■ 鐵生

如何評(píng)估第三方應(yīng)用的安全性？

■ 鐵生

筆者最近在評(píng)估一個(gè)新產(chǎn)品，該產(chǎn)品可以幫助企業(yè)評(píng)估第三方應(yīng)用的安全性，以確保它們符合一定的安全標(biāo)準(zhǔn)。這樣的產(chǎn)品有價(jià)值嗎，還是說(shuō)，堅(jiān)持遵守政策和程序就足夠了呢？

Michael Cobb：在過(guò)去幾年里，企業(yè)IT基礎(chǔ)設(shè)施的最大變化是開放內(nèi)部網(wǎng)絡(luò)資源到第三方應(yīng)用?，F(xiàn)在，可訪問內(nèi)部流程和檢索及更新數(shù)據(jù)的應(yīng)用數(shù)量正在快速增加，這讓很多網(wǎng)絡(luò)管理員工作量驟增，他們需要確?！肮蚕砗蜐u趨擴(kuò)大的基礎(chǔ)設(shè)施內(nèi)企業(yè)資源”的安全性。最近的一些數(shù)據(jù)泄露事故都涉及第三方應(yīng)用中的漏洞，這些漏洞允許攻擊者在連接到目標(biāo)受害者的網(wǎng)絡(luò)和資源時(shí)訪問數(shù)據(jù)。

在信息安全標(biāo)準(zhǔn)ISO 27001中，強(qiáng)調(diào)了確保第三方訪問企業(yè)資源時(shí)不會(huì)破壞企業(yè)整體安全的重要性。第A.6.2章節(jié)則突出了保持企業(yè)信息的安全性，以及由外部各方訪問、處理、通信或管理的信息處理設(shè)備的安全性，而第A.10.2中要求第三方服務(wù)交付管理“部署和維護(hù)符合第三方服務(wù)交付協(xié)議的適當(dāng)水平的信息安全和服務(wù)交付”。

盡管其重要性顯而易見，很多企業(yè)仍然未能適當(dāng)?shù)卦u(píng)估連接到內(nèi)部網(wǎng)絡(luò)資源的第三方應(yīng)用。企業(yè)必須定義一個(gè)標(biāo)準(zhǔn)用于接受來(lái)自第三方應(yīng)用的連接，且每個(gè)應(yīng)用都應(yīng)該遵守。缺乏資源或者對(duì)長(zhǎng)期關(guān)系缺乏信心是企業(yè)不這樣做的最常見的原因，而缺乏內(nèi)部人才來(lái)全面評(píng)估應(yīng)用風(fēng)險(xiǎn)是另一個(gè)原因。

與缺乏人力和資源的企業(yè)可實(shí)現(xiàn)的水平相比，采用基于云的掃描來(lái)測(cè)試漏洞的服務(wù)可能提供對(duì)漏洞的更為深入的審查。另外，企業(yè)外包高技能任務(wù)給專家符合成本效益，并帶來(lái)更安全的應(yīng)用，特別是當(dāng)把程序集成到應(yīng)用的開發(fā)生命周期時(shí)。

然而，專有代碼和保密條款是企業(yè)不選擇外包的原因之一。在這種情況下，企業(yè)遵守政策和程序就可以，只要企業(yè)內(nèi)部有所需要的技能。企業(yè)擁有自己的安全團(tuán)隊(duì)來(lái)完成評(píng)估的優(yōu)勢(shì)在于：該團(tuán)隊(duì)已經(jīng)能夠很好地了解日常業(yè)務(wù)流程和相應(yīng)的法規(guī)要求以及了解企業(yè)的風(fēng)險(xiǎn)。在考慮了聲譽(yù)損害、經(jīng)濟(jì)損失、操作風(fēng)險(xiǎn)、敏感信息泄露、人身安全和法律違規(guī)行為等風(fēng)險(xiǎn)因素后，企業(yè)應(yīng)該將基于整體企業(yè)風(fēng)險(xiǎn)的保證水平分配到每個(gè)第三方應(yīng)用。這種保證水平?jīng)Q定了應(yīng)用可以被接受之前所需的安全測(cè)試程度。

無(wú)論由誰(shuí)來(lái)評(píng)估和批準(zhǔn)可連接到企業(yè)內(nèi)部資源的應(yīng)用，對(duì)第三方應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行持續(xù)監(jiān)控是發(fā)現(xiàn)和分析任何異常流量的關(guān)鍵。對(duì)于網(wǎng)絡(luò)監(jiān)控器生成的警報(bào)，企業(yè)必須要采取行動(dòng)，據(jù)稱，在對(duì)Target的POS終端系統(tǒng)的攻擊期間，來(lái)自監(jiān)控系統(tǒng)的警報(bào)被遺漏，這原本可以阻止攻擊的發(fā)生。一次性證書或?qū)彶橹荒苷f(shuō)明某個(gè)時(shí)間點(diǎn)的威脅狀況，所以定期審核也很關(guān)鍵。