觀點：」被客戶「安全評估背後的那些血與淚

當我們開始討論「信息安全」的時候，通常我們都會認為採取更多的安全防護措施肯定會讓我們更加的安全，但這樣做真的對嗎？

我一直都不同意讓我們的客戶對我們進行第三方評估。我曾經也多次考慮過這個問題，但最終我還是堅持原來的想法。接下來，我會告訴大家原因。

客戶不放心，總要對我們安全評估

我的團隊用了20%的工作時間來進行了安全問卷調查，重新審查了商業合同中與安全相關的內容，及時響應客戶所提交的漏洞信息，並在最短的時間內想辦法解決這些安全和隱私問題……但是我們很鬱悶地發現，很多客戶（包括潛在的客戶在內）都希望利用自身資源或第三方機構來對我們的應用產品和基礎設施進行安全審查。

可事實上，他們一般都只是直接運行Nessus、Qualys或Nmap來進行檢查的…

儘管如此，但我仍然不同意他們這樣做。此時客戶心裡肯定會想：

你們有什麼見不得人的？我憑什麼相信你們？幫你們進行免費的安全評估還不好嗎？或者是，如果不給我們進行安全評估的話，合作就不能進行下去了之類的…

當然了，我肯定有我的理由。首先，我們會定期對我們的應用服務和基礎設施進行內部的安全審查，也會讓第三方機構參與到外部安全審查的過程中，這是我們風險管控計劃的其中一部分。與我們合作的第三方安全機構都是非常有信譽的公司，並且在進行安全審查的過程中會嚴格遵守保密協議（NDA）。我們會在凌晨等客戶休息時間進行安全評估和檢查，並且會在進行檢查活動之前將相關內容告知其他部門，因為在進行安全審查的時候很可能會影響應用服務的性能或導致其他問題出現。

「被評估」背後的尷尬

通常情況下，我們在與其他公司進行合作洽談的時候會給對方提供一份完整的安全報告，並在報告中詳細介紹我們基礎設施和應用服務的安全狀況。除此之外，我們也會提供第三方權威安全機構所給出的評估報告。一般情況下，我們的客戶都是非常滿意的。

但儘管如此，我仍然不得不一次又一次地向客戶作出解釋。根據我之前的從業經歷，一旦允許第三方機構進行臨時性的外部安全審查，將會導致我們無法對一些不必要的安全事件進行正確地響應。你也知道，在進行安全審查的過程中，會出現很多未經授權的訪問嘗試和服務請求，而如果我們知道你要進行測試，我們就會將這些訪問請求定性為「滲透測試」，但如果我們事先並不知情的話，我們只能將這些發起「非法」請求IP地址加入黑名單，並將事件情報提交給安全社區和執法部門。此時，想必難堪的估計就是我們的客戶和那些第三方安全廠商了。

另一個問題就是，由於我們絕大多數的客戶都是一些小型企業，他們手中的資源非常有限，因此他們更傾向於聘請最便宜的安全公司來進行第三方安全評估，而這些公司往往又缺乏經驗。我們沒有那麼多時間去對這些第三方機構進行資格審查，尤其是那些海外公司，因為除了時間之外，資金的成本也是我們要考慮的問題。

在很多年以前，那時我還沒學會如何說「不」，我曾允許過一名客戶對我們的服務進行第三方安全審查，後來我才發現這家所謂的第三方機構其實已經將安全掃描工作外包給第四方了。最終的結果就是我們的服務遭受了一次突然的DoS攻擊，而此次服務中斷也給我們帶來了不小的經濟損失，因為客戶根據服務條例起訴了我們。還有一次，有一名客戶在我們的系統中發現了一些非常敏感的安全問題，並且還將這些漏洞公布在了網路上，這也給我們公司帶來的不小的麻煩。

我也經常會對我們的客戶說：

「我們的服務和應用需要處理你大量的敏感數據，例如財務信息、醫療保健數據、以及個人身份信息等等。我知道你和我們一樣，都想儘力去保證這些數據的安全，但如果我允許你自己來進行安全測試的話，那麼其他的客戶同樣有權這樣做。這也就意味我們必須開放部分服務介面，你真的想讓這樣的事情發生嗎？」

總結

也許你會認為你的情況與我們有所不同，而你可能也會允許客戶對你的服務進行第三方安全審查。但如果你真的打算這樣做的話，我希望你可以對你的客戶和第三方機構進行嚴苛的資格審核，並對他們進行信用調查，然後做好準備工作並與他們簽署相關的保密協議。除此之外，你也需要安排專門的技術人員來監控整個安全審查工作。如果你無法做到上述這些，那麼你很明顯就是在自找麻煩。

* 參考來源：csoonline，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM