就连佳能、Garmin、Twitter、本田和Travelex等知名企业也曾成为恶意攻击者的受害者。数据泄露对企业或项目来说可能是一场灾难,破坏客户的信任,破坏公司的声誉。
许多项目经理仍然认为项目安全是其他人的责任——软件架构师、DevOps、信息安全专家等。然而,项目经理的任务是确保您创建的产品或您交付的服务是安全的。
如何检查安全性,以及在启动新项目时可能面临哪些意外的安全性问题?以下是确保开发安全产品并使项目更安全的五种方法。Sigma Software公司团队有一些关于在SDLC中实现安全实践的有价值的技巧。
安全不再是一个“拥有就好”的选择。每一家与第三方咨询公司合作启动新项目的企业都希望确保供应商遵守安全实践。最简单的方法是让供应商完成一份评估清单,其中有一部分专门用于提供项目安全性。这样的清单只不过是一个公司对其安全程序有多好的想法。情况可能大不相同。
有时,公司对这些清单中提供的信息感到满意。现在,企业正在寻找的不仅仅是文字——证明已经实施了安全措施,并在日常工作中遵循了这些措施。如何才能确切地证明这一点?以下是五种最常见的方法。
1.在互联网上追踪公司
收集公司信息主要有两种途径。第一个是OSINT(开源情报),建议从公开可用的来源收集数据,包括媒体(报纸、广播和电视等)、在线出版物、博客、讨论组、YouTube和其他社交媒体网站、公共政府数据(报告、预算、听证会、电话簿、新闻发布会、网站和演讲)、技术报告、专利、工作文件、商业文件、通讯等。
这是很多的信息,分析需要大量时间,但是,这是一种有效的方法,可以找出公司过去或现在在数据安全方面存在的任何弱点。
企业还可以借助专门的平台和工具进行第三方风险评估。这些解决方案(例如Risk Recon、BitSight等)提供了现成的评估程序,帮助评估供应商,并决定是否与他们合作。
所以,看到公开的每件事都会影响整个画面。一个包含漏洞的应用程序会影响企业的声誉,即使它是内部使用的,即使它发生在几年前,即使它只发布了一个小时。可能会忘记上传到网络上的内容。互联网不会忘记。你有能力减少受攻击的区域,并尽量减少可以用来对付你的信息。仔细看看你公开的东西。
2.进行独立评估
外部评估是确认供应商遵循所有安全实践的最常用方法之一。企业必须确保这样的评估结果与清单中指定的结果相匹配。否则,你会发现自己处于一个脆弱的位置。因此,在填写清单时,可以省略虚假信息,避免美化事实。如果意识到自己不够好,无法与现有的竞争对手成功竞争,这是一个行动呼吁——提高企业的安全性,因为无论如何你都必须这样做。这是不断变化的现实的要求。
3.审核内部测试报告
为了检查项目是否安全,企业的潜在客户可能会要求提供有关渗透测试的内部报告。这样的测试应该至少每年进行一次,或者在任何重要的发布之前进行。因此,如果企业的项目运行了三年,应该向客户提供三份报告,并且最好都有。
让它成为每次进行渗透测试的规则。定期控制这个问题,这样你就不必在时间到来的时候急于找到摆脱困境的方法。
4.检查网络钓鱼意识
当宣称企业实施了安全实践,并教导员工如何开发安全软件和防御现代威胁时,需要记住,你的客户可能想要检查这是否属实。一种方法是发送网络钓鱼邮件。如果企业收到一封网络钓鱼邮件,而员工回应了,这意味着安全措施并不像你想象的那么好。
对于企业的团队不了解或不遵守基本安全规则的客户来说,这是一个危险信号,这会使您当前的客户处于危险之中。确保企业培训团队识别网络钓鱼电子邮件以及如何在收到它们时采取行动。
5.直接沟通
直接沟通在任何情况下都是非常重要的。
关于安全的交流也不例外。无论是对企业的安全措施说了什么,怎么说,是检验是否了解这个主题的试金石。争取该领域专家同事的支持。
不要冒险让你的客户知道的和你一样多。这很有趣,但这是双向的;如果是一个安全专家,这并不重要。即使在这个领域很明智,其任务是确保能开发出一种安全的产品,而不是让客户对他们在这个领域的知识水平感到不安。