有人曾经说过:“你邀请到家里来的人越多,家里就越整洁”。同样的开放原则也适用于商业环境。企业在流程和文化方面的透明度越高,其运作就越有条理。 透明度是在供应商、客户和合作伙伴之间建立信任的基础,在网络安全方面更是如此。在这里,我们探讨了实现透明度和建立信任的基本因素。
透明的网络安全方法必不可少
网络攻击和数据泄露的风险和潜在后果在每个企业都是需要重视的重要问题。各行各业的企业和公共机构不再愿意接受供应商针对其产品和解决方案安全性提供的定额赔偿。事实上,在很多国家和地区,法律法规要求人们必须对其机构内使用的产品和服务的安全性有更深入的了解。
隐藏系统的细节和工作方式是增强其安全性的最佳方法,通常被称为“隐晦式安全”(security through obscurity),这种理念已经在很大程度上得到了认可。美国国家标准技术研究院 (NIST) 就指出,“系统安全性不应依赖于实施方式或其组件的机密性”。
深入了解技术供应商的安全实践是进行供应商风险评估的核心方面。这些方法可以检验供应商产品对客户网络及连接系统的潜在影响,并确定供应商是否有适当的措施来降低风险。
因此,客户要求完全了解供应商方法的每个方面,以支持产品安全性,并在整个产品生命周期维持安全性。这种对透明度的需求应该被接受,因为它是确定供应商的产品是否能够支持客户自身的安全状态,以及在供应商、合作伙伴和客户之间建立信任的基础。
透明度的诸多好处
如果技术制造商能够对其安全实践保持透明,就从根本上表明了它对确保产品安全的承诺。这包括提供安全功能和设置,让客户能够以安全的方式使用产品,从而保护其自身的系统和数据。
透明度还可实现与客户和合作伙伴更有效的协作和信息共享,使他们能够快速处理任何新发现的软件漏洞。
此外,透明度有助于制造商和客户等从过去的安全事件中吸取教训,并改善其整体安全态势。明智的决策有助于防止未来的事故,并确保持续保护客户数据和信息。
超越网络安全认证的要求
在这种背景下,行业标准和认证可以为公司对基本网络安全的承诺提供有用的保证。很明显,在法律要求这些认证的地方,供应商需要证明他们遵从这些认证。当公司之间进行业务往来,向客户提供服务时,它们在建立可能具有合同约束力的基准时也很有价值。客户还可以在采购过程中使用认证证据,以确保制造商满足要求。
但是,应避免使用认证作为“绝招”来展示全面的网络安全方法。无论是企业信息安全(ISO 27001、各种网络安全出口法规等),还是以产品为中心的安全认证(FIPS 140、ETSI EN 303 645 和各种其他国家的特定标准),认证都证明了公司遵从的特定时间点的基本安全基准。
此外,标准和认证本质上通常是广泛的,涵盖特定的行业及其用例,因此,并不总是与专业用例相关。例如,IEC 62443 专门针对工业自动化和控制系统,与物理安全不太相关。
从商业角度来看,认证和对标准的遵从可能会冒着被用作“复选框”功能和在采购过程中获得竞争优势的策略的风险,其目的是收集尽可能多的认证,以加强具有“良好”网络安全地位的形象。如果标准和技术要求被“锁定”在购买之后,而不是公开免费提供,则尤其如此。
最后,技术、流程和产品的进步通常比标准化过程快得多,这意味着仅依赖认证的制造商将落后于技术创新。例如,在产品中使用 IEEE 802.1AE MACsec 网络加密可以显著加强网络通信,但当前标准中没有指定使用 MACsec 保护网络的技术或最佳实践。
简而言之,虽然认证和标准具有一定的价值,但它们应被视为基准而不是目标,并且应作为供应商更广泛的网络安全相关活动的补充。
寻找透明度的证据
在考虑供应商时,有一些明确的证据点,它们可以展示在产品和软件开发以及整个产品生命周期中实现网络安全透明度的承诺。其中包括:
- 从开发、生产和分销阶段,到实施、使用和退役,在整个产品生命周期中为客户提供有关安全活动和所采取措施的见解。这些见解还应包括供应商的整个供应链本身如何得到保护。
- 为产品的开发以及供应商对公司内部安全的方法发布安全策略和实践。拥有一套清晰、公开的政策和程序来保护用户数据和信息,可以表明公司对安全和责任的承诺。
- 定期进行独立的安全评估和审计,以帮助识别和处理潜在的安全漏洞,并向客户保证公司认真对待安全问题。这些可能涉及组织层面的评估,如 ISO/IEC 27001 标准评估,或特定产品层面的评估,如第三方渗透测试。
- 提供的产品让第三方个人、组织和权威机构能够在技术上直接评估产品的安全状态。这包括不加密设备软件或其他活动,以支持“隐晦式安全”。软件材料清单 (SBOM) 的提供也很重要,它列出了构成每个软件的“成分”。SBOM 详细说明了软件中存在的所有开源和第三方组件、管理这些组件的牌照、软件中使用的组件的版本,以及保持安全所需的任何补丁的状态。
- 安全事件发生时,报告安全事件的透明度,既涉及供应商的组织,也涉及其产品。供应商应该有明确的漏洞管理策略。这将确保就事件的性质、最初是如何发现的、为解决漏洞所采取的步骤(包括客户要求的行动)以及为防止未来事件所采取的行动进行沟通。
- 针对公司的安全态势为客户和合作伙伴定期提供最新信息。有关安全政策或实践的任何更改的信息,不仅有助于他们了解最新情况,更重要的是,让他们可以快速采取行动来保护自己的产品、服务和流程。此外,允许客户和合作伙伴订阅安全通知服务让他们有机会及时响应安全问题。
- 积极鼓励客户和研究人员报告他们发现的潜在安全漏洞,将有助于公司在潜在问题被利用之前识别和解决这些问题。成为 CVE 计划的一部分,披露 CVE ID 并建立漏洞赏金计划,表明了供应商的网络安全成熟度和透明度,以及对其安全开发过程的信心。
- 支持客户积极主动的产品生命周期管理过程,允许他们规划产品退役和更换。其中的核心是尽早详细说明设备软件的支持结束日期,最好是在产品发布后立即说明。
每个供应商都应该致力于尽其所能提供支持客户网络安全要求的产品。认证和标准还只能做到这些。透明度至关重要。公开的实践和政策,定期的独立安全评估和审计,以及关于安全事件的公开披露,是建立信任的更可靠的方式,可以让供应商承诺保护数据并提供具有强大网络安全性的产品。
