Как правильно провести аудит безопасности?

Question

[mr_molodoy]

Добрый день.
Стал вопрос по проведению проверки безопасности ряда сайтов компании.
Возможно кто-то имел схожий опыт и может дать рекомендации о том как правильно выполнить данную работу (к кому можно обратиться, как найти исполнителя, как принимать работу и т.д.).
Как видим мы: Найти исполнителя (компания либо частное лицо) который выполнит анализ сайтов, предоставит отчет по аудиту (какие части веб-приложения проверил, на какого рода уязвимости / проблемы и т.д.) за фиксированную плату. В случае найденных критичных проблем с безопасностью дополнительное вознаграждение (размер которой определяет критичность найденной уязвимости).

В данном случае интересуют вопросы о том как правильно принять работу (по факту мы не можем как либо убедится о том что работа по представленному отчету действительно была проведена т.к. для этого сам необходимо выполниться данную проверку по всем пунктам самостоятельно чего хотим избежать?
Как определить (оговорить заранее) стоимость (размер доп. вознаграждения) за найденные уязвимости и как корректно их классифицировать.

Comments

[Dmitry Bay]

Условия работы у всех индивидуальны.

В любом случае, вы должны понимать, в каком стеке у вас работают сайты и приложения, и искать для аудита специалистов в этой области, причем хороших. Если в коде видны проблемы, то скорее всего он сразу укажет вам.

[acwartz]

аудит безопасности обычно сопровождается паникой того кто этот ресурс сопровождает и поддерживает, потому как видит либо поток ошибок либо дикую сетевую нагрузку которая вообще не характерна для нормального пользователя. Долбят всяким разным софтом который пытается пробить веб-формы и веб-запросы на вылет чтоб удостоверится работает эксплоит/инъекция, или нет. Естественно эти товарищи последними узнают что это аудит безопасности :)

[Ромзес Панагиотис]

Попробуйте сами просканировать каким-нибудь софтом из https://en.wikipedia.org/wiki/Vulnerability_scanner чтобы сверить с тем что те специалисты найдут.

[mr_molodoy]

acwartz, это не проблема. Мы аудит собираемся проводить по ссвоим сайтам, соответсвенное девопсы будут предупреждены.

Answer 1

[Дядька Серёжа]

Как принять работу правильно:
Наймите безопасников на время аудита/купите услугу SOC, настройте им отправку необходимых логов. Команда Blue получится будет видеть что делает команда Red и сможет подтвердить глубину и ширину атак.
Платят за общую работу по проверке всех согласованных векторов, не за конкретные уязвимости. Но если желаете, то лучше платить за каждый вектор выполнения задания, заданием может быть доступ к такой-то информации и какое-то действие с ней.
Хотите платить за конкретные уязвимости, воспользуйтесь багбаунти площадкой.

Comments

[Дядька Серёжа]

Буквально свежая запись https://youtu.be/JDPYRHLfKEA