隨著安全問題的愈演愈烈,IT領域也產生翻天覆地的變化,在過去幾年里,企業IT基礎設施的最大變化是開放內部網絡資源到第三方應用。
現在,可訪問內部流程和檢索及更新數據的應用數量正在快速增加,這讓很多網絡管理員工作量驟增,他們需要確保“共享和漸趨擴大的基礎設施內企業資源”的安全性。最近的一些數據泄露事故都涉及第三方應用中的漏洞,這些漏洞允許攻擊者在連接到目標受害者的網絡和資源時訪問數據。
在信息安全標準ISO 27001中,強調了確保第三方訪問企業資源時不會破壞企業整體安全的重要性。盡管其重要性顯而易見,很多企業仍然未能適當地評估連接到內部網絡資源的第三方應用。企業必須定義一個標準用于接受來自第三方應用的連接,且每個應用都應該遵守。缺乏資源或者對長期關系缺乏信心是企業不這樣做的最常見的原因,而缺乏內部人才來全面評估應用風險是另一個原因。
與缺乏人力和資源的企業可實現的水平相比,采用基于云的掃描來測試漏洞的服務可能提供對漏洞的更為深入的審查。另外,企業外包高技能任務給專家符合成本效益,并帶來更安全的應用,特別是當把程序集成到應用的開發生命周期時。
然而,專有代碼和保密條款是企業不選擇外包的原因之一。在這種情況下,企業遵守政策和程序就可以,只要企業內部有所需要的技能。企業擁有自己的安全團隊來完成評估的優勢在于:該團隊已經能夠很好地了解日常業務流程和相應的法規要求以及了解企業的風險。在考慮了聲譽損害、經濟損失、操作風險、敏感信息泄露、人身安全和法律違規行為等風險因素后,企業應該將基于整體企業風險的保證水平分配到每個第三方應用。這種保證水平決定了應用可以被接受之前所需的安全測試程度。
D1Net評論:
然而,無論由誰來評估和批準可連接到企業內部資源的應用,對第三方應用產生的網絡流量進行持續監控是發現和分析任何異常流量的關鍵。對于網絡監控器生成的警報,企業必須要采取行動。
京公網安備 11010502049343號