包括谷歌在内的最近几天,Salesforce、Slack和OKta等科技公司联合发布“最小安全产品”(Minimum Viable Secure Product,简称MVSP)该清单是一个中立的安全基线要求,包括面向B2B外包供应商软件和业务流程的最低安全要求。
事实上,它涉及到诸如SolarWinds和Kaseya的攻击事件后,企业已经越来越意识到第三方工具和服务正沦为攻击者的重要途径,也愈发关注自身所用的第三方工具和流程的安全性。因此,“最小安全产品”概念的诞生可以算是当时!
诞生背景
在此之前,许多组织习惯于使用供应商安全审查问卷来确定供应商软件安全的强度。谷歌还于2016年发布了自己的开源供应商安全评估问卷。虽然这些问卷确实可以提供一些帮助,但它们通常是冗长、复杂和耗时的。因此,即使在项目中发现严重的障碍,也通常没有时间改变,因此,这些问卷是项目提案(RFP)早期审查基本无效。
此外,一些企业还建立了自己的(有时是随机的)安全措施清单。这让供应商特别头疼,因为他们必须遵守成千上万的潜在和不同的要求。此外,在这些情况下,可能会出现错误,从而产生新的攻击向量。
后来,最小安全基线的概念逐渐演变为“最小安全产品”,它是Salesforce和Google核心工程师率先提出的概念。此后,这一理念开始扩展到其他科技公司,并结合这些公司的经验教训和建议,不断发展和完善。
最小安全产品(MVSP)概念
最小安全产品(MVSP)是一个厂商中立的安全基线,列出了确保实现合理安全状况,必须采取的最低安全要求,涵盖业务控制、应用程序设计控制、应用实施与操作控制四个方面。具体而言,包括企业客户针对应用的安全性测试,系统的年度渗透测试、特殊的密码测试、利用加密保护敏感数据与静态数据、培训开发人员防御特殊漏洞,建立授权访问企业网站数据的三方名单等,都可作为最小安全产品的内容。
MVSP控制集可应用于供应商生命周期的所有阶段,从供应商选择到评估,再到合同控制。该列表旨在在整个过程中提供更大的清晰度,简化供应商审查过程,消除采购供应商安全评估过程中的复杂性和繁琐性,缩短整体周期。
MVSP应用指南
最小可行安全产品的应用案例单一和有限。任何组织都可以在他们认为合适的时候使用它,并根据自己的需要调整清单。
例如,安全团队可以使用其提前传达工具和服务的最低要求,以便他人知道他们的立场,并传达明确的期望;采购团队可以使用该列表收集供应商服务的信息;法律团队也可以在协商合同控制时使用MVSP作为基准。
此外,提供B2B公司也可以使用应用程序或服务MVSP衡量自己产品的成熟度,确定关键差距,在开发新产品时注意到这一点可能很有帮助。
MVSP“检查框”它为供应链中供应商的安全实践提供了高水平的保障,但它并不是组织应该使用的唯一工具。为了最大限度地提高安全性,每个组织仍然需要为其企业、行业和市场制定强大的网络安全战略——例如,对访问企业网络的员工进行多因素身份验证,并增加安全投资,以领先于攻击者。
MVSP只是一个起点
MVSP这是一个由工作组维护的开源安全标准Google、Salesforce、Okta和Slack的成员,并有望在未来几个月内进一步实现扩展。MVSP随着时间的推移,成员计划定期审查和更新MVSP控制措施,并希望在完成审查过程后,每年都能发布主要版本。
MVSP未来版本将审查当前控制措施的演变过程,并旨在提高系统安全性。该团队认为,随着企业组织开始在其过程中使用它MVSP,长期来看,它将有助于提高整体行业安全性。
然而,目前的基准可能无法适应未来的威胁场景。安全专业人员必须不断创新,以确保在新威胁到来之前做好准备。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章