《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 為供應(yīng)鏈安全劃紅線,最小可行安全產(chǎn)品清單(MVSP)發(fā)布

為供應(yīng)鏈安全劃紅線,最小可行安全產(chǎn)品清單(MVSP)發(fā)布

2021-11-25
來源:安全牛
關(guān)鍵詞: 供應(yīng)鏈安全

  近日,包括谷歌、Salesforce、Slack和OKta等在內(nèi)的科技公司聯(lián)合發(fā)布了“最小可行安全產(chǎn)品”(Minimum Viable Secure Product,簡稱MVSP)清單,它是一個中立性的安全基線要求,包含了面向B2B軟件和業(yè)務(wù)流程外包供應(yīng)商的最低安全要求。

  事實上,在諸如涉及SolarWinds和Kaseya的攻擊事件后,企業(yè)已經(jīng)越來越意識到第三方工具和服務(wù)正淪為攻擊者的重要途徑,也愈發(fā)關(guān)注自身所用的第三方工具和流程的安全性。因此,“最小可行安全產(chǎn)品”概念的誕生可算正當(dāng)時!

  誕生背景

  在此之前,許多組織習(xí)慣使用供應(yīng)商安全審查問卷來確定供應(yīng)商軟件安全的強度,谷歌在2016年也曾發(fā)布了自己的開源供應(yīng)商安全評估問卷。雖然這些調(diào)查問卷確實能夠提供一些幫助,但它們往往冗長、復(fù)雜且耗時。如此一來,即便在項目中發(fā)現(xiàn)嚴(yán)重的阻礙因素,也通常來不及進行更改,因此,這些問卷對項目提案(RFP)和早期審查基本無效。

  此外,有些企業(yè)也建立了自己的(有時是隨意的)安全措施清單。這讓供應(yīng)商格外頭疼,因為他們不得不遵守潛在的、數(shù)千種不同要求。而且,在這些情況下,很可能會出現(xiàn)錯誤,從而產(chǎn)生新的攻擊向量。

  后來,最小安全基線的概念逐漸演變?yōu)椤白钚】尚邪踩a(chǎn)品”,它是Salesforce和Google核心工程師率先提出的概念。之后,這種想法開始擴展到其他科技公司,并融合這些公司的經(jīng)驗教訓(xùn)和建議,不斷發(fā)展完善。

  最小可行安全產(chǎn)品(MVSP)概念

  最小可行安全產(chǎn)品(MVSP)是一個廠商中立的安全基線,列出了確保實現(xiàn)合理安全狀況,必須采取的最低安全要求,涵蓋業(yè)務(wù)控制、應(yīng)用程序設(shè)計控制、應(yīng)用實施與操作控制四個方面。具體而言,包括企業(yè)客戶針對應(yīng)用的安全性測試,系統(tǒng)的年度滲透測試、特殊的密碼測試、利用加密保護敏感數(shù)據(jù)與靜態(tài)數(shù)據(jù)、培訓(xùn)開發(fā)人員防御特殊漏洞,建立授權(quán)訪問企業(yè)網(wǎng)站數(shù)據(jù)的三方名單等,都可作為最小可行安全產(chǎn)品的內(nèi)容。

  MVSP的控制集可以應(yīng)用于供應(yīng)商生命周期的所有階段,從供應(yīng)商選擇到評估,再到合同控制,均能發(fā)揮作用。該列表旨在通過將數(shù)以千計的要求濃縮為易于使用的格式,在整個過程中提供更大的清晰度,并簡化供應(yīng)商審查流程,從而消除采購供應(yīng)商安全評估過程中的復(fù)雜性與繁瑣度,縮短整體周期。

  MVSP應(yīng)用指南

  最小可行安全產(chǎn)品的應(yīng)用案例并不是單一和局限的。任何組織都可以在他們認(rèn)為適當(dāng)?shù)臅r候使用它,并根據(jù)自身需求調(diào)整清單。

  例如,安全團隊可以使用它預(yù)先傳達工具和服務(wù)的最低要求,以便其他人知道他們的立場,并傳達明確的期望;采購團隊可以使用該列表來收集有關(guān)供應(yīng)商服務(wù)的信息;法律團隊也可以在協(xié)商合同控制時使用MVSP作為基準(zhǔn)。

  此外,提供B2B應(yīng)用程序或服務(wù)的公司也可以使用MVSP來衡量自身產(chǎn)品的成熟度,并確定關(guān)鍵差距,在開發(fā)新產(chǎn)品時,注意到這一點可能會大有幫助。

  MVSP“檢查框”為供應(yīng)鏈中供應(yīng)商的安全實踐提供了高級別的保證,但它并不是組織應(yīng)該使用的唯一工具。想要實現(xiàn)最大程度的安全性,仍然需要每個組織制定針對其企業(yè)、行業(yè)、市場等的強大網(wǎng)絡(luò)安全戰(zhàn)略——一個基礎(chǔ)夯實的安全戰(zhàn)略,例如,針對訪問企業(yè)網(wǎng)絡(luò)的員工實施多因素身份驗證,并加大安全投資以領(lǐng)先于攻擊者。

  MVSP只是一個起點

  MVSP是一個開源安全標(biāo)準(zhǔn),由一個工作組進行維護,該工作組目前包括來自Google、Salesforce、Okta和Slack的成員,并有望在未來幾個月內(nèi)進一步實現(xiàn)擴展。MVSP成員計劃隨著時間的推移定期審查和更新MVSP的控制措施,并希望在完成審查過程后,每年都能發(fā)布主要版本。

  MVSP的未來版本將審查當(dāng)前控制措施的演變過程,并旨在改進系統(tǒng)安全性。該團隊認(rèn)為,隨著企業(yè)組織開始在其流程中采用MVSP,長期來看,它將有助于提高整體行業(yè)安全性。

  不過,目前的基準(zhǔn)并不一定能適應(yīng)未來的威脅場景,安全專業(yè)人員必須不斷創(chuàng)新,才能確保在新型威脅到來前做好準(zhǔn)備。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。