Como CIO, CISO, CTO o Sys Admin, ¿usaría una plataforma de fuentes múltiples para las pruebas de penetración con el fin de mejorar sus problemas de seguridad?
LE: Entonces, la mayoría de ustedes bajaron de categoría y dijeron que está mal tener este tipo de plataforma. En cambio, Google, Facebook, PayPal y otras grandes empresas tienen un programa de recompensas de errores que funciona muy bien. Quien esta equivocado Ellos o ...?
Absolutamente no, puede ser una gran idea de alguna manera, pero si voy a realizarme una prueba de penetración, es de una compañía que firma un contrato que incluye un acuerdo de no divulgación, de lo contrario no tengo un recurso legal si las cosas van mal. Usar esto solo pintaría un gran "hack me, creo que puedo ser inseguro" en mis sitios.
Por lo que puedo ver en la descripción de los sitios web, realmente no se puede saber quién prueba su aplicación / servidor y qué tan buenos son para encontrar vulnerabilidades. Por lo tanto, no puede confiar en una declaración como "No se encontraron vulnerabilidades". Prefiero usar una empresa con una buena reputación. Una prueba gratuita que no encuentra ninguna vulnerabilidad realmente no ayuda. Incluso podría ser malo para usted al brindarle una falsa sensación de seguridad.
No puedo ver que esto sea aceptable para ninguno de mis clientes; sus reglas de administración de riesgos prohibirían este tipo de cosas.
Necesitaría ser revisado por cada probador, NDA individual, aprobación y aprobación para evitar el delito de mal uso de la computadora, etc.
¿Cómo validará el cliente la metodología de prueba?
Más que nada, requieren un proveedor con una reputación sólida y una cobertura de responsabilidad decente.
Creo que esta no es la mejor idea porque el proceso no se conoce ni está documentado, como la piratería por parte de las partes anónimas que tengo todos los días, y tengo muchas de ellas, y no puedo creer que alguien quiera aún más dinero para pagar. ser hackeado Recibí un informe de 100 páginas todos los días de todo tipo de hacks.
El truco es si le envío mi imagen de VM, si puede protegerla y enviarla de vuelta, no podrá hacerlo, ya que requeriría un producto específico y no tiene un producto, procedimiento o Cualquier cosa como esta y ofrece solo "pirateo", que es muy fácil de hacer, obviamente puedes piratear cualquier servidor LAMP y Windows y esto no es nada revelador, excepto la cantidad de daño que realmente puedes causar. Así que podría decir simplemente: "no tiene suficiente seguridad para no ser hackeado por la multitud".
Sería mucho mejor, si realmente utilizas algún tipo de proceso como SDL, que incluiría asegurar la aplicación, por lo que podría gastar £ 100 por mes por imagen de vm, y tendría que ser una viñeta. prueba que incluye autoaprendizaje y actualizaciones, y el entorno de prueba para piratería y pruebas de seguridad, con sincronización desde mi SVN, y que incluiría revisión de parches de terceros y pruebas DDoS, abuso de buzones, fuerza bruta, informe de rendimiento y estadísticas de pruebas de carga e incluiría Red, Sistema y Aplicación, además de DNS, LDAP y Correo y lo que sea específico.
No conozco ningún sitio web que haga algo como esto con estos métodos, pero "estos" métodos encajan en SDL en las dos o tres últimas etapas, por lo que para utilizarlo profesionalmente se requieren todas las etapas, documentadas e implementadas, lo que sería un problema muy complejo, quizás LAMP estándar y Windows estén bien para empezar.
También encaja con el gobierno: es posible que obtengas una misión que incluye piratear el poder nacional y la infraestructura nuclear, de esta forma podrías probar el NHS, pero no los bancos, y definitivamente deberías intentarlo con el ejército. Si puede hacerlo, puede tener sentido, porque para las empresas esto no es lo más útil, porque las empresas pueden hacer esto por sí mismas, lo que es más seguro y se aplica legalmente.
Lea otras preguntas en las etiquetas web-application attacks appsec penetration-test bug-bounty