隨著安全問題的愈演愈烈,IT領(lǐng)域也產(chǎn)生翻天覆地的變化,在過去幾年里,企業(yè)IT基礎(chǔ)設(shè)施的最大變化是開放內(nèi)部網(wǎng)絡(luò)資源到第三方應(yīng)用。
現(xiàn)在,可訪問內(nèi)部流程和檢索及更新數(shù)據(jù)的應(yīng)用數(shù)量正在快速增加,這讓很多網(wǎng)絡(luò)管理員工作量驟增,他們需要確保“共享和漸趨擴(kuò)大的基礎(chǔ)設(shè)施內(nèi)企業(yè)資源”的安全性。最近的一些數(shù)據(jù)泄露事故都涉及第三方應(yīng)用中的漏洞,這些漏洞允許攻擊者在連接到目標(biāo)受害者的網(wǎng)絡(luò)和資源時(shí)訪問數(shù)據(jù)。
在信息安全標(biāo)準(zhǔn)ISO 27001中,強(qiáng)調(diào)了確保第三方訪問企業(yè)資源時(shí)不會破壞企業(yè)整體安全的重要性。盡管其重要性顯而易見,很多企業(yè)仍然未能適當(dāng)?shù)卦u估連接到內(nèi)部網(wǎng)絡(luò)資源的第三方應(yīng)用。企業(yè)必須定義一個(gè)標(biāo)準(zhǔn)用于接受來自第三方應(yīng)用的連接,且每個(gè)應(yīng)用都應(yīng)該遵守。缺乏資源或者對長期關(guān)系缺乏信心是企業(yè)不這樣做的最常見的原因,而缺乏內(nèi)部人才來全面評估應(yīng)用風(fēng)險(xiǎn)是另一個(gè)原因。
與缺乏人力和資源的企業(yè)可實(shí)現(xiàn)的水平相比,采用基于云的掃描來測試漏洞的服務(wù)可能提供對漏洞的更為深入的審查。另外,企業(yè)外包高技能任務(wù)給專家符合成本效益,并帶來更安全的應(yīng)用,特別是當(dāng)把程序集成到應(yīng)用的開發(fā)生命周期時(shí)。
然而,專有代碼和保密條款是企業(yè)不選擇外包的原因之一。在這種情況下,企業(yè)遵守政策和程序就可以,只要企業(yè)內(nèi)部有所需要的技能。企業(yè)擁有自己的安全團(tuán)隊(duì)來完成評估的優(yōu)勢在于:該團(tuán)隊(duì)已經(jīng)能夠很好地了解日常業(yè)務(wù)流程和相應(yīng)的法規(guī)要求以及了解企業(yè)的風(fēng)險(xiǎn)。在考慮了聲譽(yù)損害、經(jīng)濟(jì)損失、操作風(fēng)險(xiǎn)、敏感信息泄露、人身安全和法律違規(guī)行為等風(fēng)險(xiǎn)因素后,企業(yè)應(yīng)該將基于整體企業(yè)風(fēng)險(xiǎn)的保證水平分配到每個(gè)第三方應(yīng)用。這種保證水平?jīng)Q定了應(yīng)用可以被接受之前所需的安全測試程度。
D1Net評論:
然而,無論由誰來評估和批準(zhǔn)可連接到企業(yè)內(nèi)部資源的應(yīng)用,對第三方應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行持續(xù)監(jiān)控是發(fā)現(xiàn)和分析任何異常流量的關(guān)鍵。對于網(wǎng)絡(luò)監(jiān)控器生成的警報(bào),企業(yè)必須要采取行動(dòng)。