我最近在评估一个新产品,该产品可以帮助企业评估第三方应用的安全性,以确保它们符合一定的安全标准。这样的产品有价值吗,还是说,坚持遵守政策和程序就足够了呢?
Michael Cobb:在过去几年里,企业IT基础设施的最大变化是开放内部网络资源到第三方应用。现在,可访问内部流程和检索及更新数据的应用数量正在快速增加,这让很多网络管理员工作量骤增,他们需要确保“共享和渐趋扩大的基础设施内企业资源”的安全性。最近的一些数据泄露事故都涉及第三方应用中的漏洞,这些漏洞允许攻击者在连接到目标受害者的网络和资源时访问数据。
在信息安全标准ISO 27001中,强调了确保第三方访问企业资源时不会破坏企业整体安全的重要性。第A.6.2章节则突出了保持企业信息的安全性,以及由外部各方访问、处理、通信或管理的信息处理设备的安全性,而第A.10.2中要求第三方服务交付管理“部署和维护符合第三方服务交付协议的适当水平的信息安全和服务交付”。
尽管其重要性显而易见,很多企业仍然未能适当地评估连接到内部网络资源的第三方应用。企业必须定义一个标准用于接受来自第三方应用的连接,且每个应用都应该遵守。缺乏资源或者对长期关系缺乏信心是企业不这样做的最常见的原因,而缺乏内部人才来全面评估应用风险是另一个原因。
与缺乏人力和资源的企业可实现的水平相比,采用基于云的扫描来测试漏洞的服务可能提供对漏洞的更为深入的审查。另外,企业外包高技能任务给专家符合成本效益,并带来更安全的应用,特别是当把程序集成到应用的开发生命周期时。
然而,专有代码和保密条款是企业不选择外包的原因之一。在这种情况下,企业遵守政策和程序就可以,只要企业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于:该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后,企业应该将基于整体企业风险的保证水平分配到每个第三方应用。这种保证水平决定了应用可以被接受之前所需的安全测试程度。
无论由谁来评估和批准可连接到企业内部资源的应用,对第三方应用产生的网络流量进行持续监控是发现和分析任何异常流量的关键。对于网络监控器生成的警报,企业必须要采取行动,据称,在对Target的POS终端系统的攻击期间,来自监控系统的警报被遗漏,这原本可以阻止攻击的发生。一次性证书或审查只能说明某个时间点的威胁状况,所以定期审核也很关键。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
使用SSL可以轻松解决云安全问题?
就人们经常谈论的一系列极为突出的云安全风险而言,有一种业已证明的技术为人们带来了福音,那便是SSL(Secure Sockets Layer)证书技术。
-
企业如何确保打印输出安全?
许多公司已经采取各种措施来减少数据丢失风险。但有一个领域往往被忽视,而且它也许就是其中最不安全的介质:打印输出。
-
秘密战争正进行:WAPI归来 蹭网卡引安全争议
“蹭网卡”这种不用付费就可以免费无线上网的产品,给电信运营商的无线城市计划带来了麻烦。无线城市计划以WIFI标准构造,7年前,这种标准就因安全漏洞……
-
PCI小组发布无线安全指南
为了符合PCI数据安全标准而需要在保护无线网络方面获得帮助的商家现在可以采用分步指南了。PCI安全标准理事会在上周四发布了无线安全指南……