Frage Lohnt es sich, einen Hacker zu engagieren, um Penetrationstests auf meinen Servern durchzuführen? [geschlossen]


Ich arbeite in einem kleinen IT-Unternehmen mit paranoiden Kunden, daher war Sicherheit für uns immer eine wichtige Überlegung. In der Vergangenheit haben wir bereits Penetrationstests von zwei unabhängigen, auf diesen Bereich spezialisierten Unternehmen beauftragt (Dionach und GSS). Wir haben auch einige automatisierte Penetrationstests mit Nessus durchgeführt.

Diese beiden Auditoren erhielten viele Insiderinformationen und fanden fast nichts * ...

Während es sich angenehm anfühlt, dass unser System vollkommen sicher ist (und es war sicher angenehm, diese Berichte unseren Kunden zu zeigen, wenn sie ihre Due-Diligence-Arbeit durchgeführt haben), fällt es mir schwer zu glauben, dass wir ein vollkommen sicheres System erreicht haben vor allem, wenn man bedenkt, dass wir keinen Sicherheitsspezialisten in unserem Unternehmen haben (Sicherheit war schon immer ein Problem, und wir sind völlig paranoid, was hilft, aber das ist so weit wie es geht!)

Wenn Hacker in Unternehmen eindringen können, die wahrscheinlich mindestens ein paar Leute beschäftigen, deren einzige Aufgabe darin besteht, sicherzustellen, dass ihre Daten privat bleiben, könnten sie sich sicher in unser kleines Unternehmen einarbeiten, oder?

Hat jemand Erfahrung in der Einstellung eines "ethischen Hackers"? Wie man einen findet? Wie viel würde es kosten?


* Die einzige Empfehlung, die sie uns gegeben haben, bestand darin, unsere Remote-Desktop-Protokolle auf zwei Windows-Servern zu aktualisieren, auf die sie nur zugreifen konnten, weil wir ihnen den richtigen Nicht-Standard-Port und ihre IP-Adressen auf die weiße Liste gesetzt hatten.


6
2018-06-21 04:51


Ursprung


Warum fällt es dir schwer, den Bericht von den Leuten zu akzeptieren, die du jetzt hast? Wenn Sie einen guten Bericht von einem "ethischen Hacker" haben, werden Sie das akzeptieren oder werden Sie sich nur sorgen, dass Sie "bessere" Hacker einstellen müssen? Es ist gut, dass Sie sich um dieses Zeug kümmern, aber Sie können manchmal ein wenig zu besorgt sein. - Rob Moir
eine Sache zu betrachten ist, dass nur weil youre klein nicht immer bedeutet, dass Sie ein leichtes Ziel sind. Aufgrund der Größe und des Umfangs der Infrastruktur von Sony ist es fast unmöglich, jedes öffentlich zugängliche System gepatcht und so sicher wie nötig mit der Menge an benutzerdefiniertem Code zu verwalten. Es wird mehr Wege in diese Unternehmen geben als ein kleines Unternehmen mit einem Webserver, der auf die Augäpfel gepatcht ist. - Sirex
Zum Thema für Security.stackexchange.com - Rory Alsop


Antworten:


Es ist gut, dass Sie über Sicherheit nachdenken, aber es gibt kein "sicheres System". Moderne Sicherheitspraxis beinhaltet die Isolierung von Servern, so dass Verletzungen eher verhindert als verhindert werden. Alle Webserver und andere fernzugängliche Server sollten in einer isolierten DMZ platziert werden, die nur eine begrenzte Teilmenge von Daten aufweist (d. H. - so wenig wie möglich, um die anstehende Aufgabe auszuführen).

Der beste Sicherheitsratschlag besteht darin, so zu agieren und zu planen, als wären Server mit remote zugänglichen Diensten bereits kompromittiert. Sichern Sie Ihre wichtigsten Assets für interne Daten, sodass nur die Personen mit einer Job-Rolle, auf die sie Zugriff haben, auf sie zugreifen können und sie nicht auf die Daten außerhalb der Site zugreifen oder sie auf einen USB-Stick herunterladen können .

