我最近在評估一個新產品,該產品可以幫助企業評估第三方應用的安全性,以確保它們符合一定的安全標準。這樣的產品有價值嗎,還是說,堅持遵守政策和程序就足夠了呢?
Michael Cobb:在過去幾年里,企業IT基礎設施的最大變化是開放內部網絡資源到第三方應用。現在,可訪問內部流程和檢索及更新數據的應用數量正在快速增加,這讓很多網絡管理員工作量驟增,他們需要確保“共享和漸趨擴大的基礎設施內企業資源”的安全性。最近的一些數據泄露事故都涉及第三方應用中的漏洞,這些漏洞允許攻擊者在連接到目標受害者的網絡和資源時訪問數據。
在信息安全標準ISO 27001中,強調了確保第三方訪問企業資源時不會破壞企業整體安全的重要性。第A.6.2章節則突出了保持企業信息的安全性,以及由外部各方訪問、處理、通信或管理的信息處理設備的安全性,而第A.10.2中要求第三方服務交付管理“部署和維護符合第三方服務交付協議的適當水平的信息安全和服務交付”。
盡管其重要性顯而易見,很多企業仍然未能適當地評估連接到內部網絡資源的第三方應用。企業必須定義一個標準用于接受來自第三方應用的連接,且每個應用都應該遵守。缺乏資源或者對長期關系缺乏信心是企業不這樣做的最常見的原因,而缺乏內部人才來全面評估應用風險是另一個原因。
與缺乏人力和資源的企業可實現的水平相比,采用基于云的掃描來測試漏洞的服務可能提供對漏洞的更為深入的審查。另外,企業外包高技能任務給專家符合成本效益,并帶來更安全的應用,特別是當把程序集成到應用的開發生命周期時。
然而,專有代碼和保密條款是企業不選擇外包的原因之一。在這種情況下,企業遵守政策和程序就可以,只要企業內部有所需要的技能。企業擁有自己的安全團隊來完成評估的優勢在于:該團隊已經能夠很好地了解日常業務流程和相應的法規要求以及了解企業的風險。在考慮了聲譽損害、經濟損失、操作風險、敏感信息泄露、人身安全和法律違規行為等風險因素后,企業應該將基于整體企業風險的保證水平分配到每個第三方應用。這種保證水平決定了應用可以被接受之前所需的安全測試程度。
無論由誰來評估和批準可連接到企業內部資源的應用,對第三方應用產生的網絡流量進行持續監控是發現和分析任何異常流量的關鍵。對于網絡監控器生成的警報,企業必須要采取行動,據稱,在對Target的POS終端系統的攻擊期間,來自監控系統的警報被遺漏,這原本可以阻止攻擊的發生。一次性證書或審查只能說明某個時間點的威脅狀況,所以定期審核也很關鍵。
京公網安備 11010502049343號