向企业添加新软件是一个困难的过程。在过去，选择新软件只需要预算批准，然后才能被采用。今天的企业已经采用了在批准购买新产品之前需要安全性批准的流程。表面上看，这看起来更像是官僚主义，但软件已经改变了。软件正变得越来越互联，公司也在采用更多基于云的平台。保持软件内部的正常方法不再适用于云平台。安全性不再局限于企业基础设施。相反，公司非常依赖供应商的安全实践来保护他们的数据。如果公司的供应商的安全性较弱，则会使公司面临额外的风险。安全责任的分配要求公司仔细检查其供应商的安全性，并迫使其供应商在允许使用新产品之前满足自己的公司安全控制要求。CISO组织通常被视为保守和规避风险，因为他们在评估新产品时使用了严格的标准。有时候，这个过程需要几个月的时间——回答问卷、召开安全会议、进行各种渗透测试。根据我作为企业软件产品的买方和企业软件的卖方这两方面的经验，我认为CISO正在评估您的安全计划的三个关键方面：信任技术透明度1信任它要求一家公司拥有抵押品，并与供应商的安全团队建立牢固的关系。信任不是马上就能赢得的。客户信任具有与企业安全团队合作经验的领导者。通过出版物或参与安全社区的方式为安全社区做出贡献的领导者，会立即从客户那里获得更多的信任。客户获得更多信任的其他领域是公司安全计划的成熟。一个成熟的安全计划将有良好的安全抵押品和长期的认证历史。抵押品应详细描述产品。不仅仅是白皮书中关于安全关键字的重点，还包括全面的白皮书，解释了安全方法、安全体系结构和产品的安全控制。此文档必须面向特定域的安全专业人员。例如，应该有一个应用程序安全部分，讨论供应商的安全软件开发生命周期，并确保产品能够解决OWASP top漏洞。数据处理必须从客户端定义到它在服务中的存储位置。文档是获得客户信任所需的第一个组件。供应商必须共享第三方审计报告。供应商必须有一些第三方证明，以确认安全控制措施到位。供应商可以说他们正在执行安全措施，但是第三方审核报告会验证供应商是否有适当的控制措施。以下是一些类型的控制验证：ISO27001认证或SOC2审计认证。如果存在一些监管要求（即GDPR、HIPAA、GLBA），则必须以附加审计报告的形式，重点关注具体控制措施。在某些情况下，这些控制包含在ISO或SOC2控制中。供应商至少必须有一份审计报告，其中包含显示超过六个月的控制数据的审计数据。SOC2类型2报告是可接受报告的一个例子。2技术选择技术需要对平台有深入的了解。仅仅选择满足法规遵从性要求的产品并不一定能保护平台。在选择监控和保护环境的工具之前，考虑环境是很重要的。一个例子是购买一个在数据中心运行良好但在公共云平台（如amazonwebservices，AWS）中无效的传统IDS。在AWS中，传统的入侵检测系统（IDS）检测方法无法完全访问底层网络流量。相反，可以访问AWS控制平面的AWS特定服务更有效。只有一个AWS本地平台才能在整个基础设施中看到异常情况。基础设施监控是有效保护的必要条件。监视必须到位，以监视网络、系统和日志。所有的数据都应该被传送到一个受保护的集中平台上，这个平台被设计用来关联这些操作，并且经过调整以在特定类型的事件中发出警报。正确配置的系统将针对正常行为进行调整，任何超出正常行为的行为都将向安全团队发出警报。使用逻辑隔离是确保数据隔离的有效方法。数据隔离保护数据不与其他客户共享，防止意外暴露。为了正确地隔离客户，供应商可以为每个客户配置一个单独的环境来存储他们的数据。在AWS中，可以为每个客户配置一个VPC。与VPC的任何连接都可以通过VPC对等、VPN或直接连接来完成。有多个选项是理想的，因为一种类型的连接可能无法满足某些公司的安全要求。必须在整个平台上利用加密，尤其是在公共云环境中。在公共云环境中，有许多共享资源，加密是您能够充分保护重要数据不被暴露的唯一方法。这适用于传输中的数据和存储的数据。传输中的数据必须通过加密通道（如TLS）进行保护。这既适用于从客户机到服务的连接，也适用于基础结构内部服务之间的连接。存储在公共云中的数据必须至少使用文件系统级加密进行加密。在AWS中，密钥管理系统（KMS）用于文件级加密。KMS可以灵活地将加密密钥归客户或服务提供商所有。允许客户控制他们的密钥的好处是，如果他们删除了密钥，他们的数据是不可检索的—特别是当存储被重新用于另一个客户时。三。透明度告诉客户他们的数据是安全的，而不告诉他们是如何保护的，这会让客户望而却步。分享这种方法可以保证他们的数据得到保护。一个成熟的安全程序应该在信息安全管理系统（ISMS）下运行。该系统应明确规定公司实施安全措施的方式。ISMS应规定以审计报告和扫描报告的形式与客户共享信息。以下是应该分享的内容：渗透测试结果-向客户提供第三方渗透测试结果将获得大多数公司安全团队的信任。第三方渗透测试必须每年进行一次以上。除了共享供应商赞助的第三方渗透测试之外，客户还应在供应商的平台上执行约定范围内的测试。动态和静态代码扫描-供应商必须使用行业认可的工具定期对其产品执行动态和静态代码扫描。这些报告应至少每半年提交一次。漏洞扫描结果-应向客户提供频繁的网络和系统扫描。这些扫描应至少每季度进行一次。架构细节-必须有与客户共享的环境细节。客户应该如何把产品的细节放在一起才能明白。这包括服务、物理和逻辑分区的高级图。数据流和持久性-共享客户数据如何在供应商的基础设施中流动。文档必须详细说明数据存储的位置、内容和方式。访问-供应商必须提供清晰的文档和可见性，让谁有权访问他们的数据，并提供保护措施，以防止任何未经授权的用户访问公司数据。围绕3Ts构建一个安全计划—信任、技术和透明性允许技术公司与CISO合作，扩展其安全模型并保护客户。免费试用Databricks。今天就开始吧