• 投稿邮箱:admin@xssec.org 查看详情
  • 本站教程默认解压密码:666
  • 官方新浪微博:Porry呦
  •    7个月前 (07-06)  值得一看 |   4 条评论

    第三方要么是安全团队的最佳小伙伴,要么是最令人头痛的敌方小伙伴

    第三方小伙伴数目庞大类型众多,要鉴别出他们是否拥有合适的基础设施或安全协议很是令人头痛。而且,对第三方做强大的尽职调查有可能耗费大量时间和金钱。

    在黑客的眼中,第三方供应商就是个靶子?

    由于太多的公司企业依赖各种不同的供应商,第三方很有可能成为进入网络的门户。为减少由第三方带来的安全风险,企业需要设计出审查过程,理解服务水平协议(SLA)用语,对他们的合同进行最佳评估。

    没有哪家云服务提供商为安全拟定SLA的。正常运行时间,可见性这些倒是都有SLA,唯独安全没有。大多数提供商称自己为数据泄露设了某个响应时限,或者一旦发现此类漏洞会在一定时间内通知客户。

    但问题在于,安全是不可见的,只有出事了才会切实感受到。如果企业清楚一旦事情不对他们将会失去什么,他们就可以在问题形成前让安全更可感知。

    他们得对自身最有价值数据资产进行妥善处理。

    如果这些信息被泄露、被盗、被勒索,将会有什么后果?用户到底能访问哪些资源?他们可以拷贝或删除的是哪些东西?——弄清这些问题可以让企业清晰理解那些信息在公司内外的流向。应不应该信任第三方,是要拿出路线图来证明的。

    很多公司企业都想要向云端迁移,但对供应商将带给他们的东西,以及需要包含何种安全,却没有一个完整的认知。他们需要了解自己在向谁敞开访问大门,需要意识到管控这种访问的规则和制度。

    带来更大风险和提供更高保障的第三方之间有一条分界线,那就是第三方实现的防护措施和策略。

    有些防护措施可被称为是最低水平的。遵循风险管理框架提供了某种程度上的保障,比如达到了某种标准,有正确的策略,对人员进行培训等。他们有保护自身数据的意识的能力,也在此类控制上有某些认证或验证。

    真正引领风向的企业,是那些处于严格监管环境中的企业,但其他产业并没有那种要求对第三方强力监管的环境。因此,这些其他产业的企业便想要强调怎样信任他们的第三方提供商。

    而厂商,则想要突出自己作为值得信赖的行业领导者的地位。但是,如果安全一开始便没有嵌入进来,厂商真的注重设计可信系统吗?

    思科全球价值链首席安全官认为,从端到端的角度设计架构需要考虑很多方面。“我的价值链中有什么?”是一个能驱动设计与开发、计划、采购模式、品质、交付、可持续性和产品末期的问题。

    服务提供商需要以分层的模式思考,因为安全是一个过程,也是一种承诺。大多数产品都是多家云提供商组成的生态系统,采用几家到十几家其他公司来将功能整合推出。

    转向第三方厂商并不能改变企业可能会被非法取得网络控制权的外部人士操纵的风险。认识到来自工业和民族国家的恶意行为人所带来的风险能造成物理或数字崩坏乃至更深远的破坏,服务提供商们有责任充分优化并部署商业模式。

    一个清晰的架构要覆盖所有同类领域,包括安全域、监管安全、操作和资产管理安全、事件管理安全、服务管理安全、物流和存储安全、物理环境安全,以及人事安全。

    即使对已经以层次化和基于价值的方式思考的提供商而言,人事安全依然是较为薄弱的一环。很多雇员都是浑然不觉之中踏进了数据泄露地狱的,人为错误是绝大多数安全事件的根本原因。

    而涉及到某些服务的时候,公司数据有太多不同的方面由于根本不清楚有那么些数据的存在而没有被公司追踪。任何服务都有可能外包出去,那正是风险的来源之一。

    大部分时候,令人震惊的数据泄露都是由于疏于大意引起的。比如说,某家很多人都认为很安全的大银行,引入第三方安全新ATM网络的时候就出了篓子。中标供应商的一位承包商在不知情的情况下备份了他的整台笔记本电脑,导致他手里掌握的有关那家银行的所有保密信息都泄露了出去。

    服务供应商数量可达20000家的大型企业便遭遇到了信息跟踪的挑战。这不仅仅是供应链的问题。越来越多的服务以云的形式提供,越来越多的信息在企业边界之外,企业正在丧失自身信息存储的控制。

    对理解了这一点的人而言,拥抱所有这些新技术并继续勇敢外包是正确的做法,只是查验厂商资质,评估他们的安全情况,检查外流数据。这是云环境下安全项目中新增的一环。

    设计第三方厂商审核过程

    大多数大型提供商不会在自己合同中拟订数据泄露责任条款,但企业在做尽职审查挑选外部提供商时有必要问几个相当重要的问题。

    “你们还用到了其他哪些人?我的数据还会流向哪里?其他服务能达到我希望的安全标准吗?”不过,企业应该时刻关注的仍然是他们把哪些东西放到了云里。合同会转移风险,但未必提供安全。

    在第三方问题上没有什么万全之策,但企业有能力定义风险值,并作出相应的尽职调查。

    企业应该找寻的,是厂商安全实践的成熟度,但将自己的安全期许与厂商充分沟通也是企业的责任。合同里应有安全条款以备有据可循,毕竟恰当的控制没有良好沟通,安全期望水平未告知提供商的案例屡见不鲜。

     

     

    除特别注明外,本站所有文章均为新世纪安全社区原创,转载请注明出处来自http://www.xssec.org/639.html

    关于

    发表评论

    1. 不错不错,学习 :!:

      sysgod 2个月前 (12-11) [0] [0]
    2. :eek: 可怕

      刺心 7个月前 (07-06) [0] [0]
    
    切换注册

    登录

    忘记密码 ?

    您也可以使用第三方帐号快捷登录

    切换登录

    注册

    扫一扫二维码分享