Ma tahan palgata kedagi oma veebisaidi turvaauditit tegema, kuid ma pole kindel, kuidas sellega edasi minna. Kus on häid kohti audiitori otsimiseks? Mida peaksin audiitorist otsima lisaks saatekirjade loendile? Millised kvalifikatsioonid peaksid tal olema ja kuidas ma saan neid kontrollida?

  • 2 Selguse huvides, kas teil on vaja konkreetset tüüpi turbeauditit? Näiteks PCI-vastavus või midagi muud?
  • Otsin midagi üldist - olen üksikarendaja ja mul pole kedagi, kes minu koodi üle vaataks, kuid isegi kui ma seda teeksin, tahaksin ikkagi, et keegi, kes teab turvalisusest rohkem, paugutaks asju. Ma tean piisavalt (arvan), et ennetada SQLi süstimisrünnakuid, kuid ma ei tea, mille pärast ma veel muretsema pean. Keegi kuskil peab sellele kraamile spetsialiseeruma. Kes ta on, kuidas ma ta üles leian ja kuidas ma saan teada, kas ta on hea?

Ma soovitan teil hankida endale koopia Nessusest ja ise skaneerida. Alustuseks peaks see andma teile hea lähteülesande.

Miks? Kuna paljud kolmanda osapoole audiitorid hakkavad seda täpset tööriista käitama ega aita teid tulemuste tõlgendamisel.

Kui kasutate teatud Verisign-sertifikaate, lisab Symantec kulude osana mõne algtaseme haavatavuse skannimise. Mõnda neist teenustest võivad osutada ka teised pädevad asutused.

Kui teil on konkreetne nõue, näiteks PCI-vastavus, võite saada nimekirja volitatud skannimisteenuste pakkujatest, hoiatusega, et skannimistulemused ei pruugi tingimata kaasneda haavatavuse haldamise toega (kui te ei maksa lisatasu).

On olemas IT-turvasertifikaate väljastavaid ettevõtteid. Ma ei saa anda avaldust nende heakskiitmise või vajalike oskuste kohta.

Võib-olla näitab Google'i otsing "IT-turvasertifikaatide" kohta rohkem teavet või algust sügavamale DD-le.

Professionaalne pentester / audiitor peaks suutma teadmisi tõendada sellise tunnistuse, tõelise diplomi ja / või ametijuhenditega.

none: Charles Robertson | none