¿Qué consultores o herramientas de seguridad web recomendaría?

Depende de lo que estés buscando.
Esta es la lista de verificación que sugeriría (desde la parte superior de mi cabeza).

¿Qué tipo de amenaza me preocupa?

1. Vulnerabilidades basadas en código (SQLI, XSS, etc.)
2. Vulnerabilidades de la aplicación (vul. CMS, vuln de gestión de dominio, etc.)
3. Ataques volumétricos (capa 3-4 DDoS, inundaciones HTTP, etc.)
4. Bots maliciosos (spammers, scrapers, etc.)
5. DDoS “de gama alta” (bots similares a humanos que ejecutan ataques de Capa 7 dirigidos)
6. Robo de contraseñas (entorno multiusuario, ataques de fuerza bruta, etc.)
7. Puertas traseras (ya estabas comprometido antes …)
8. ¿Algo más?

¿Qué tipo de objetivo soy?

1. SMB (atacado principalmente a través de herramientas automatizadas, puede permitirse algún tiempo de inactividad)
2. Blog personal (herramientas automatizadas, spamers y rascadores son su principal preocupación)
3. Empresa (se dirigirá específicamente, no puede permitirse el tiempo de inactividad)
4. SaaS (se dirigirá específicamente, no puede permitirse el tiempo de inactividad)
5. ¿Algo más?

¿Qué recursos estoy tratando de proteger?

1. Sitio web
2. Servidores
3. Base de datos
4. ¿Algo más?

Hay otros factores a considerar, pero al responder estas preguntas, obtendrá una mejor idea del tipo de solución que necesitará. Esto también le facilitará evaluar su presupuesto y, finalmente, utilizarlo para elegir la opción más adecuada y rentable.

Dicho esto, y esta es, sin duda, mi opinión un tanto “parcial”, la búsqueda de lagunas de seguridad como estrategia es menos efectiva que tener una solución de seguridad que mitigue de manera proactiva las amenazas entrantes.

Por un lado, probablemente le costará menos (escanear y parchar es algo costoso y puede obtener un WAF en la nube por unas pocas docenas de dólares al mes).

Además, el escaneo solo revelará las vulnerabilidades actuales. Si está utilizando un CMS (o cualquier otra aplicación web) o si está editando su código y base de datos, con el tiempo se producirán nuevas lagunas.

Related Content

¿Por qué los hackers palestinos han derribado el sitio web Haaretz, cuando se sabe que es, de hecho, una de las fuentes de noticias más pro-palestinas en Israel?

¿Cómo funciona SSL?

¿Cómo puedo descifrar la contraseña de una computadora?

¿Qué información se ha publicado de Dropbox sobre el hack de su servicio en 2014-10-14?

Cómo hackear la contraseña de administrador desde una cuenta de invitado

La respuesta depende en gran medida de algunas cosas:
1. Tus necesidades exactas.
2. Sus recursos humanos disponibles y su conocimiento de la seguridad web.
3. Su presupuesto

En un informe reciente, Gartner recomendó que tanto las Pruebas de seguridad de aplicaciones estáticas (SAST) como las Pruebas de seguridad de aplicaciones dinámicas (DAST) se utilicen para proporcionar la máxima cobertura / protección para una aplicación web.

Hay pros / contras para cada método, por lo que la combinación de ambos produce los mejores resultados.

Puede encontrar las herramientas de mayor reputación en el sitio de OWASP: https://www.owasp.org/

Si está buscando herramientas como Fortify (Descargo de responsabilidad: promoción desvergonzada por delante), entonces definitivamente debe probar la solución de Checkmarx [DESCARGO DE RESPONSABILIDAD: trabajo para Checkmarx], que es una herramienta SAST fácil de usar, disponible tanto en la nube como “en las instalaciones “versiones.

Para obtener más información sobre Checkmarx y por qué Gartner nos seleccionó como Visionarios y Cool Vendors en Seguridad de aplicaciones, visite http://www.checkmarx.com/

Bikash Barai

Si está buscando un escáner de seguridad web automatizado], compruebe Enprobe.io [Enprobe cubre las vulnerabilidades de clase 10 de WASC y OWASP principales

Si busca profesionales y la seguridad de su sitio web es muy importante, elija un buen OSCP o un profesional que identifique errores en nombres importantes como Google, Dropbox, Yahoo! etc.

