < a href="https://security.stackexchange.com/questions/20803/how-does-ssl-tls-work"> ¿Cómo funciona SSL / TLS? , enlace

Preguntas: ¿Me equivoco al pensar que lo que ofreció es una estafa? ¿Debemos considerar comprar el paquete? ¿Estoy mejor usando solo un SSL gratuito como Zero SSL?

Gracias, y disculpe si publiqué esto en el intercambio equivocado o si este no es el lugar correcto para preguntar. No estoy seguro de dónde hacer estas preguntas.

    
pregunta Davidwestcoast 06.11.2018 - 19:26
fuente

3 respuestas

9

Algunas cosas que vale la pena mencionar (ampliando mi comentario, para poder elaborar un poco más).

  •   

    Afirmó que había una garantía del 100% de que ningún ataque podría pasar por alto su seguridad.

    Este reclamo nunca puede ser verificado. Aparte del hecho de que esta afirmación probablemente provino de una persona de ventas con un conocimiento limitado (si existe) de Seguridad de la información, diría que no se puede confiar en cualquier persona que afirme que un sistema es 100% seguro.

  •   

    prohibirían cualquier dirección IP sospechosa de realizar ataques MITM, ataques DDOS

    Implemente un certificado SSL / TLS para mitigar cualquier riesgo de ataques MITM. LetsEncrypt te permitirá hacer esto sin costo y muchos hosts los admiten de forma nativa ahora. Mitigar los ataques DDoS es probable que no sea algo que su host tenga la capacidad de hacer por sí mismos y que simplemente lo ponga en un plan CloudFlare gratuito.

Si le preocupa la seguridad de la aplicación, debería buscar los servicios de un comprobador de penetración. Las "medidas de seguridad" que este representante de la cuenta ha presentado se refieren estrictamente al nivel de protocolo (cómo el tráfico llega a su sitio web) y no a la seguridad del sitio web en sí. Probar la seguridad, el flujo lógico, etc. de la aplicación real es una tarea mejor para los experimentados probadores de penetración web.

    
respondido por el DKNUCKLES 06.11.2018 - 19:44
fuente
3

Regla uno: nunca, alguna vez crea lo que te dice el vendedor

Regla dos: sea muy sospechoso de lo que el vendedor se compromete en el contrato

Regla tres: mida las promesas hechas

Parece que estás siguiendo la regla 1, no has llegado al punto de abordar la regla 2, pero parece que no tienes la capacidad de aplicar la regla 3.

  

Afirmó que había una garantía del 100% de que ningún ataque podría pasar por alto su seguridad

Pareces ser de la opinión de que porque hay una garantía, entonces no sucederá. Una garantía simplemente explica en qué medida se pondrá en marcha el proveedor si surge la situación. No existe una garantía "perfecta" (desde el punto de vista del cliente). Algunos proveedores llegarán al extremo de obtener la garantía suscrita por un tercero y / o implementar la custodia de IP, pero es poco probable que sea el caso aquí.

"compré un paquete de una empresa de diseño web": el hospedaje y la implementación se agruparon de esta manera y compraron una imagen muy específica tanto de la empresa de diseño web como de sus empleadores. No puedo decirle si el paquete de $ 2000 cumple con sus requisitos, no puedo decirle qué valor tiene la garantía, no puedo decirle si la compañía de alojamiento es capaz de cumplir lo que promete, pero todo huele bastante malo.

Dado que ambos desarrollaron y hospedaron el sitio, yo diría que los hace responsables de cualquier compromiso del servicio que surja fuera de su organización de empleadores.

El hecho de que la seguridad del servicio no se haya abordado correctamente en el momento en que se acordó el diseño y el alojamiento es un fallo de su empleador.

Parece que este servicio está casi completamente a merced de la empresa de diseño web y no está bajo el control de sus empleadores. Hasta que alguien aborde este equilibrio de poder que continuará.

Mientras tanto, puede considerar la difícil situación de otras pequeñas empresas que reciben visitas de una organización privada que ofrece servicios de protección a cambio de dinero en efectivo y la naturaleza de esas organizaciones privadas. Tal vez $ 2000 compra algo de la mente?

    
respondido por el symcbean 07.11.2018 - 14:16
fuente
1

Veamos las reclamaciones un bye uno.

  • Ban IP involucrado en MITM:
    TLS detiene los ataques MITM. Cobrar $ 2,000 por eso es mucho, considerando que puede obtener un certificado gratis (por ejemplo, de Lets Encrypt). No está claro si hay algún valor que agreguen a eso.
  • Prohibición de IP involucrada en ataques DDOS:
    Podría ser valioso si es bueno. Pero puede obtener protección DDOS efectiva de Cloudflare de forma gratuita.
  • Ban IP involucrado en "etc":
    Ehm, me gustaría saber más detalles antes de pagar por esto. Podría ser genial, podría ser nada.
  • El 100% garantiza que ningún ataque puede pasar por alto su seguridad:
    No hay 100% de certeza en la vida. Esto es solo vender charla sin contenido.
  • El sitio web obtiene un bloqueo verde en la barra de URL:
    Igual que # 1.

No diría que es una "estafa", pero no suena como que obtienes mucho valor por tu dinero. La mayoría (¿todo?) De lo que ofrecen se puede adquirir de forma gratuita si dedicas tiempo y esfuerzo.

    
respondido por el Anders 07.11.2018 - 14:22
fuente

Lea otras preguntas en las etiquetas