@mr_molodoy

Как правильно провести аудит безопасности?

Добрый день.
Стал вопрос по проведению проверки безопасности ряда сайтов компании.
Возможно кто-то имел схожий опыт и может дать рекомендации о том как правильно выполнить данную работу (к кому можно обратиться, как найти исполнителя, как принимать работу и т.д.).
Как видим мы: Найти исполнителя (компания либо частное лицо) который выполнит анализ сайтов, предоставит отчет по аудиту (какие части веб-приложения проверил, на какого рода уязвимости / проблемы и т.д.) за фиксированную плату. В случае найденных критичных проблем с безопасностью дополнительное вознаграждение (размер которой определяет критичность найденной уязвимости).

В данном случае интересуют вопросы о том как правильно принять работу (по факту мы не можем как либо убедится о том что работа по представленному отчету действительно была проведена т.к. для этого сам необходимо выполниться данную проверку по всем пунктам самостоятельно чего хотим избежать?
Как определить (оговорить заранее) стоимость (размер доп. вознаграждения) за найденные уязвимости и как корректно их классифицировать.
  • Вопрос задан
  • 310 просмотров
Пригласить эксперта
Ответы на вопрос 1
Protos
@Protos
Начинаю изучать мир, пока это все.
Как принять работу правильно:
Наймите безопасников на время аудита/купите услугу SOC, настройте им отправку необходимых логов. Команда Blue получится будет видеть что делает команда Red и сможет подтвердить глубину и ширину атак.
Платят за общую работу по проверке всех согласованных векторов, не за конкретные уязвимости. Но если желаете, то лучше платить за каждый вектор выполнения задания, заданием может быть доступ к такой-то информации и какое-то действие с ней.
Хотите платить за конкретные уязвимости, воспользуйтесь багбаунти площадкой.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы