近日，包括谷歌、Salesforce、Slack和OKta等在內(nèi)的科技公司聯(lián)合發(fā)布了“最小可行安全產(chǎn)品”(Minimum Viable Secure Product，簡(jiǎn)稱MVSP)清單，它是一個(gè)中立性的安全基線要求，包含了面向B2B軟件和業(yè)務(wù)流程外包供應(yīng)商的最低安全要求。

事實(shí)上，在諸如涉及SolarWinds和Kaseya的攻擊事件后，企業(yè)已經(jīng)越來(lái)越意識(shí)到第三方工具和服務(wù)正淪為攻擊者的重要途徑，也愈發(fā)關(guān)注自身所用的第三方工具和流程的安全性。因此，“最小可行安全產(chǎn)品”概念的誕生可算正當(dāng)時(shí)!

誕生背景

在此之前，許多組織習(xí)慣使用供應(yīng)商安全審查問(wèn)卷來(lái)確定供應(yīng)商軟件安全的強(qiáng)度，谷歌在2016年也曾發(fā)布了自己的開(kāi)源供應(yīng)商安全評(píng)估問(wèn)卷。雖然這些調(diào)查問(wèn)卷確實(shí)能夠提供一些幫助，但它們往往冗長(zhǎng)、復(fù)雜且耗時(shí)。如此一來(lái)，即便在項(xiàng)目中發(fā)現(xiàn)嚴(yán)重的阻礙因素，也通常來(lái)不及進(jìn)行更改，因此，這些問(wèn)卷對(duì)項(xiàng)目提案(RFP)和早期審查基本無(wú)效。

此外，有些企業(yè)也建立了自己的(有時(shí)是隨意的)安全措施清單。這讓供應(yīng)商格外頭疼，因?yàn)樗麄儾坏貌蛔袷貪撛诘?、?shù)千種不同要求。而且，在這些情況下，很可能會(huì)出現(xiàn)錯(cuò)誤，從而產(chǎn)生新的攻擊向量。

后來(lái)，最小安全基線的概念逐漸演變?yōu)?ldquo;最小可行安全產(chǎn)品”，它是Salesforce和Google核心工程師率先提出的概念。之后，這種想法開(kāi)始擴(kuò)展到其他科技公司，并融合這些公司的經(jīng)驗(yàn)教訓(xùn)和建議，不斷發(fā)展完善。

最小可行安全產(chǎn)品(MVSP)概念

最小可行安全產(chǎn)品(MVSP)是一個(gè)廠商中立的安全基線，列出了確保實(shí)現(xiàn)合理安全狀況，必須采取的最低安全要求，涵蓋業(yè)務(wù)控制、應(yīng)用程序設(shè)計(jì)控制、應(yīng)用實(shí)施與操作控制四個(gè)方面。具體而言，包括企業(yè)客戶針對(duì)應(yīng)用的安全性測(cè)試，系統(tǒng)的年度滲透測(cè)試、特殊的密碼測(cè)試、利用加密保護(hù)敏感數(shù)據(jù)與靜態(tài)數(shù)據(jù)、培訓(xùn)開(kāi)發(fā)人員防御特殊漏洞，建立授權(quán)訪問(wèn)企業(yè)網(wǎng)站數(shù)據(jù)的三方名單等，都可作為最小可行安全產(chǎn)品的內(nèi)容。

MVSP的控制集可以應(yīng)用于供應(yīng)商生命周期的所有階段，從供應(yīng)商選擇到評(píng)估，再到合同控制，均能發(fā)揮作用。該列表旨在通過(guò)將數(shù)以千計(jì)的要求濃縮為易于使用的格式，在整個(gè)過(guò)程中提供更大的清晰度，并簡(jiǎn)化供應(yīng)商審查流程，從而消除采購(gòu)供應(yīng)商安全評(píng)估過(guò)程中的復(fù)雜性與繁瑣度，縮短整體周期。

MVSP應(yīng)用指南

最小可行安全產(chǎn)品的應(yīng)用案例并不是單一和局限的。任何組織都可以在他們認(rèn)為適當(dāng)?shù)臅r(shí)候使用它，并根據(jù)自身需求調(diào)整清單。

例如，安全團(tuán)隊(duì)可以使用它預(yù)先傳達(dá)工具和服務(wù)的最低要求，以便其他人知道他們的立場(chǎng)，并傳達(dá)明確的期望;采購(gòu)團(tuán)隊(duì)可以使用該列表來(lái)收集有關(guān)供應(yīng)商服務(wù)的信息;法律團(tuán)隊(duì)也可以在協(xié)商合同控制時(shí)使用MVSP作為基準(zhǔn)。

此外，提供B2B應(yīng)用程序或服務(wù)的公司也可以使用MVSP來(lái)衡量自身產(chǎn)品的成熟度，并確定關(guān)鍵差距，在開(kāi)發(fā)新產(chǎn)品時(shí)，注意到這一點(diǎn)可能會(huì)大有幫助。

MVSP“檢查框”為供應(yīng)鏈中供應(yīng)商的安全實(shí)踐提供了高級(jí)別的保證，但它并不是組織應(yīng)該使用的唯一工具。想要實(shí)現(xiàn)最大程度的安全性，仍然需要每個(gè)組織制定針對(duì)其企業(yè)、行業(yè)、市場(chǎng)等的強(qiáng)大網(wǎng)絡(luò)安全戰(zhàn)略——一個(gè)基礎(chǔ)夯實(shí)的安全戰(zhàn)略，例如，針對(duì)訪問(wèn)企業(yè)網(wǎng)絡(luò)的員工實(shí)施多因素身份驗(yàn)證，并加大安全投資以領(lǐng)先于攻擊者。

MVSP只是一個(gè)起點(diǎn)

MVSP是一個(gè)開(kāi)源安全標(biāo)準(zhǔn)，由一個(gè)工作組進(jìn)行維護(hù)，該工作組目前包括來(lái)自Google、Salesforce、Okta和Slack的成員，并有望在未來(lái)幾個(gè)月內(nèi)進(jìn)一步實(shí)現(xiàn)擴(kuò)展。MVSP成員計(jì)劃隨著時(shí)間的推移定期審查和更新MVSP的控制措施，并希望在完成審查過(guò)程后，每年都能發(fā)布主要版本。

MVSP的未來(lái)版本將審查當(dāng)前控制措施的演變過(guò)程，并旨在改進(jìn)系統(tǒng)安全性。該團(tuán)隊(duì)認(rèn)為，隨著企業(yè)組織開(kāi)始在其流程中采用MVSP，長(zhǎng)期來(lái)看，它將有助于提高整體行業(yè)安全性。

不過(guò)，目前的基準(zhǔn)并不一定能適應(yīng)未來(lái)的威脅場(chǎng)景，安全專(zhuān)業(yè)人員必須不斷創(chuàng)新，才能確保在新型威脅到來(lái)前做好準(zhǔn)備。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文