搜狐首页 科技 法医秦明

手机搜狐

SOHU.COM

观点:”被客户“安全评估背后的那些血与泪

当我们开始讨论“信息安全”的时候,通常我们都会认为采取更多的安全防护措施肯定会让我们更加的安全,但这样做真的对吗?

我一直都不同意让我们的客户对我们进行第三方评估。我曾经也多次考虑过这个问题,但最终我还是坚持原来的想法。接下来,我会告诉大家原因。

客户不放心,总要对我们安全评估

我的团队用了20%的工作时间来进行了安全问卷调查,重新审查了商业合同中与安全相关的内容,及时响应客户所提交的漏洞信息,并在最短的时间内想办法解决这些安全和隐私问题……但是我们很郁闷地发现,很多客户(包括潜在的客户在内)都希望利用自身资源或第三方机构来对我们的应用产品和基础设施进行安全审查。可事实上,他们一般都只是直接运行Nessus、Qualys或Nmap来进行检查的…

尽管如此,但我仍然不同意他们这样做。此时客户心里肯定会想:你们有什么见不得人的?我凭什么相信你们?帮你们进行免费的安全评估还不好吗?或者是,如果不给我们进行安全评估的话,合作就不能进行下去了之类的…

当然了,我肯定有我的理由。首先,我们会定期对我们的应用服务和基础设施进行内部的安全审查,也会让第三方机构参与到外部安全审查的过程中,这是我们风险管控计划的其中一部分。与我们合作的第三方安全机构都是非常有信誉的公司,并且在进行安全审查的过程中会严格遵守保密协议(NDA)。我们会在凌晨等客户休息时间进行安全评估和检查,并且会在进行检查活动之前将相关内容告知其他部门,因为在进行安全审查的时候很可能会影响应用服务的性能或导致其他问题出现。

“被评估”背后的尴尬

通常情况下,我们在与其他公司进行合作洽谈的时候会给对方提供一份完整的安全报告,并在报告中详细介绍我们基础设施和应用服务的安全状况。除此之外,我们也会提供第三方权威安全机构所给出的评估报告。一般情况下,我们的客户都是非常满意的。

但尽管如此,我仍然不得不一次又一次地向客户作出解释。根据我之前的从业经历,一旦允许第三方机构进行临时性的外部安全审查,将会导致我们无法对一些不必要的安全事件进行正确地响应。你也知道,在进行安全审查的过程中,会出现很多未经授权的访问尝试和服务请求,而如果我们知道你要进行测试,我们就会将这些访问请求定性为“渗透测试”,但如果我们事先并不知情的话,我们只能将这些发起“非法”请求IP地址加入黑名单,并将事件情报提交给安全社区和执法部门。此时,想必难堪的估计就是我们的客户和那些第三方安全厂商了。

精选