多提棘手问题
向商家采购软件之前,可以向对方问这些实用问题。你在开发及维护公司使用的应用软件时,也要向自己问同样的问题。最后,也可以利用这些问题完善你与外包合作伙伴(尤其是软件开发合作伙伴)签署的服务级别协议。
供参考的问题如下:
•你的漏洞响应流程是什么?
•你的补丁发布战略是什么?
•你使用哪些方法向客户通知漏洞?
•你为产品的安全部署/维护提供哪些指导?
•你的开发团队得到什么样的安全培训?
•你同时给所有版本的应用软件打上补丁吗?
•你的安全支持协议有什么样的条款和期限?
•你在软件开发生命周期的每个阶段(需求、设计、编码、测试和部署)都评审安全吗?
•你聘请独立的第三方公司对产品进行安全评估吗?
•你的补丁发布战略是什么?
•你使用哪些方法向客户通知漏洞?
•你为产品的安全部署/维护提供哪些指导?
•你的开发团队得到什么样的安全培训?
•你同时给所有版本的应用软件打上补丁吗?
•你的安全支持协议有什么样的条款和期限?
•你在软件开发生命周期的每个阶段(需求、设计、编码、测试和部署)都评审安全吗?
•你聘请独立的第三方公司对产品进行安全评估吗?
成立“红色战队”
红色战队来自军事领域。这里是指,你专门派一个小队(通常是两三个人)充当攻击者,由内部的道德黑客组成。
他们的任务是攻击你的应用系统和网络,好像他们是坏人。不要让他们仅仅充当“外人”。内部威胁往往更容易被忽视;如果你从内部用户的角度模拟攻击场景,会有许多发现。
如果你没有成立红色战队的资源或者技能,许多第三方咨询公司可以替你做这项工作。从最关键的应用软件开始,然后对不同风险大小的系统进行测试。
教育你的团队
这一做法的意义和重要性再怎么强调都不为过。大多数公司在这方面遇到的难题分为两方面:如何最有效地教育团队,他们可能分散在不同地区,有着不同技能;对哪些团队进行安全培训最有成效。
决定哪支团队进行培训(或者按什么顺序来培训),这完全取决于贵公司的具体情况。不过,我在最近帮助几家公司成功推行安全意识计划后,注意到了几个关键的成功因素:
•管理人员的支持――安全意识可能会导致贵公司的行为和政策发生变化。为了出现积极变化,管理人员必须参加进来。如果确保计划当中有些方面吸引管理人员、从而让他们支持变革,那再好不过了。
•确保政策得到执行――制订内容清晰、易懂、通行及可以评估的政策。自然,政策需要体现公司、威胁和监管等环境。除了顾及安全事件给公司可能带来的财务和声誉方面的影响外,意识和培训计划还不能忘了遵守政策的重要性。
•评估及报告――利用定性指标和量化指标来获得反馈;评估及比较安全意识和培训计划的成效。最重要的是,把这些指标和结果(无论好坏)告知管理团队,以便获得他们的看法、支持和深刻见解。
尽量不要把教育只放在安全意识方面,还要为欠的工程师、审计员及其他人提供技术安全培训。这种培训更难进行,不过一些出色的安全专家能够通过灵活多样的方式(如远程学习)为管理人员和技术人员提供培训。
