观点:”被客户“安全评估背后的那些血与泪

简介:

们更加的安全,但这样做真的对吗?

我一直都不同意让我们的客户对我们进行第三方评估。我曾经也多次考虑过这个问题,但最终我还是坚持原来的想法。接下来,我会告诉大家原因。

客户不放心,总要对我们安全评估

我的团队用了20%的工作时间来进行了安全问卷调查,重新审查了商业合同中与安全相关的内容,及时响应客户所提交的漏洞信息,并在最短的时间内想办法解决这些安全和隐私问题……但是我们很郁闷地发现,很多客户(包括潜在的客户在内)都希望利用自身资源或第三方机构来对我们的应用产品和基础设施进行安全审查。可事实上,他们一般都只是直接运行Nessus、Qualys或Nmap来进行检查的…

尽管如此,但我仍然不同意他们这样做。此时客户心里肯定会想:你们有什么见不得人的?我凭什么相信你们?帮你们进行免费的安全评估还不好吗?或者是,如果不给我们进行安全评估的话,合作就不能进行下去了之类的…

Clipboard Image.png

当然了,我肯定有我的理由。首先,我们会定期对我们的应用服务和基础设施进行内部的安全审查,也会让第三方机构参与到外部安全审查的过程中,这是我们风险管控计划的其中一部分。与我们合作的第三方安全机构都是非常有信誉的公司,并且在进行安全审查的过程中会严格遵守保密协议(NDA)。我们会在凌晨等客户休息时间进行安全评估和检查,并且会在进行检查活动之前将相关内容告知其他部门,因为在进行安全审查的时候很可能会影响应用服务的性能或导致其他问题出现。

”被评估“背后的尴尬

通常情况下,我们在与其他公司进行合作洽谈的时候会给对方提供一份完整的安全报告,并在报告中详细介绍我们基础设施和应用服务的安全状况。除此之外,我们也会提供第三方权威安全机构所给出的评估报告。一般情况下,我们的客户都是非常满意的。

但尽管如此,我仍然不得不一次又一次地向客户作出解释。根据我之前的从业经历,一旦允许第三方机构进行临时性的外部安全审查,将会导致我们无法对一些不必要的安全事件进行正确地响应。你也知道,在进行安全审查的过程中,会出现很多未经授权的访问尝试和服务请求,而如果我们知道你要进行测试,我们就会将这些访问请求定性为“渗透测试”,但如果我们事先并不知情的话,我们只能将这些发起“非法”请求IP地址加入黑名单,并将事件情报提交给安全社区和执法部门。此时,想必难堪的估计就是我们的客户和那些第三方安全厂商了。

Clipboard Image.png

另一个问题就是,由于我们绝大多数的客户都是一些小型企业,他们手中的资源非常有限,因此他们更倾向于聘请最便宜的安全公司来进行第三方安全评估,而这些公司往往又缺乏经验。我们没有那么多时间去对这些第三方机构进行资格审查,尤其是那些海外公司,因为除了时间之外,资金的成本也是我们要考虑的问题。

在很多年以前,那时我还没学会如何说“不”,我曾允许过一名客户对我们的服务进行第三方安全审查,后来我才发现这家所谓的第三方机构其实已经将安全扫描工作外包给第四方了。最终的结果就是我们的服务遭受了一次突然的DoS攻击,而此次服务中断也给我们带来了不小的经济损失,因为客户根据服务条例起诉了我们。还有一次,有一名客户在我们的系统中发现了一些非常敏感的安全问题,并且还将这些漏洞公布在了网络上,这也给我们公司带来的不小的麻烦。

我也经常会对我们的客户说:

“我们的服务和应用需要处理你大量的敏感数据,例如财务信息、医疗保健数据、以及个人身份信息等等。我知道你和我们一样,都想尽力去保证这些数据的安全,但如果我允许你自己来进行安全测试的话,那么其他的客户同样有权这样做。这也就意味我们必须开放部分服务接口,你真的想让这样的事情发生吗?”

总结

也许你会认为你的情况与我们有所不同,而你可能也会允许客户对你的服务进行第三方安全审查。但如果你真的打算这样做的话,我希望你可以对你的客户和第三方机构进行严苛的资格审核,并对他们进行信用调查,然后做好准备工作并与他们签署相关的保密协议。除此之外,你也需要安排专门的技术人员来监控整个安全审查工作。如果你无法做到上述这些,那么你很明显就是在自找麻烦。

  • 参考来源:csoonline,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文转自d1net(转载)

相关文章
|
7月前
|
自然语言处理 安全 网络安全
22LLMSecEval数据集及其在评估大模型代码安全中的应用:GPT3和Codex根据LLMSecEval的提示生成代码和代码补全,CodeQL进行安全评估【网安AIGC专题11.22】
22LLMSecEval数据集及其在评估大模型代码安全中的应用:GPT3和Codex根据LLMSecEval的提示生成代码和代码补全,CodeQL进行安全评估【网安AIGC专题11.22】
209 0
|
安全 数据安全/隐私保护
政府安全资讯精选 2017年第十三期 网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全
网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全;英国新《数据保护法案》允许遭黑客攻击者索要“精神赔偿”;存有英国女王行程相关信息的U 盘遗失,数据未做任何加密
1813 0
|
Web App开发 安全 数据安全/隐私保护
WEB应用安全评估标准- OWASP ASVS的整理介绍
今天完善了ASVS的PPT。整理成WORD了。 WEB应用安全评估标准- OWASP  ASVS  (Application Security Verification Standard) 一、什么是ASVS uThe OWASP Appl...
2721 0
|
2月前
|
机器学习/深度学习 自然语言处理 算法
【深藏功与名】揭秘大模型背后的真相:为何它们常让人欢喜让人忧,又该如何破局?
【10月更文挑战第5天】近年来,随着计算资源和算法的提升,大规模深度学习模型在自然语言处理和计算机视觉领域取得了显著成就,但也引发了“大模型幻觉”的讨论。该现象指模型虽在特定任务上表现出色,但在实际应用中存在过度拟合和泛化能力差等问题。本文分析了大模型的底层逻辑,并通过PyTorch代码示例展示了如何使用L2正则化缓解过度拟合。此外,还介绍了通过数据增强提高模型泛化能力的方法。未来研究需进一步平衡模型复杂度与泛化能力,以实现更佳性能。
48 0
|
5月前
|
存储 供应链 安全
安全人士可以从CrowdStrike事件中汲取的五点教训
CrowdStrike错误更新导致全球范围Windows蓝屏事件已经发酵数日,该事件被业内人士看作是“历史上最大规模系统崩溃事件”,震惊了整个世界。 这次事件并非是某个国家级黑客组织或大师级黑客的杰作,而是CrowdStrike更新文件的一个错误,导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。 以下是安全专业人士从这次事件中可以汲取的五点重要教训:
|
Cloud Native 容灾 程序员
三点“揭露”内向技术人如何做好分享?
希望本文能帮助所有内向者发现自身的优势,实现由内而外的成长。
786 22
三点“揭露”内向技术人如何做好分享?
|
监控 测试技术
六年测试之精华分享:产品质量应从哪些方面提高
今天就说说近期大家比较关心的话题,根据自己多年的测试经验,对于一个企业能否很好的生存下去,有四个核心指标,产品质量Q、服务质量S、产品价格P、响应时间T,在我看来,属于技术范畴的2个最核心的指标是:一是产品质量、二是响应时间,怎样更好的保障产品质量,为一线的销售保驾护航好产品,就显得尤为重要...
1411 0

热门文章

最新文章

下一篇
DataWorks