Лучшая безопасность / Фирмы по Тестированию Уязвимости? [закрытый]

Я определенно пошел бы для: http://www.sectheory.com/ парень, который регулярно ведет блог на безопасности в Интернете в: http://ha.ckers.org/blog/

Я не могу сказать Вам, какая компания является лучшей, но я могу упомянуть класс сервисов/компаний, которые довольно популярны, которому я верю, должен избежаться. Эти компании запускают простые скрипты (вероятно, просто NMAP) против подчиненного IP и собирают поверхностную информацию для создания отчетов о возможных уязвимостях. Одна популярная фирма в этой категории является В безопасности Хакером "Предупреждения Сканирования".

В прошлом году я записал сообщение о своем опыте с этой конкретной компанией: Действительно ли Ваш Хакер Сайта В безопасности?

Проблема с Предупреждением Сканирования, McAffee, и т.д., состоит в том, что они просто сканируют сайт для строк версии и известных уязвимостей. Никакое отношение не дано тому, что некоторые сервисы, как Red Hat Enterprise Linux, бэкпортируют исправления безопасности при сохранении идентификатора предыдущей версии. Хуже, фактическое обнаружение живых уязвимостей не предпринято, таким образом, фактические уязвимости системы обеспечения безопасности остаются необнаруженными, в то время как ложные положительные стороны отвлекают внимание.

Если я действительно должен был знать, сохраню ли мое приложение или система, где уязвимый для нападения я услуги уважаемого консультанта по тестированию на возможность проникновения. Я не доверял бы автоматизированному тестированию, но фактическим экспертам, которые попытаются использовать любую уязвимость, которую может иметь мое приложение/система.

S21Sec является очень специализированным дилером ценных бумаг, который содержит многие важные учреждения и фирмы как клиенты.

Надежный, создатели самого известного Инструмента ВА Nessus, имеют обучение и курсы сертификации, которые могут также быть полезными. Тем не менее, я не знаю, предлагают ли они сами службы безопасности.

Покрывало, компания, основанная известным криптоаналитиком, который Bruce Schneier и теперь часть BT Group, предлагают виду сервисов, которые Вы ищете также.

Я не знаком с компаниями, которые предоставляют такие услуги. Мы используем центр безопасности приложений HP. Это - автоматический инструмент тестирования для проверки Вашей безопасности приложений в аспектах, которые Вы упомянули.

Отказ от ответственности: Я работаю на программное обеспечение HP.

В настоящее время я буду рекомендовать только две фирмы: Гуннар Петерсон из Artec и Ниш Бхалла из Компас безопасности .

Во-первых, вы должны понять, что у вас есть несколько различных типов вариантов: в зависимости от вашего бюджета и реальных потребностей в безопасности вы можете (достаточно) получить инструмент автоматического веб-сканирования - много таких там. Но учтите, что это НЕ здорово, вы можете ожидать до 30-40% обнаруженных уязвимостей, с другой стороны, это помогает убрать низко висящие плоды, на которые будут прыгать scriptkiddies и тому подобное.

С другой стороны, возможно, вам нужно не просто тестирование на проникновение, а более всесторонний аудит безопасности, включая анализ дизайна, анализ кода, рекомендации и т. Д. Ответ на этот вопрос обычно будет отличаться от вашего исходного вопроса, который казалось направленным на пентестинг. Если они вам нужны, дайте мне знать, и я тоже могу помочь. Кроме того, ваши конкретные потребности - не только то, какая безопасность вам нужна, но и какие технологии у вас есть. Некоторые лучше справляются с некоторыми вещами, чем другие. В любом случае, вам не нужно конкретное имя, вы должны спрашивать критерии.

Опять же, в зависимости от вашего региона существует множество местных фирм типа «бутик», но важно получить рекомендации по ним от клиентов, которые понимают безопасность . В этом запутанном поле слишком много тех, кто просто скармливает своим неосведомленным клиентам какую-то странную информацию, и они никогда не узнают лучшего до того дня, когда их взломают с помощью тривиального эксплойта scriptkiddies.