Cada tom dick y harry se llaman a sí mismos como probadores de penetración en estos días. Las pruebas de seguridad se convirtieron en una mercancía. Si puede usar bien algunas herramientas, se une a una empresa y puede realizar una WAPT. Prefiere personas con credibilidad y puede generar buenos informes.

Lo más importante que debe mirar en los consultores de seguridad web es su capacidad para corregir las vulnerabilidades identificadas. Es mejor averiguar un consultor que pueda arreglarlo también. De lo contrario, será demasiado costoso para su equipo de desarrollo pasar por todo el proceso de KT.

Consulte nuestros servicios en Entersoft, https://entersoft.co.in si está buscando expertos en seguridad ofensivos en tiempo real.

Mohan Gandhi

Siéntase libre de visitar mi sitio web, Bloom Cyber ​​Defense | Creciendo su seguridad

Bloom Cyber ​​Defense es un equipo de especialistas en seguridad de redes y redes web talentosos y experimentados dedicados a mantener su sitio web en funcionamiento de la manera más limpia y eficiente posible. Utilizando las últimas técnicas en el campo, podemos garantizar que la seguridad de su sitio esté un paso por delante de la competencia. No solo amamos la seguridad, la programación y la tecnología en general, también amamos la sensación de ayudar a otros a estar seguros. Hacemos lo que hacemos porque queremos hacer un Internet mejor, más seguro y más seguro para las familias, las empresas y el mundo en general.

Daniel A. Bloom

Creo que Bug Bounties puede ser una buena propuesta de valor por dinero.

Traté de responder esto en otra pregunta, es posible que desee echar un vistazo.
La respuesta de Akash Mahajan a ¿Qué compañía ofrece la mejor seguridad de aplicaciones web con un precio mínimo?

Daniel A. Bloom

Cyberoam es la mejor compañía de seguridad web que ofrece una amplia gama de ofertas de productos en la puerta de enlace de red. Cyberoam aprovecha la potencia de los procesadores multi-core, ofreciendo un rendimiento de nivel empresarial en sus dispositivos.

Daniel A. Bloom

Mi experiencia personal recomiendo CWatch, Sucuri, Wordfence, SiteGuarding

es muy seguro para el sitio web, lo he leído en Hackercombat

Mohan Gandhi

Puede visitar http://www.ivizsecurity.com/ . A diferencia de otros, iViZ ofrece “Garantía de cero falsos positivos” y “Pruebas de lógica de negocios”.

Igal Zeifman

Oye, mi inicio en la etapa inicial necesitaba una solución de seguridad de sitio web barata y no estaba lista para comprometer la calidad. Al hacer muchas encuestas, elegí Czar Securities, el precio era adecuado y la calidad de los servicios era muy buena. Espero que eso ayude.

Mohan Gandhi

Un programa de recompensas de errores 😉

Andrew Lewis

More Interesting

¿Es posible hackear aplicaciones de chat como LINE para que las personas puedan leer mis textos privados?

Si usted es un profesional de seguridad o probador de penetración, desde su punto de vista, ¿qué desea encontrar en un sitio web perfecto de seguridad de la información?

¿Qué es la explotación de software? ¿Cómo debería uno comenzar a aprenderlo?

¿Cómo podemos evitar que otras personas pirateen nuestra cuenta?

¿Cómo suben los hackers shell en el sitio del cliente?

¿Es realmente posible hackear la ID de Gmail de alguien?

¿Cómo hago una búsqueda inversa de DNS en una dirección IP?

¿Cuál es la historia de la 'piña wifi'? ¿Qué tan comunes son?

¿Qué lenguajes de programación se necesitan para la piratería ética?

¿Qué es la detección / captura de paquetes y cómo funciona?

¿Cuáles son algunas formas mundanas en que una persona podría violar la Ley de Abuso y Fraude Informático?

¿Cuál es realmente responsable del fiasco de Code Spaces: 1) una promesa excesiva de Code Spaces, 2) AWS o 3) un hack desalmado?

¿Qué es siph0n.net?

¿Alguna vez ha sido hackeado Google?

¿Cuáles son las aplicaciones de Android útiles pero menos conocidas que no se encuentran en Play Store?