■ 鐵生

如何評估第三方應(yīng)用的安全性？

■ 鐵生

筆者最近在評估一個新產(chǎn)品，該產(chǎn)品可以幫助企業(yè)評估第三方應(yīng)用的安全性，以確保它們符合一定的安全標(biāo)準(zhǔn)。這樣的產(chǎn)品有價值嗎，還是說，堅持遵守政策和程序就足夠了呢？

Michael Cobb：在過去幾年里，企業(yè)IT基礎(chǔ)設(shè)施的最大變化是開放內(nèi)部網(wǎng)絡(luò)資源到第三方應(yīng)用?，F(xiàn)在，可訪問內(nèi)部流程和檢索及更新數(shù)據(jù)的應(yīng)用數(shù)量正在快速增加，這讓很多網(wǎng)絡(luò)管理員工作量驟增，他們需要確?！肮蚕砗蜐u趨擴大的基礎(chǔ)設(shè)施內(nèi)企業(yè)資源”的安全性。最近的一些數(shù)據(jù)泄露事故都涉及第三方應(yīng)用中的漏洞，這些漏洞允許攻擊者在連接到目標(biāo)受害者的網(wǎng)絡(luò)和資源時訪問數(shù)據(jù)。

在信息安全標(biāo)準(zhǔn)ISO 27001中，強調(diào)了確保第三方訪問企業(yè)資源時不會破壞企業(yè)整體安全的重要性。第A.6.2章節(jié)則突出了保持企業(yè)信息的安全性，以及由外部各方訪問、處理、通信或管理的信息處理設(shè)備的安全性，而第A.10.2中要求第三方服務(wù)交付管理“部署和維護符合第三方服務(wù)交付協(xié)議的適當(dāng)水平的信息安全和服務(wù)交付”。

盡管其重要性顯而易見，很多企業(yè)仍然未能適當(dāng)?shù)卦u估連接到內(nèi)部網(wǎng)絡(luò)資源的第三方應(yīng)用。企業(yè)必須定義一個標(biāo)準(zhǔn)用于接受來自第三方應(yīng)用的連接，且每個應(yīng)用都應(yīng)該遵守。缺乏資源或者對長期關(guān)系缺乏信心是企業(yè)不這樣做的最常見的原因，而缺乏內(nèi)部人才來全面評估應(yīng)用風(fēng)險是另一個原因。

與缺乏人力和資源的企業(yè)可實現(xiàn)的水平相比，采用基于云的掃描來測試漏洞的服務(wù)可能提供對漏洞的更為深入的審查。另外，企業(yè)外包高技能任務(wù)給專家符合成本效益，并帶來更安全的應(yīng)用，特別是當(dāng)把程序集成到應(yīng)用的開發(fā)生命周期時。

然而，專有代碼和保密條款是企業(yè)不選擇外包的原因之一。在這種情況下，企業(yè)遵守政策和程序就可以，只要企業(yè)內(nèi)部有所需要的技能。企業(yè)擁有自己的安全團隊來完成評估的優(yōu)勢在于：該團隊已經(jīng)能夠很好地了解日常業(yè)務(wù)流程和相應(yīng)的法規(guī)要求以及了解企業(yè)的風(fēng)險。在考慮了聲譽損害、經(jīng)濟損失、操作風(fēng)險、敏感信息泄露、人身安全和法律違規(guī)行為等風(fēng)險因素后，企業(yè)應(yīng)該將基于整體企業(yè)風(fēng)險的保證水平分配到每個第三方應(yīng)用。這種保證水平?jīng)Q定了應(yīng)用可以被接受之前所需的安全測試程度。

無論由誰來評估和批準(zhǔn)可連接到企業(yè)內(nèi)部資源的應(yīng)用，對第三方應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行持續(xù)監(jiān)控是發(fā)現(xiàn)和分析任何異常流量的關(guān)鍵。對于網(wǎng)絡(luò)監(jiān)控器生成的警報，企業(yè)必須要采取行動，據(jù)稱，在對Target的POS終端系統(tǒng)的攻擊期間，來自監(jiān)控系統(tǒng)的警報被遺漏，這原本可以阻止攻擊的發(fā)生。一次性證書或?qū)彶橹荒苷f明某個時間點的威脅狀況，所以定期審核也很關(guān)鍵。