當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

觀點(diǎn)：”被客戶“安全評(píng)估背后的那些血與淚

責(zé)任編輯：editor006 作者：Alpha_h4ck |來源：企業(yè)網(wǎng)D1Net 2017-01-14 19:52:51 本文摘自：黑客與極客

當(dāng)我們開始討論“信息安全”的時(shí)候，通常我們都會(huì)認(rèn)為采取更多的安全防護(hù)措施肯定會(huì)讓我們更加的安全，但這樣做真的對(duì)嗎？

我一直都不同意讓我們的客戶對(duì)我們進(jìn)行第三方評(píng)估。我曾經(jīng)也多次考慮過這個(gè)問題，但最終我還是堅(jiān)持原來的想法。接下來，我會(huì)告訴大家原因。

客戶不放心，總要對(duì)我們安全評(píng)估

我的團(tuán)隊(duì)用了20%的工作時(shí)間來進(jìn)行了安全問卷調(diào)查，重新審查了商業(yè)合同中與安全相關(guān)的內(nèi)容，及時(shí)響應(yīng)客戶所提交的漏洞信息，并在最短的時(shí)間內(nèi)想辦法解決這些安全和隱私問題……但是我們很郁悶地發(fā)現(xiàn)，很多客戶（包括潛在的客戶在內(nèi)）都希望利用自身資源或第三方機(jī)構(gòu)來對(duì)我們的應(yīng)用產(chǎn)品和基礎(chǔ)設(shè)施進(jìn)行安全審查。可事實(shí)上，他們一般都只是直接運(yùn)行Nessus、Qualys或Nmap來進(jìn)行檢查的…

盡管如此，但我仍然不同意他們這樣做。此時(shí)客戶心里肯定會(huì)想：你們有什么見不得人的？我憑什么相信你們？幫你們進(jìn)行免費(fèi)的安全評(píng)估還不好嗎？或者是，如果不給我們進(jìn)行安全評(píng)估的話，合作就不能進(jìn)行下去了之類的…

Clipboard Image.png

當(dāng)然了，我肯定有我的理由。首先，我們會(huì)定期對(duì)我們的應(yīng)用服務(wù)和基礎(chǔ)設(shè)施進(jìn)行內(nèi)部的安全審查，也會(huì)讓第三方機(jī)構(gòu)參與到外部安全審查的過程中，這是我們風(fēng)險(xiǎn)管控計(jì)劃的其中一部分。與我們合作的第三方安全機(jī)構(gòu)都是非常有信譽(yù)的公司，并且在進(jìn)行安全審查的過程中會(huì)嚴(yán)格遵守保密協(xié)議（NDA）。我們會(huì)在凌晨等客戶休息時(shí)間進(jìn)行安全評(píng)估和檢查，并且會(huì)在進(jìn)行檢查活動(dòng)之前將相關(guān)內(nèi)容告知其他部門，因?yàn)樵谶M(jìn)行安全審查的時(shí)候很可能會(huì)影響應(yīng)用服務(wù)的性能或?qū)е缕渌麊栴}出現(xiàn)。

”被評(píng)估“背后的尷尬

通常情況下，我們?cè)谂c其他公司進(jìn)行合作洽談的時(shí)候會(huì)給對(duì)方提供一份完整的安全報(bào)告，并在報(bào)告中詳細(xì)介紹我們基礎(chǔ)設(shè)施和應(yīng)用服務(wù)的安全狀況。除此之外，我們也會(huì)提供第三方權(quán)威安全機(jī)構(gòu)所給出的評(píng)估報(bào)告。一般情況下，我們的客戶都是非常滿意的。

但盡管如此，我仍然不得不一次又一次地向客戶作出解釋。根據(jù)我之前的從業(yè)經(jīng)歷，一旦允許第三方機(jī)構(gòu)進(jìn)行臨時(shí)性的外部安全審查，將會(huì)導(dǎo)致我們無法對(duì)一些不必要的安全事件進(jìn)行正確地響應(yīng)。你也知道，在進(jìn)行安全審查的過程中，會(huì)出現(xiàn)很多未經(jīng)授權(quán)的訪問嘗試和服務(wù)請(qǐng)求，而如果我們知道你要進(jìn)行測(cè)試，我們就會(huì)將這些訪問請(qǐng)求定性為“滲透測(cè)試”，但如果我們事先并不知情的話，我們只能將這些發(fā)起“非法”請(qǐng)求IP地址加入黑名單，并將事件情報(bào)提交給安全社區(qū)和執(zhí)法部門。此時(shí)，想必難堪的估計(jì)就是我們的客戶和那些第三方安全廠商了。

Clipboard Image.png

另一個(gè)問題就是，由于我們絕大多數(shù)的客戶都是一些小型企業(yè)，他們手中的資源非常有限，因此他們更傾向于聘請(qǐng)最便宜的安全公司來進(jìn)行第三方安全評(píng)估，而這些公司往往又缺乏經(jīng)驗(yàn)。我們沒有那么多時(shí)間去對(duì)這些第三方機(jī)構(gòu)進(jìn)行資格審查，尤其是那些海外公司，因?yàn)槌藭r(shí)間之外，資金的成本也是我們要考慮的問題。

在很多年以前，那時(shí)我還沒學(xué)會(huì)如何說“不”，我曾允許過一名客戶對(duì)我們的服務(wù)進(jìn)行第三方安全審查，后來我才發(fā)現(xiàn)這家所謂的第三方機(jī)構(gòu)其實(shí)已經(jīng)將安全掃描工作外包給第四方了。最終的結(jié)果就是我們的服務(wù)遭受了一次突然的DoS攻擊，而此次服務(wù)中斷也給我們帶來了不小的經(jīng)濟(jì)損失，因?yàn)榭蛻舾鶕?jù)服務(wù)條例起訴了我們。還有一次，有一名客戶在我們的系統(tǒng)中發(fā)現(xiàn)了一些非常敏感的安全問題，并且還將這些漏洞公布在了網(wǎng)絡(luò)上，這也給我們公司帶來的不小的麻煩。

我也經(jīng)常會(huì)對(duì)我們的客戶說：

“我們的服務(wù)和應(yīng)用需要處理你大量的敏感數(shù)據(jù)，例如財(cái)務(wù)信息、醫(yī)療保健數(shù)據(jù)、以及個(gè)人身份信息等等。我知道你和我們一樣，都想盡力去保證這些數(shù)據(jù)的安全，但如果我允許你自己來進(jìn)行安全測(cè)試的話，那么其他的客戶同樣有權(quán)這樣做。這也就意味我們必須開放部分服務(wù)接口，你真的想讓這樣的事情發(fā)生嗎？”

總結(jié)

也許你會(huì)認(rèn)為你的情況與我們有所不同，而你可能也會(huì)允許客戶對(duì)你的服務(wù)進(jìn)行第三方安全審查。但如果你真的打算這樣做的話，我希望你可以對(duì)你的客戶和第三方機(jī)構(gòu)進(jìn)行嚴(yán)苛的資格審核，并對(duì)他們進(jìn)行信用調(diào)查，然后做好準(zhǔn)備工作并與他們簽署相關(guān)的保密協(xié)議。除此之外，你也需要安排專門的技術(shù)人員來監(jiān)控整個(gè)安全審查工作。如果你無法做到上述這些，那么你很明顯就是在自找麻煩。

* 參考來源：csoonline，F(xiàn)B小編Alpha_h4ck編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

關(guān)鍵字：客戶 Nessus