Аудит безопасности

День добрый, нужен совет от аудитории.

Дано:
Арендованый сервер (не VDS), ubuntu 14.x, mysql, node + node приложение.

Плюс апач обслуживает php+mysql сайт плюс через ProxyPass балансит запросы к node приложениям (три штуки на разных портах)

Везде https + cертификаты от LetsEncrypt

Плюс пара мобильных приложений которые ходят за REST API по https cквозь апач к вышеупомянутм node приложениям

Сервис эксплуатируется как продуктив больше года в небольшой аудитории.

Нужно:
Провести внешний (внутренний своими средствами уже сделали) аудит безопасности перед началом широкой промышленной эксплуатации.

Нашим програмистам и системщикам кажется, что все у нас уже хорошо b безопасно, но как известно с безопасностью лишним ничего не бывает.

Соответственно вопрос:
1. Посоветуйте специалистов (желательно опытных и лучше даже сертифицированных) которые могут за деньги сделать внешний аудит, дать рекомендации (если чего вылезет) что исправить/изменить?
2. Поделитесь историями — кто как поступает в таких случаях?

Update спецов лучше украинских и лучше из Киева.

Теми: безпека

Ctrl + Enter

Дима Куслий 27.10.2016 15:06

hackerone.com ))

Відповісти

Підтримати

Pavel Kryvko DevSecOps Engineer в EPAM 27.10.2016 11:48

Посоветуйте специалистов

спецов лучше украинских и лучше из Киева

berezhasecurity.com

Украинские, если я помню правильно из Киева.

Andrey Chigarkin Head of Information Security Division в lifecell 31.10.2016 10:44

dou.ua/users/volodymyr-styran — руки и мозг Бережи. Настоятельно рекомендую для получения качественного результата. За прямыми контактами в ЛС.

Pavel Kryvko

Andrey B DevOps в Ciklum 27.10.2016 03:06

Хороший, качественный security-аудит — попросту невозможен без тщательного погружения в логику анализируемой системы, и в специфику того, с чем именно система работает. К примеру, в случае eCommerce — речь будет про PCI-DSS аудит, но это совсем не означает, что та же процедура для какого-нибудь месенжера будет такой же, или похожей.

«Безопасность данных» — вообще понятие неоднозначное, как минимум три значения приходят в голову сразу:
— Безопасность от несанкционированного доступа (пример — пароли, личные сообщения, платежные данные);
— Безопасность от модификации (пример — нашумевшие публично доступные налоговые декларации онлайн);
— Безопасность как «сохранность», т.е от потери данных (бекап).

Это я все к чему.. Полагаю вам нужно не просто искать security-аудитора, а искать такого, что специализуется именно на вашей области.

Pavel Kryvko DevSecOps Engineer в EPAM 27.10.2016 11:46

В целом согласен, хотелось бы добавить что аудит мобильных приложений также необходим.

По поводу «Безопасность данных», не уверен что этот термин корректный, есть термин «Безопасность информационной системы», который на мое мнение подходит больше.

И небольшое дополнение, Вы назвали CIA: «Availability, Integrity, Confidentiality», также известна как «Holy Trinity of Information Security», в последнее время к этому еще добавляют «Authenticity» и «Non-repudiation».

Andrey B

anonymous 26.10.2016 21:27

Sergey Nosenko Founder and Software Developer in iPublisher UA 26.10.2016 21:37

О! Спасибо за ссылочки, а если не секрет, что по чем?

anonymous

anonymous 26.10.2016 21:42

Sergey Nosenko

Sergey Nosenko Founder and Software Developer in iPublisher UA 27.10.2016 02:00

По украинским меркам дорого. :( так что как говорил Семен Семенович — «Будем искать...»

Аудит безопасности

9 коментарів

Підписатись на коментарі

Новини