如何评估第三方应用的安全性?

如何评估第三方应用的安全性?

黑客软件访客2021-10-12 8:20:008904A+A-

  我最近在评估一个新产品,该产品可以帮助企业评估第三方应用的安全性,以确保它们符合一定的安全标准。这样的产品有价值吗,还是说,坚持遵守政策和程序就足够了呢?

  Michael Cobb:在过去几年里,企业IT基础设施的最大变化是开放内部网络资源到第三方应用。现在,可访问内部流程和检索及更新数据的应用数量正在快速增加,这让很多网络管理员工作量骤增,他们需要确保“共享和渐趋扩大的基础设施内企业资源”的安全性。最近的一些数据泄露事故都涉及第三方应用中的漏洞,这些漏洞允许攻击者在连接到目标受害者的网络和资源时访问数据。

  在信息安全标准ISO 27001中,强调了确保第三方访问企业资源时不会破坏企业整体安全的重要性。第A.6.2章节则突出了保持企业信息的安全性,以及由外部各方访问、处理、通信或管理的信息处理设备的安全性,而第A.10.2中要求第三方服务交付管理“部署和维护符合第三方服务交付协议的适当水平的信息安全和服务交付”。

  尽管其重要性显而易见,很多企业仍然未能适当地评估连接到内部网络资源的第三方应用。企业必须定义一个标准用于接受来自第三方应用的连接,且每个应用都应该遵守。缺乏资源或者对长期关系缺乏信心是企业不这样做的最常见的原因,而缺乏内部人才来全面评估应用风险是另一个原因。

  与缺乏人力和资源的企业可实现的水平相比,采用基于云的扫描来测试漏洞的服务可能提供对漏洞的更为深入的审查。另外,企业外包高技能任务给专家符合成本效益,并带来更安全的应用,特别是当把程序集成到应用的开发生命周期时。

  然而,专有代码和保密条款是企业不选择外包的原因之一。在这种情况下,企业遵守政策和程序就可以,只要企业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于:该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后,企业应该将基于整体企业风险的保证水平分配到每个第三方应用。这种保证水平决定了应用可以被接受之前所需的安全测试程度。

  无论由谁来评估和批准可连接到企业内部资源的应用,对第三方应用产生的网络流量进行持续监控是发现和分析任何异常流量的关键。对于网络监控器生成的警报,企业必须要采取行动,据称,在对Target的POS终端系统的攻击期间,来自监控系统的警报被遗漏,这原本可以阻止攻击的发生。一次性证书或审查只能说明某个时间点的威胁状况,所以定期审核也很关键。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 可难倾酏2022-05-27 16:05:19
  • 应用数量正在快速增加,这让很多网络管理员工作量骤增,他们需要确保“共享和渐趋扩大的基础设施内企业资源”的安全性。最近的一些数据泄露事故都涉及第三方应用中的漏洞,这些漏洞允许攻击者在连接到目标受害者的网络和资源时访问数据。  在信息安全标准ISO 27001中,强调了确保第三方访问企业资源时不会破坏
  • 断渊猫卆2022-05-27 20:42:25
  • 业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后,企业应该将基于整体企业风险的保证水平分配到每个第三方应用
  • 森槿囍神2022-05-27 17:31:48
  • 集成到应用的开发生命周期时。  然而,专有代码和保密条款是企业不选择外包的原因之一。在这种情况下,企业遵守政策和程序就可以,只要企业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于:该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解
  • 夙世征棹2022-05-27 18:38:07
  • 业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于:该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后,企业应该将基于整体企业风险的保证水平分配到每个第三方应用

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理