Dada la mala prensa en las violaciones de datos, mi empresa está buscando opciones de prueba de lápiz. Examinamos la guía de prueba de lápiz , pero ¿qué más puede sugerir para que no seamos hackeados? ?
Dada la mala prensa en las violaciones de datos, mi empresa está buscando opciones de prueba de lápiz. Examinamos la guía de prueba de lápiz , pero ¿qué más puede sugerir para que no seamos hackeados? ?
Sí, aunque el PTES (mencionado por la respuesta de Soufiane) está totalmente desactualizado, de alguna manera sigue siendo uno de los mejores estándares en referencia.
Aquí hay una guía técnica de utilizando Metasploit de acuerdo con el PTES .
Lo que sería extraordinario es si un cliente puede ver el progreso de las pruebas, ya sea con acceso en vivo a algo como LAIR-framework, o como un video de difusión. Mi portal favorito de consolidación y gestión de vulnerabilidades es el marco LAIR, pero también disfruto de Dradis Pro. Otra lista podría contener: Cisco Kvasir, Serpico, CheckSec Canopy, Faraday, etc. Algunos de ellos son incluidos en Kali Linux - - MagicTree, KeepNote, sparta y Dracnmap. Algunas personas ponen datos de vulnerabilidad en Splunk o ElasticSearch (vFeed recomienda esto). Una solución muy costosa pero con todas las funciones es Core Vulnerability Insight de Core Security. Salesforce proporciona VulnReport.io . Incluso Shodan ofrece un geográfico (vista de mapa del mundo) de datos de vulnerabilidad consolidados: enlace
Si está buscando información sobre lo que debe esperar antes de las pruebas, consulte este recurso en SANS - enlace
Si desea saber qué informes tienen el resultado de una prueba de lápiz, consulte: enlace
Lo primero que debe hacer es asegurarse de que el equipo de desarrollo entienda cómo codificar utilizando los principios de desarrollo seguro y las mejores prácticas. Hay muchos recursos excelentes en línea que pueden aprovecharse para ayudar a apoyar y capacitar a su equipo. Por ejemplo, academia en línea OWASP .
La integración de las pruebas de seguridad debe integrarse en el ciclo de vida del desarrollo. Existen herramientas que le permitirán escanear automáticamente su aplicación, aunque el escaneo automático no detectará todo, ayudará a atrapar la fruta que cuelga. Por ejemplo, puede haber evitado el hack de TalkTalk que fue el resultado de la inyección de SQL .
Hay varias herramientas que puede usar para esto, incluidos los servicios de suscripción basados en la nube que escanearán su aplicación desde Internet, la versión Pro del proxy Burp y el código libre y abierto OWASP ZAP . Esta es una guía sobre cómo configurar ZAP con Jenkins.
Al usar este método, los agujeros de seguridad se pueden descubrir y arreglar como parte estándar del proceso de desarrollo, en teoría, esto debería significar que un producto final más difícil conlleva un riesgo menos . / p>
Esto se debe usar como una adición a las pruebas de penetración de terceros, lo que debe ser realizado por una tercera parte acreditada, conocida por llevar a cabo pruebas de alcance exhaustivas. Los evaluadores externos aportarán nuevas miradas al proyecto, una experiencia de seguridad dedicada y evitarán los problemas inherentes a "marcar su propia tarea".
Según mi experiencia, si los escáneres automáticos han alcanzado el punto de partida, los evaluadores de penetración deben trabajar un poco más para encontrar algo "bueno" sobre el que informar. También deben poder producir informes que puedan usarse para informar problemas de manera clara.
Este último punto es crítico, cualquier problema que se descubra debe tener un proceso alrededor de ellos para garantizar que se solucionen dentro de un período de tiempo razonable, no tiene sentido simplemente saber acerca de las vulnerabilidades si no tiene un plan para solucionarlos. Qué Equifax (y todos sus clientes sujetos de datos) descubrió su costo último año.
Lea otras preguntas en las etiquetas web-application penetration-test vulnerability-scanners