Sicherheit ist eine Kosten-Nutzen-Gleichung. Es ist sehr kostspielig, sichere Systeme einzurichten, und Sie sollten nur zusätzliche Sicherheitsmaßnahmen hinzufügen, wenn sie benötigt werden. Die Einrichtung von Retina-Scannern, Mannfallen, Tastaturen und so weiter, um in Ihr Büro zu gelangen, wäre eine Verschwendung von Geld, es sei denn, es gibt etwas in dem man wirklich paranoid sein müsste. Geld für Sicherheit auszugeben, um Ihr "Gefühl" der Paranoia zu reduzieren, ist kein gutes Geld. Verbringen Sie es auf das Risiko, dass Sie gehackt werden und die Auswirkungen, wenn Sie es sind.

Machen Sie den Best-Effort-Kram mit Ihren Diensten: So wenig Ports wie möglich mit so wenig Services öffnen. Halte sie auf dem neuesten Stand. Folgen Sie Sicherheitsmailinglisten und Fehlerberichten über die Software, die Sie ausführen. Lesen Sie "Hardening" -Richtlinien für Webserver.

Im Allgemeinen ist es kosteneffizienter, sich auf die Isolierung und Erkennung dieser Prävention zu konzentrieren. IDS-Produkte oder Log-Analysatoren können hier sehr nützlich sein.


8
2018-06-21 06:28





Der Großteil meiner Arbeit ist für ein Unternehmen, das ein sehr hohes Sicherheitsniveau benötigt und über die nötigen Mittel verfügt, um dies zu erreichen. Als solche haben sie "weiße Hüte" und "schwarze Hüte", die ersten sind Mitarbeiter, die die Sicherheitssysteme in Grenzen entwerfen, implementieren und testen. Letztere sind externe Leute, die sind reformierte Cracker, einige mit Vorstrafen, sind fast alle maßgeblich an quelloffenen Quellcode-Projekten beteiligt. Die beiden Teams absolut noch nie miteinander kommunizieren und "Black Hats" Identitäten sind nur wenigen bekannt. Sie sind damit beauftragt, zu tun, was sie wollen, wann und wie sie wollen und gegen jede Seite, die das Unternehmen besitzt, ihre einzige Verantwortung ist es, das Unternehmen sofort zu informieren, wenn es Probleme gibt, idealerweise mit Lösungslösungen, falls verfügbar.

Ich weiß, das klingt extrem, aber es ist eine Politik / Taktik, die auf der ganzen Welt von Organisationen einer bestimmten Größe / Verantwortung verwendet wird und wenn Sie es sich leisten können, und wenn Sie sie finden können, schlage ich vor, dass Sie diesen Ansatz in Betracht ziehen.


6
2018-06-22 09:22



"Und wenn Sie es sich leisten können, und wenn Sie sie finden können, schlage ich vor, dass Sie diesen Ansatz stark berücksichtigen." Ich dachte, du würdest vorschlagen, das A-Team einzustellen, dann ... - Nick Downton
Ich habe mich gefragt, ob jemand das sehen würde;) - Chopper3


Ich denke, Sie wären erstaunt, wie schlecht manche "Sicherheitsspezialisten" sind. Schätze dich glücklich, dass du nicht durch Juwelen wie Juwelen in die Irre geführt worden bist

"Ihre Netzwerkports sind nicht offen, so dass wir Sie nicht scannen können, also müssen Sie die Server öffnen, damit wir scannen können"

oder

Sicherheitsassistenten: "Sie können sslv2 nicht unsicher verwenden" IT: "aber die einzigen Optionen sind SSL und Klartext" Sicherheit: "Zumindest Klartext hat keine Schwachstellen"

Wenn Sie zwei verschiedene Firmen haben, die Sie auditieren und beide denken, es geht Ihnen gut, würde ich noch kein drittes einstellen. Das einzige, was ich ändern würde, ist zu überlegen, ob Ihre Betriebssystem-Anbieter einen Sicherheits-Audit-Service haben.

Und mein persönlicher Favorit

Sicherheit: "Wir können nur die UNIX-Boxen scannen, keine der Windows-Boxen, die Sie uns mitgeteilt haben, antwortet auf jeden Port" IT: Ja, wir verwenden Domänenisolation, um den Zugriff auf nicht verbundene Domänensysteme zu verweigern Sicherheit: das ist nicht in den NIST-Richtlinien, du musst das deaktivieren, es ist nicht sicher "


4
2018-01-25 06:23





Als jemand, der viele Hundert Penetrationstests für Organisationen in Fortune und FTSE 100 sowie sehr kleine lokale Unternehmen durchgeführt hat, habe ich folgendes für Sie:

Im Großen und Ganzen machen Sie das Richtige, wenn es darum geht, bekannte externe Unternehmen zu nutzen, um zu sehen, wozu sie Zugang haben. Der geeignetste Weg dazu ist:

  • Verstehe deine Bedrohungen
  • Verstehen Sie Ihr Risikoprofil
  • Definieren Sie Ihre Steuerungsanforderungen - basierend auf Ihren paranoiden Clients usw.
  • Erstellen Sie technische Steuerelemente, um diese Anforderungen zu erfüllen
  • Verwenden Sie Penetrationstests, um die korrekte Implementierung von Steuerelementen zu bestätigen

Sie sollten planen, eine Vielzahl von Unternehmen zu verwenden oder sie zu drehen. Ich tendiere dazu, Leute dazu zu ermutigen, ein Panel von 4 oder mehr zu verwenden, da jedes seine räumliche und spezifische Erfahrung hat.

Sie werden nie sicher sein, aber Sie können sich "sicher genug" fühlen, basierend auf dem Risikoprofil, das Ihr Unternehmen akzeptieren möchte. Gehen Sie nicht davon aus, dass Sie, weil Sie klein sind, kein Ziel sind - die derzeitigen Organisationen für organisierte Kriminalität verkaufen Exploit-Methoden von erfolgreichen Hackern der großen Organisation nach unten, und wenn Sie im Internet sind, sind Sie ein Ziel, ob Sie es mögen oder nicht.

Verschiedene Fragen rüber Sicherheit.stackexchange.com Ich habe diese Frage behandelt, deshalb lohnt es sich, dort nachzusehen.


3
2018-06-22 09:05





Persönlich würde ich Gebrauchssoftware wie Nessus, die Sie erwähnt haben, und vielleicht Tripwire und notwendige Auditing-Systeme aufdecken, und jemand würde regelmäßig die Protokolle überprüfen oder ein Programm parsen und für Sie basierend auf besagten Protokollen alarmieren lassen. Ich denke mehr als wahrscheinlich, dass Sie auf die Einhaltung von Compliance-Standards stoßen werden, was nicht unbedingt eine gute Sicherheit bedeutet. Ich möchte mich weiterhin darauf konzentrieren, den Zugriff auf Ihre Systeme zu erkennen und zu überwachen. Ich würde jedoch darauf hinweisen, dass Sie nicht erwähnt haben, was Sie für Intrusion Prevention- oder Detection-Systeme tun.


1
2018-06-21 04:59



und um Ihre Frage direkter zu beantworten, müssten Sie wahrscheinlich zu einer Sicherheitsfirma oder einem unabhängigen Vertragspartner gehen. Ich habe keine Ahnung von den Kosten, aber bei dem Projekt geht es darum, zu testen, was Sie bereits haben, und es dann zu verbessern. - SpacemanSpiff
Dies ist eine der langlebigsten Lösungen, die bisher vorgeschlagen wurde: Nessus, Splunk und einige allgemeine "wierd behaviour" -Monitore wie Zenoss wenn richtig konfiguriert sind deine besten Freunde. Viele Leute gehen jedoch davon aus, dass sie "Drop-in" -Lösungen sind, was sie nicht sind. Es gibt einen sehr hohen Setup-Overhead und, wenn das erledigt ist, eine sehr hohe Sicherheitsausbeute. - Zac B


Ähm ... Es wurde schon gesagt, dass Sie wahrscheinlich alles Notwendige getan haben. Nochmal, wie paranoid brauchst du - wiederhole, NEED - zu sein?

Auf die Gefahr hin, zu einfach zu sein, wird die meiste Penetration erst erreicht, nachdem ein passendes Passwort gefunden wurde. Es ist eine Frage der kalten harten Tatsache, dass:

a) viele Passwörter sind zu einfach, nur benutzt, weil der Chef sagt, sie müssen. Das klassische Beispiel ist die IT-Problembehandlung mit dem Kennwort "test".

b) die meisten (aber nicht alle) Penetrationen umgehen nun die bewährte Bestechung / Erpressung und verwenden elektronische Methoden der Passwortakquise - aber Sie können nicht durchdrungen werden, bis das Passwort da ist.

Ich nehme an, dass Ihre Hardware penetrationsfest ist? Ein Computer, den ich kenne, wahrscheinlich auch andere, hat ein praktisches DIP-Switch-Rack, mit dem man das Login-Passwort UND das BIOS-Passwort deaktivieren kann ...

Persönlich würde ich davon ausgehen, dass ich früher oder später durchdrungen sein werde, also stelle ich sicher, dass ich jedes Eindringen erkennen und die Post-Penetration fortsetzen kann. Hast du gesichert?


1
2018-06-21 07:05



Guter Punkt zu: Backups. Angenommen, ein Kompromiss ist unvermeidlich und funktioniert von dort. - hellomynameisjoel
Ich denke, er will einige Angriffe wie Angriffsverweigerung, Angriff mit Gewalt, Angriff auf Domainnamen und so weiter testen. - Anarko_Bizounours
Tatsächlich sind die meisten Durchdringungen nicht durch Passwörter. Schauen Sie sich Verizons Datenrecherchebericht 2011 an - Rory Alsop
Aaahhh ... @Rory - Danke. Ich tat. Sehr interessant. (verizonbusiness.com/resources/reports/...). Ich zitiere: "Fehlende, schwache und gestohlene Anmeldeinformationen geraten außer Kontrolle.""... der kontinuierliche Anstieg des Zeus-Trojaners und anderer Malware-Varianten, die zur Erfassung der Anmeldedaten erstellt wurden ...""... finden wir, dass "die Ausnutzung von Standard oder erratbaren Credentials" in zwei Dritteln aller Intrusionen und Accounts für fast ein Drittel aller kompromittierten Datensätze vertreten ist."Ein Passwort ist nicht immer eine Zeichenfolge. - Gordon Edwards
Interessant @Gordon - ich denke wir kommen auf die Daten im DBIR zwei verschiedene Wege. Der Zugriff durch Zeus oder andere Malware hängt nicht wirklich vom Passwort ab (wie lange es auch ist, es wird vom Trojaner gepackt). Obwohl die Glaubwürdigkeit ein Teil davon ist, ist der Angriff hier auf Vektoren wie XSS und Der Großteil der gestohlenen Daten stammt von Malware, die Backdoors implementiert. - Rory Alsop


Brauchen Sie einen Hacker? Das glaube ich nicht. Außerdem, wie würden Sie herausfinden, welcher Hacker es wert ist, eingestellt zu werden? Seien wir ehrlich, das ist nicht die Art von ehrenwerten Menschen, auf die man sich verlassen kann, nur weil sie Ihnen sagen, wie großartig sie sind, heißt das nicht, dass sie wirklich gut sind.

Beginnen wir mit einer grundlegenden Prämisse: Es gibt kein öffentliches System, das nicht durchdrungen werden kann. Es gibt jedoch sehr viele Systeme, die allen außer dem hartnäckigsten und engagiertesten Angreifer standhalten.

Es geht nicht wirklich um absolute Sicherheit, es geht vielmehr um die Risiken und Ihre Fähigkeit, einen Angriff zu erkennen und sich davon zu erholen. Backups sind offensichtlich ein absolutes Muss. Es gibt regelmäßige Testwiederherstellungen, um diese Sicherungen zu überprüfen.

Ein IDS sollte Sie auf Hacking-Versuche hinweisen, obwohl Sie darauf achten müssen, dass jedes Internet-System mit einem Angriff rechnen kann, was dazu führt, dass es so viele Alarme gibt, dass Sie die überwiegende Mehrheit ignorieren und sich auf diejenigen konzentrieren können Außergewöhnlich, denn das ist es, was am ehesten auf jemanden hinweisen wird, der besser ist als der typische halb-brained-Script-Kiddy.

Ein Stolperdraht-System, das jede Form annehmen kann, die Sie wählen, trägt wesentlich dazu bei, einen Angriff zu erkennen. An diesem Punkt sollte das System abgebaut und analysiert werden, um festzustellen, wie der Angriff erfolgte, bevor das System von einem bekannten Gut wiederhergestellt wird Backup, ohne Versuch, nur das kompromittierte System zu reparieren, da dies eine Lektion in Vergeblichkeit ist.


