近日,包括谷歌、Salesforce、Slack和OKta等在内的科技公司联合发布了“最小可行安全产品”(Minimum Viable Secure Product,简称MVSP)清单,它是一个中立性的安全基线要求,包含了面向B2B软件和业务流程外包供应商的最低安全要求。
事实上,在诸如涉及SolarWinds和Kaseya的攻击事件后,企业已经越来越意识到第三方工具和服务正沦为攻击者的重要途径,也愈发关注自身所用的第三方工具和流程的安全性。因此,“最小可行安全产品”概念的诞生可算正当时!
诞生背景
在此之前,许多组织习惯使用供应商安全审查问卷来确定供应商软件安全的强度,谷歌在2016年也曾发布了自己的开源供应商安全评估问卷。虽然这些调查问卷确实能够提供一些帮助,但它们往往冗长、复杂且耗时。如此一来,即便在项目中发现严重的阻碍因素,也通常来不及进行更改,因此,这些问卷对项目提案(RFP)和早期审查基本无效。
此外,有些企业也建立了自己的(有时是随意的)安全措施清单。这让供应商格外头疼,因为他们不得不遵守潜在的、数千种不同要求。而且,在这些情况下,很可能会出现错误,从而产生新的攻击向量。
后来,最小安全基线的概念逐渐演变为“最小可行安全产品”,它是Salesforce和Google核心工程师率先提出的概念。之后,这种想法开始扩展到其他科技公司,并融合这些公司的经验教训和建议,不断发展完善。
最小可行安全产品(MVSP)概念
最小可行安全产品(MVSP)是一个厂商中立的安全基线,列出了确保实现合理安全状况,必须采取的最低安全要求,涵盖业务控制、应用程序设计控制、应用实施与操作控制四个方面。具体而言,包括企业客户针对应用的安全性测试,系统的年度渗透测试、特殊的密码测试、利用加密保护敏感数据与静态数据、培训开发人员防御特殊漏洞,建立授权访问企业网站数据的三方名单等,都可作为最小可行安全产品的内容。
MVSP的控制集可以应用于供应商生命周期的所有阶段,从供应商选择到评估,再到合同控制,均能发挥作用。该列表旨在通过将数以千计的要求浓缩为易于使用的格式,在整个过程中提供更大的清晰度,并简化供应商审查流程,从而消除采购供应商安全评估过程中的复杂性与繁琐度,缩短整体周期。
MVSP应用指南
最小可行安全产品的应用案例并不是单一和局限的。任何组织都可以在他们认为适当的时候使用它,并根据自身需求调整清单。
例如,安全团队可以使用它预先传达工具和服务的最低要求,以便其他人知道他们的立场,并传达明确的期望;采购团队可以使用该列表来收集有关供应商服务的信息;法律团队也可以在协商合同控制时使用MVSP作为基准。
此外,提供B2B应用程序或服务的公司也可以使用MVSP来衡量自身产品的成熟度,并确定关键差距,在开发新产品时,注意到这一点可能会大有帮助。
MVSP“检查框”为供应链中供应商的安全实践提供了高级别的保证,但它并不是组织应该使用的唯一工具。想要实现最大程度的安全性,仍然需要每个组织制定针对其企业、行业、市场等的强大网络安全战略——一个基础夯实的安全战略,例如,针对访问企业网络的员工实施多因素身份验证,并加大安全投资以领先于攻击者。
MVSP只是一个起点
MVSP是一个开源安全标准,由一个工作组进行维护,该工作组目前包括来自Google、Salesforce、Okta和Slack的成员,并有望在未来几个月内进一步实现扩展。MVSP成员计划随着时间的推移定期审查和更新MVSP的控制措施,并希望在完成审查过程后,每年都能发布主要版本。
MVSP的未来版本将审查当前控制措施的演变过程,并旨在改进系统安全性。该团队认为,随着企业组织开始在其流程中采用MVSP,长期来看,它将有助于提高整体行业安全性。
不过,目前的基准并不一定能适应未来的威胁场景,安全专业人员必须不断创新,才能确保在新型威胁到来前做好准备。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
