为供应链安全划定红线,发布了最小可行安全产品清单(MVSP,简称MVSP)检查表,这是一个中立的安全基线要求,包含了对B2B软件和业务流程外包供应商的最低安全要求。事实上,在SolarWinds和Kaseya的攻击事件发生后,企业越来越意识到第三方工具和服务正在成为攻击者的重要途径,也越来越重视第三方工具的安全性和他们使用的流程。因此,“最小可行安全产品”概念的诞生可谓恰逢其时!诞生背景在此之前,许多组织习惯于使用供应商安全审查问卷来确定供应商软件安全的强度。谷歌也在2016年发布了自己的开源供应商安全评估问卷。虽然这些问卷肯定有帮助,但它们通常冗长、复杂且耗时。因此,即使在项目中发现了严重的障碍,也往往没有足够的时间来改变它们,因此这些问卷对于项目建议书(RFP)和早期审查基本上是无效的。此外,一些企业已经建立了自己的(有时是随意的)安全措施清单。这给供应商带来了额外的麻烦,因为他们必须遵守可能有数千种不同的要求。而且,在这些情况下,很可能会发生错误,从而产生新的攻击媒介。后来,最小安全基线的概念逐渐演变为“最小可行安全产品”,最早由Salesforce和Google的核心工程师提出。后来,这个想法开始扩展到其他科技公司,并吸取这些公司的经验和建议,不断发展和完善。MinimumViableSecurityProduct(MVSP)概念MinimumViableSecurityProduct(MVSP)是厂商中立的安全基线,列出了为确保合理的安全态势而必须采用的最低安全要求,涵盖业务控制、应用设计控制、应用实现四具有操作控制的区域。具体包括企业客户应用安全测试、年度系统渗透测试、特殊密码测试、使用加密保护敏感数据和静态数据、培训开发人员防范特殊漏洞、建立企业网站授权访问三方名单等。数据等,可以作为最小可行安全产品的内容。MVSP的控制集可应用于供应商生命周期的所有阶段,从供应商选择到评估再到合同控制。该清单旨在通过将数以千计的要求浓缩为易于使用的格式,在整个流程中提供更高的清晰度,并简化供应商审查流程,从而消除采购供应商安全评估流程的复杂性和复杂性。繁琐,缩短整体周期。MVSP应用指南MinimumViableSecurityProducts的应用案例不是单一和有限的。任何组织都可以在他们认为合适的时候使用它,并根据他们的需要调整清单。例如,安全团队可以使用它来预先传达对工具和服务的最低要求,以便其他人知道他们的立场并传达明确的期望;采购团队可以使用该列表来收集有关供应商服务的信息;在协商合同控制时,使用MVSP作为基准。此外,提供B2B应用程序或服务的公司还可以使用MVSP来衡量自己产品的成熟度并找出关键差距,这有助于在开发新产品时注意这一点。MVSP“复选框”为供应链中供应商的安全实践提供了高水平的保证,但它并不是组织应该使用的唯一工具。实现最大安全性仍然需要每个组织针对其业务、行业、市场等制定强大的网络安全策略——坚实的基础安全策略,例如,对访问公司网络的员工实施多因素身份验证,并加大对安全的投资领先攻击者一步。MVSP只是一个起点MVSP是一个开源安全标准,由一个工作组维护,该工作组目前包括来自Google、Salesforce、Okta和Slack的成员,并有望在未来几个月内进一步扩展。MVSP成员计划随着时间的推移定期审查和更新MVSP的控制,并期望在审查过程完成后每年发布主要版本。MVSP的未来版本将审查当前控制的演变,旨在提高系统安全性。该团队认为,随着企业组织开始在其流程中采用MVSP,从长远来看,这将有助于提高整体行业安全性。然而,当前的基线不一定能适应未来的威胁场景,安全专业人员必须不断创新,以确保他们在新型威胁到来时做好准备。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
