Искам да наема някой, който да направи одит на сигурността на уебсайта ми, но не съм сигурен как да го направя. Къде има добри места за търсене на одитор? Освен списък с препоръки, какво трябва да търся при одитор? Какви квалификации трябва да има той и как мога да ги проверя?

  • 2 Само за да бъде ясно, има ли определен вид одит на сигурността, от който се нуждаете? Например за PCI съответствие или нещо друго?
  • Търся нещо общо - аз съм самостоятелен разработчик и нямам кой да преглежда кода ми, но дори и да го направих, все пак бих искал някой, който знае повече за сигурността, да блъска нещата. Знам достатъчно (мисля) за предотвратяване на SQL инжекционни атаки, но не знам за какво още трябва да се притеснявам. Някой някъде трябва да се специализира в тези неща. Кой е той, как да го намеря и как да разбера дали е добър?

Ще ви предложа да си вземете копие на nessus и сами да стартирате сканирането. Това трябва да ви даде добра изходна линия за начало.

Защо? Тъй като много одитори на трети страни ще пуснат точно този инструмент и по никакъв начин няма да ви помогнат с тълкуването на резултатите.

Ако използвате определени сертификати на Verisign, Symantec хвърля някакво сканиране за уязвимост като част от разходите. Други CA могат да предоставят и някои от тези услуги.

Ако имате конкретно изискване като PCI Compliance, можете да получите списък с упълномощени доставчици на сканиране с уговорката, че резултатите от сканирането не са задължително с поддръжка за управление на уязвимости (освен ако не плащате допълнително).

Има фирми за издаване на ИТ сертификати за сигурност. Не мога да дам изявление за приемането на тези или за необходимия набор от умения.

Може би търсенето в Google на „ИТ сертификати за сигурност“ разкрива повече информация или начало за по-задълбочена ДД.

Професионалният пентестър / одитор трябва да може да докаже знанията чрез такъв сертификат, истинска диплома и / или препоръки за работа.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?