当我们开始讨论“信息安全”的时候,通常我们都会认为采取更多的安全防护措施肯定会让我们更加的安全,但这样做真的对吗?
我一直都不同意让我们的客户对我们进行第三方评估。我曾经也多次考虑过这个问题,但最终我还是坚持原来的想法。接下来,我会告诉大家原因。
客户不放心,总要对我们安全评估
我的团队用了20%的工作时间来进行了安全问卷调查,重新审查了商业合同中与安全相关的内容,及时响应客户所提交的漏洞信息,并在最短的时间内想办法解决这些安全和隐私问题……但是我们很郁闷地发现,很多客户(包括潜在的客户在内)都希望利用自身资源或第三方机构来对我们的应用产品和基础设施进行安全审查。可事实上,他们一般都只是直接运行Nessus、Qualys或Nmap来进行检查的…
尽管如此,但我仍然不同意他们这样做。此时客户心里肯定会想:你们有什么见不得人的?我凭什么相信你们?帮你们进行免费的安全评估还不好吗?或者是,如果不给我们进行安全评估的话,合作就不能进行下去了之类的…
当然了,我肯定有我的理由。首先,我们会定期对我们的应用服务和基础设施进行内部的安全审查,也会让第三方机构参与到外部安全审查的过程中,这是我们风险管控计划的其中一部分。与我们合作的第三方安全机构都是非常有信誉的公司,并且在进行安全审查的过程中会严格遵守保密协议(NDA)。我们会在凌晨等客户休息时间进行安全评估和检查,并且会在进行检查活动之前将相关内容告知其他部门,因为在进行安全审查的时候很可能会影响应用服务的性能或导致其他问题出现。
”被评估“背后的尴尬
通常情况下,我们在与其他公司进行合作洽谈的时候会给对方提供一份完整的安全报告,并在报告中详细介绍我们基础设施和应用服务的安全状况。除此之外,我们也会提供第三方权威安全机构所给出的评估报告。一般情况下,我们的客户都是非常满意的。
但尽管如此,我仍然不得不一次又一次地向客户作出解释。根据我之前的从业经历,一旦允许第三方机构进行临时性的外部安全审查,将会导致我们无法对一些不必要的安全事件进行正确地响应。你也知道,在进行安全审查的过程中,会出现很多未经授权的访问尝试和服务请求,而如果我们知道你要进行测试,我们就会将这些访问请求定性为“渗透测试”,但如果我们事先并不知情的话,我们只能将这些发起“非法”请求IP地址加入黑名单,并将事件情报提交给安全社区和执法部门。此时,想必难堪的估计就是我们的客户和那些第三方安全厂商了。
另一个问题就是,由于我们绝大多数的客户都是一些小型企业,他们手中的资源非常有限,因此他们更倾向于聘请最便宜的安全公司来进行第三方安全评估,而这些公司往往又缺乏经验。我们没有那么多时间去对这些第三方机构进行资格审查,尤其是那些海外公司,因为除了时间之外,资金的成本也是我们要考虑的问题。
在很多年以前,那时我还没学会如何说“不”,我曾允许过一名客户对我们的服务进行第三方安全审查,后来我才发现这家所谓的第三方机构其实已经将安全扫描工作外包给第四方了。最终的结果就是我们的服务遭受了一次突然的DoS攻击,而此次服务中断也给我们带来了不小的经济损失,因为客户根据服务条例起诉了我们。还有一次,有一名客户在我们的系统中发现了一些非常敏感的安全问题,并且还将这些漏洞公布在了网络上,这也给我们公司带来的不小的麻烦。
我也经常会对我们的客户说:“我们的服务和应用需要处理你大量的敏感数据,例如财务信息、医疗保健数据、以及个人身份信息等等。我知道你和我们一样,都想尽力去保证这些数据的安全,但如果我允许你自己来进行安全测试的话,那么其他的客户同样有权这样做。这也就意味我们必须开放部分服务接口,你真的想让这样的事情发生吗?”
总结
也许你会认为你的情况与我们有所不同,而你可能也会允许客户对你的服务进行第三方安全审查。但如果你真的打算这样做的话,我希望你可以对你的客户和第三方机构进行严苛的资格审核,并对他们进行信用调查,然后做好准备工作并与他们签署相关的保密协议。除此之外,你也需要安排专门的技术人员来监控整个安全审查工作。如果你无法做到上述这些,那么你很明显就是在自找麻烦。
作者:Alpha_h4ck
来源:51CTO