1
2018-06-21 08:14



Hacker! = schlechter Typ. Für meine Sicherheitsteams habe ich Leute mit einer Hacker-Mentalität eingestellt oder genehmigt, da sie Problemlöser sind. - Rory Alsop
@Rory, Hacker ist nicht immer gleich Bösewicht, aber die Realität ist, dass diejenigen, die es wert sind für Penetrationstests am häufigsten sind. - John Gardeniers


Alle oben genannten Antworten sind wirklich großartig und mit vielen Dingen gibt es keinen wirklich endgültigen Weg, um dieses Ja oder Nein zu beantworten.

Ich arbeite mit Kleinunternehmen zusammen, um ihre Umgebung zu schützen, und generell kann ein "Schwachstellen-Assessment" oder ein direkter Eindringungstest nicht viele Informationen liefern, die Sie selbst nicht oder wahrscheinlich nicht selbst erhalten haben. Scanner sind ein guter Ausgangspunkt. Aber wenn alles nur auf den Scan-Ergebnissen basiert, würde ich sagen, dass Sie definitiv nicht auf Ihre Kosten kommen.

Wenn Sie eine externe Firma beauftragen, um Ihre PenTest / Audit / Assessment oder was auch immer Sie es nennen möchten, sollten Sie Leute einstellen, die mehr als nur $ scanner tun können. Sie sind nicht narrensicher und aus meiner Erfahrung gibt es viele falsche Positive, die einen Menschen richtig interpretieren.

Meiner Meinung nach wird der Black-Box-Stil-Pentest, den viele Unternehmen verwenden möchten, nicht viele Informationen offen legen, die Sie wollen. Nehmen wir zum Beispiel an, dass ein Angreifer mit allen Mitteln in Ihr Netzwerk eindringt. Können sie Steuerelemente umgehen, um anderswo zu schwenken? Was passiert, wenn ein Angreifer Zugriff auf einen Kundendienstcomputer oder den Computer eines Auftragnehmers erhält? Können sie sich in andere Bereiche des Unternehmens bewegen? Wenn ja, was können sie sehen? Können sie zu Backups gelangen? Produktionsdaten? Buchhaltungsinformationen?

Und wenn Social Engineering nicht Teil des Engagements ist, dann hinterlassen Sie ein riesiges Loch in der Bedrohungszone der Unternehmen.

Wenn Sie für ein kleines IT-Unternehmen arbeiten, kann es schwierig sein, Budgets für ein externes Audit bereitzustellen, vor allem, wenn keine Compliance in der Branche vorliegt, die ein jährliches Audit erfordert.

Denke über die folgenden Dinge nach

  • Wie erkennen wir bösartige Aktivitäten in unserem Unternehmen?
  • Würden wir wissen, ob jemand Tools gegen unsere Server ausführt? Webseiten?
  • Halten die Mitarbeiter Klartextpasswörter auf ihren Computern? (wahrscheinlich viel häufiger, als Sie vielleicht denken).
  • Können wir prüfen, was die Mitarbeiter in unserem Netzwerk tun?
  • Wenn wir einen Server komplett löschen müssen, wie schnell können wir ihn ersetzen?

Dies sind nur ein paar Dinge von meinem Kopf, aber offen auf diese Gegenstände und wenn Sie diese nicht beantworten können, verbringen Sie die Zeit herauszufinden, was Sie tun können. Es wird besser ausgegeben werden.

Sie sollten dies vom Standpunkt aus betrachten, dass ein Angreifer in Ihr Netzwerk eindringen kann. Was machst du dann? Wie mindern Sie diese Bedrohung und reduzieren Sie die Auswirkungen? Wie wirst du es überhaupt wissen?


1
2017-07-12 17:01





Einige Überlegungen:

Erstens, was ist das Ziel, das Sie erreichen möchten? Die verschiedenen Sicherheitsdienste wie Penetrationstests, Schwachstellenbewertungen und "ethische Hacker" kaufen nicht einfach nur mehr Sicherheit. Du musst ein Ziel vor Augen haben; Das grundlegende Ziel dieser Art von Ausgaben besteht darin, Sicherheitslücken in Software, Netzwerken, Prozessen und Verfahren zu entdecken. Das ist wichtig: Damit ein Audit, eine Bewertung oder ein Test Ihre Sicherheit verbessern können, müssen Sie dies tun etwas tun über die Ergebnisse. Das bedeutet fast immer, dass Sie mehr Geld ausgeben müssen, egal ob es sich um Software, Personal oder Versicherungen handelt. Sie sollten jemanden in Ihrem Team haben, dessen Verantwortung die Sicherheit ist; Sie sollten die technischen Möglichkeiten haben, bei Sicherheitsanbietern Bullshit nach Bedarf aufzurufen, und die Integrität, um Sicherheitslücken zu verfolgen und für Sicherheitsverbesserungen in allen Bereichen Ihres Unternehmens einzutreten.

