2.1评估

首先,这些评估面临着巨大的潜在挑战。企业每年如何进行数百甚至数千次评估来执行风险管理计划?最常见的方法是利用一份标准问卷,将其发送给所有供应商,向他们提出相同的问题,以便将供应商相互比较。但哪些问题是有效的?多少个问题才算足够?是否用相同的方式来评估所有供应商?我们怎样获得提出好问题所需的背景信息?又怎样才能有效地处理所有的问卷?这绝对是一项艰巨的工作!不仅对软件消费者来说很麻烦,对软件提供商来说也是如此。因为软件供应商必须使用现有方法,也就是传统的供应商风险管理来处理来自消费者和客户的多个请求,尤其是当他们与许多客户合作时。

其次,一旦建立了流程和执行方法(可能在内部执行或外包给评估提供商),获得供应商的合作可能非常棘手。通常,在续约前或基于供应商应遵守的合同条款进行评估工作是最有效的。然而,这些评估对供应商来说代价很高,并且他们可能缺乏分享信息的动力。例如,如果合同要求他们分享软件中的漏洞并迅速修复这些漏洞,从成本角度来看,这实际上是要求他们参与一项不符合自身最佳利益的活动。

最后,什么被认为是可接受的证据?是一张他们执行所需活动的截图吗?这不过是特定配置或活动在某个时间点的快照,不能保证它会持续一致地发生。那么,活动日志呢?如何确定日志没有被伪造,或者截图能代表整个环境中重复发生的过程吗?政策的证据很好,但怎么知道它是否得到了持续一致的执行?这些评估通常由风险团队进行,缺乏与安全从业者的合作,而安全从业者可以帮助验证这些结果,甚至理解公司关于供应商实践所传达的信息。由于这些原因,许多安全从业者认为传统的风险评估价值不高,仅仅是合规活动。当然,也有例外,但在很多情况下,这种传统的风险评估方法不足以实现全面的风险管理,需要额外的严格性。

这也给消费者带来了挑战。如果你是一家企业,从外部供应商处购买软件和服务,你的组织和团队在给定时间段内(如一个月或一年)只能处理有限的评估、相关文档和与供应商的接触。根据我们的经验,团队通常在向典型组织添加成倍增加的软件、供应商和服务,这超出了团队适当处理或管理它们的能力。这常常导致所谓的影子IT(shadow IT),或者说在企业环境中未经管理的软件。传统意义上的标准化评估也存在挑战,原因包括进行评估的专业人员的主观性以及他们对被评估技术和软件的偶尔缺乏了解。这并不是说专业评估和见解没有价值或将来不会有价值。但在软件透明度、自动化、可见性和文档方面的创新也可以带来更高的对特定软件或供应商及其相关实践的安全性保证。

传统的供应商评估过程通常通过自我声明或第三方评估机构进行,每种方法都有其挑战和缺点。自我声明让供应商自己证明他们符合特定要求,但当涉及收入和合同时,这种方法容易出现问题,并且可能带来主观解释的风险,通常供应商在评估自己时会倾向于给出正面的解释。一个显著的例子是国防部的国防工业基地(Defense Industrial Base, DIB),它要求承包商自我声明符合NIST 800-171要求和控制措施。

多份报告揭示了自我声明分数的显著差距,这些分数被夸大了,与第三方评估的分数形成了鲜明对比。由于安全控制措施未能按预期实施,美国多家联邦国防承包商经历了本可以预防或至少减轻的安全漏洞。这种现实情况导致了国防部网络安全成熟度模型认证(Cybersecurity Maturity Model Certification,CMMC)框架的创建,该框架要求第三方评估合规性。

自我评估的另一面是使用第三方评估机构(third-party assessment organizations,3PAOs),这些独立的第三方会对实体的特定框架或要求的合规性进行初步和定期评估。一个例子是美国联邦政府的联邦风险与授权管理计划(Federal Risk and Authorization Management Program,FedRAMP),该计划帮助授权联邦政府使用的云服务提供商(cloud service providers,CSPs)。虽然这种方法比自我评估提供了更高的保证,但也非常繁琐、昂贵且耗时。

以FedRAMP为例,它已经存在了十年,但截至目前,FedRAMP市场上授权的云服务产品不到300个,而商业市场上可供消费的云服务产品有成千上万。这种模式在提供更高保证的同时,由于第三方评估机构方法对供应商和市场施加的时间和成本,显著减少了对创新解决方案和提供商的访问,导致一些小公司难以承受这些费用和繁琐的过程,或者认为不值得。这些方法在规模上存在挑战,或会对没有足够收入和预算的小公司施加沉重的成本负担。

传统的问卷调查流程繁琐、耗时又昂贵。更糟糕的是,这种流程充满了风险,因为消费者获得的保证来自瞬时证据,基于主观评估,且经常是由软件或服务提供商自我声明,这些提供商因收入和合同关系,倾向于给出正面的评价。传统的供应商风险管理实践通常由手动、基于纸质的活动驱动,这些活动主观且繁琐。

随着软件透明度的提升,我们现在看到的是基于证据的评估,可以查看供应商的软件及其相关组件,以确定其风险状况,这比口头交流和基于表格的问卷调查更能有效证明安全开发实践的有效性。我们还看到市场上有创新解决方案,特别是在云计算和声明式基础设施和应用程序方面,允许近实时的合规性评估,利用API和自动化技术,在摆脱困扰行业数十年的手工表格流程的同时,提供更高的合规保证。当然,我们也认识到并非所有的安全控制都可以自动化或是技术性的,它们始终需要专业见解和评估以及人际互动。

No Comments
Back to top