新聞編輯室
訂閱電子報

為什麼透明度是網路安全信任的基礎

7 分鐘閱讀時間
標籤:
作者: Andre Bastert
Andre Bastert
透明度是網路安全信任的基礎

有位智者曾說:「您邀請的人越多,家裡就會變得越整潔」。同樣的開放原則也可以輕鬆套用於商業世界。組織的流程和文化越透明,其運作就越有規範。 透明度是在供應商、客戶和合作夥伴之間建立信任的基礎,在網路安全方面更是如此。我們在此探討實現透明度和信任的基本因素。

採取透明的網路安全方法勢在必行

網路攻擊和資料外洩的風險和潛在後果理所當然地成為每個組織議程上的重要議題。各行業的企業和公共機構不再願意接受供應商關於其產品和解決方案安全性的表面聲明。事實上,在許多國家和地區,立法要求他們必須對其組織內使用的產品和服務的安全性有更深入的瞭解。

隱藏系統的細節和運作方式是增強其安全性的最佳方法,通常被稱為「隱晦式安全性」,這一想法在很大程度上已被懷疑。美國國家標準與技術研究所 (NIST) 本身表示,「系統安全性不應依賴實現或其組件的保密性」。

深入瞭解技術供應商的安全做法是進行供應商風險評估的一個核心方面。這可檢查供應商的產品可能對客戶的網路和連線系統造成的潛在影響,並確定供應商是否已採取適當的措施來緩解風險。 

因此,客戶要求全面瞭解供應商支援最佳產品安全性並在整個產品生命週期中維持安全性的方法的各個方面。這種對透明度的需求應被接受,因為這是確定供應商產品是否能夠支援客戶自身安全狀況以及在供應商、合作夥伴和客戶之間建立信任的基礎。 

透明度的多重好處 

當技術製造商對其安全做法保持透明時,就能從根本上體現出對確保產品安全的承諾。這其中包括提供安全功能和設定,使客戶能夠以最安全方式使用產品,以保護自己的系統和資料。 

透明度還允許與客戶和合作夥伴進行更有效的協作和資訊分享,使他們能夠快速解決任何新發現的軟體漏洞。 

此外,透明度有助於製造商和客戶等從過去的安全事件中吸取教訓,並改善其整體安全態勢。明智的決策有助於預防未來的事件,並確保持續保護客戶資料和資訊。

超越網路安全認證的要求

在這種情況下,行業標準和認證可以為公司對基線網路安全的承諾提供有用的承諾。顯然,當法律要求此類認證時,供應商需要證明自己遵守相應的認證。當公司相互之間開展業務以向客戶提供服務時,如果建立可能具有合約約束力的基準,也會很有價值。客戶還可以在採購過程中使用認證證據,以確保製造商滿足最低要求。 

然而,應避免使用認證作為展示網路安全綜合方法的「靈丹妙藥」。認證證明了公司在特定時間點遵守的最低基線安全性,無論是關於企業資訊安全(ISO 27001、各種網路安全出口法規等),還是以產品為中心的安全認證(FIPS 140、ETSI EN 303 645 和各種其他國家/地區特定標準)。

此外,標準和認證本質上通常很廣泛,可以涵蓋特定行業及其用例,因此並非總是與專業用例相關。例如,IEC 62443 特別著重於工業自動化和控制系統,而這與實體安全性不太相關。

從商業角度來看,認證和遵守標準有可能會被用來當作一種核取方塊功能,以及在採購過程中取得競爭優勢的策略,其目的在於蒐集盡可能多的認證,以強化擁有「良好」網路安全地位的形象。如果標準和技術要求被「鎖定」在購買之後並且不能免費公開提供,情況尤其如此。 

最後,技術、工藝和產品的進步往往比標準化工藝快得多,這意味著僅依賴認證的製造商將落後於技術創新。例如,在產品中採用 IEEE 802.1AE MACsec 網路加密可顯著強化網路通訊,但目前標準中並未指定使用 MACsec 保護網路的技術或最佳做法。

簡而言之,雖然認證和標準具有一定的價值,但應被視為基準而不是目標,並作為供應商更廣泛的網路安全相關活動之互補。 

尋找透明度的證據

在考慮供應商時,有一些明確的證據表明他們致力於產品和軟體開發以及整個產品生命週期中與網路安全相關的透明度。其中包括:

  • 為客戶提供整個產品生命週期(從開發、生產和分發階段到實施、服務和退役)所採取的安全活動和措施的洞見。這些洞見也應包括供應商的整個供應鏈本身如何受到保護。   
  • 發布產品開發的安全策略和做法以及供應商的公司內部安全方法。擁有一套明確、公開的政策和程序來保護使用者資料和資訊,證明了公司對安全和責任的承諾。 
  • 定期進行獨立的安全評估和稽核,以幫助識別和解決潛在的安全漏洞,並向客戶保證公司認真對待安全問題。這可能與組織層級的評估(例如 ISOISO/IEC 27001 標準評估)或特定產品層級的評估(例如協力廠商滲透測試)有關。
  • 提供可讓協力廠商個人、組織和主管機構能夠在技術上直接評估產品安全勢態的產品。這包括不加密裝置軟體或其他支援「隱晦式安全性」的活動。提供軟體物料清單 (SBOM),列出每項軟體的「成份」,也非常重要。SBOM 詳細列出軟體中的所有開放原始碼與協力廠商元件、管理這些元件的授權、軟體中使用的元件版本,以及維護安全性所需的任何修補程式的狀態。
  • 當發生安全事件時,報告安全事件的透明度,包括供應商的組織及其產品。供應商應制定明確的漏洞管理政策。這會確保就事件性質、最初發現方式、解決漏洞所採取的步驟 (包括客戶所需採取的行動) 以及預防未來事件所採取的行動進行溝通。
  • 定期向客戶和合作夥伴提供有關公司安全狀況的最新資訊。有關任何安全政策或作法變更的資訊,不僅有助於他們隨時掌握資訊,更重要的是,能讓他們快速採取行動,以保障自身產品、服務及流程的安全。此外,允許客戶和合作夥伴訂閱安全通知服務,讓他們有機會及時回應安全問題。
  • 積極鼓勵客戶和研究人員報告他們發現的潛在安全漏洞,這將有助於公司在潛在問題被利用之前識別出來並加以解決。成為 CVE 計劃的一部分,披露 CVE ID,同時建立漏洞賞金計劃,彰顯供應商的網路安全成熟度與透明度,以及對其安全開發流程的信心。 
  • 以主動的產品生命週期管理流程為客戶提供支援,使他們能夠實施產品退役和更換規劃。其核心是儘早詳細說明設備軟體的支援終止日期,最好是在產品發布後立即確定。 

每個供應商都應致力於盡一切努力提供支援客戶網路安全要求的產品。認證和標準僅止於此。透明度至關重要。發佈的做法和政策、定期的獨立安全評估和稽核,以及有關安全事件的公開披露,都是對供應商對保護資料以及提供強大網路安全產品承諾建立起信任的更可靠方法。

有關我們網路安全方法的更多資訊,請在此閱讀。
網路安全

Andre Bastert

Andre Bastert is a Global Product Manager at Axis Communications. He is responsible for the AXIS OS software platform empowering Axis network devices. Andre focuses on everything about cybersecurity, the IT-infrastructure/security integration and the software lifecycle management aspect of our products. Andre started his career at Axis in 2014 in technical services. Before taking on his current position he worked as a product specialist for PTZ cameras and AXIS OS. When not working, Andre spends time with his family and enjoys renovating the in a true Do-it-yourself-spirit.

更多資訊貼文作者 Andre
Andre Bastert
To top