Zweitens, und eng verwandt, zahlen Sie nicht für Informationen, die Sie bereits haben. Wenn Sie wissen, dass Sie ein bestimmtes Sicherheitsproblem haben, bezahlen Sie keinen "ethischen Hacker", um es wieder zu entdecken. Gib dieses Geld aus, um das Problem zu beheben. Wenn der Test trotzdem vorgeschrieben ist, seien Sie ehrlich zu Ihren bekannten Schwachstellen. Ein guter Tester wird in der Lage sein, seine Bewertung auf unbekannte Bereiche abzustimmen, um Ihre Investition zu maximieren. Erwägen Sie, zwischen Bewertungsarten zu wechseln, um die Abdeckung zu maximieren. Führen Sie einen externen Black Box Penetrationstest durch, dann einen internen Test, der einen verärgerten Mitarbeiter simuliert, dann einen gezielten Weiß- / Gray-Box-Test Ihrer kritischsten Systeme usw.

Drittens, investieren Sie die meiste Zeit und Mühe in den Test Vor es passiert. Recherchieren Sie den Sicherheitsdienstleister, einschließlich der Überprüfung von Referenzen und nicht nur von Zertifizierungen. Da sind viele Betrügereien und schlampige Arbeiter da draußen. Fragen Sie nach Beispielen für ihre Berichte. Wenn es sich nicht um verwertbare Informationen handelt, warum sollten Sie dafür bezahlen? Fragen Sie nach ihrer Testmethodik. Wenn sie sich zurückziehen, Kaution. Wenn sie keinen wiederholbaren Prozess haben, können Sie sich nicht auf einen gründlichen Test verlassen. Ein Schwachstellen-Scan mit Nessus oder Retina ist kein Penetrationstest; zahlen keine Premium-Preise für billige Dienste. Sich stark in die Verhandlung des Testumfangs einmischen. Je mehr Sie die Hände des Testteams befreien, desto bessere und realistischere Ergebnisse erhalten Sie.

Viertens, achten Sie bei Penetrationstests darauf, dass Sie für einen Test bezahlen, der eine realistische Bedrohung nachahmt. Dan Guido von Spur der Bits hat exzellente Forschung zu nachrichtendienstlicher Verteidigung betrieben - Sie kennen die Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, und optimieren Ihre Abwehrmechanismen für sie, statt blindlings Geld für das auszugeben, was alle anderen tun. Überprüfen Sie ihre Papiere auf der Exploit Intelligence Project und Angreifer Math. Es ist einfach genug, dass Sie selbst eine vorläufige Analyse durchführen können, um dann die Behauptungen von Teams zu überprüfen, die versuchen, Ihnen ihre Dienste zu verkaufen. Trail of Bits bietet sogar Beratung in diesem und anderen Bereichen. (Ich bin in keiner Weise mit Trail of Bits verbunden)

Schließlich, kaufen Sie nicht den Hype über das Wort "Hacker", besonders mit dem "ethischen" Teil beigefügt. Es gibt Zertifizierungen, die auf ein gewisses Maß an Fähigkeiten hinweisen, aber die Meinungen in der Branche sind sehr unterschiedlich. Lassen Sie "ethisch" durch das Verhalten und die Referenzen einer Person demonstrieren, nicht durch eine Zertifizierung. Eine Person muss NICHT "reformiert" werden, um Fähigkeiten zu haben; Machen Sie niemanden in diesem Bereich von kriminellen oder anderen Hintergrundschecks frei, an denen Sie Ihre regulären Mitarbeiter festhalten würden. Sicherheitstests sind nicht "magisch" und schlechte Arbeitsgewohnheiten sind keine "Exzentrizität", die mit dem Territorium einhergeht. Sie haben das Recht, die höchste ethische Verantwortung und Integrität Ihrer Sicherheitstester als jede andere Position, wenn nicht mehr zu erwarten.


0
2017-10-15 19:20