去年,我们的一家初创公司需要购买SaaS产品(案例管理和工作流软件)。有一些有前途的供应商,所有供应商的产品看起来都令人印象深刻。从技术上讲,它们都具有我们所寻找的功能和API。但是,我们有安全方面的顾虑。我们计划在此工具中存储极其敏感的数据,并希望在选择供应商之前了解其安全状况。
这是一个普遍的问题;您可能自己遇到过。使用SaaS软件,您如何验证其安全性?作为一个行业,我们的答案很差。我们拥有各种认证(PCI,HIPAA / HITECH,FedRAMP等),但这些认证通常都是框选式练习,没有真正的安全价值–只需询问SolarWinds。
因此,安全团队通常最终会向潜在的供应商发送一系列问题-Latacora称之为“哑安全问卷”。顾名思义,做法& mldr不好。大多数DSQ充满没有安全价值的问题(这解释了为什么大多数安全团队实际上没有阅读回复!)。但不幸的是,它们也是我们能做的最好的事情。大型公司也许能够负担得起真正的人力安全审核,并说服供应商允许他们这样做,但是像我们这样的小型初创企业没有比依赖DSQ更好的选择。
正如Latacora所指出的,事实证明,您确实不需要问很多。作为一家初创公司,我们并不希望我们的供应商成为Fort Knox。我们只需要知道与它们一起存储数据至少与在内部存储数据一样安全。我们的供应商拥有所有权的可能方式数量有限;我们只需要问一些基本的问题。 Latacora以此结束他们的职位:
有人-我不是自愿者-应该写DSN来说明这些基本知识。 10个问题,没有图表。
该调查表是为需要评估供应商的较小的,可能是早期阶段的公司设计的。它做出一些假设:
您有一个安全人员(或团队)可以评估答案,并且是决策过程的一部分。如果没有人要阅读答案,请不要浪费您的供应商时间。
您对这些问题的答案已经可以了。如果没有,请不要浪费时间评估供应商。买东西,用节省下来的时间整理自己的房子。
这是针对某些具有特别高的安全影响的SaaS产品-即违反供应商将是一个重大的潜在事件,可能会破坏公司的利益。如果您只是想确定要使用的票务跟踪系统,请再次:只需购买一个并继续前进。
您没有特定的合规性要求-因此,您只是在评估安全状况,而不是合规性。
如果您使用云提供商(GCP / AWS / Azure / etc):如果攻击者获得了访问单个开发人员的云凭证的权限,那么攻击者可以采取什么行动,以及您如何检测和应对该漏洞?
描述员工如何通过公司服务(例如服务器,电子邮件,SaaS产品)进行身份验证,尤其要强调您对密码管理器,2FA和SSO的使用。
描述开发人员或操作人员将新代码推向生产的步骤。
在过去两年中,您是否有任何安全漏洞?如果是,请:解释违规行为,并提供任何事后分析/根本原因分析/行动后报告的副本。
最近(过去12个月)的渗透测试报告,其中包含有关后续措施/补救措施的信息。 最好有外部公司的报告; 内部测试还可以。 只要包含基本漏洞描述和严重性级别,则摘要摘要是好的。 有关组织的安全开发生命周期或类似文件的文档(如果有)。 如果不是,请总结您为帮助工程师编写安全代码而采取的步骤。 提供给员工(尤其是软件开发人员)的任何安全培训材料的副本。 类和内容的摘要/说明很好。 漏洞披露政策和/或漏洞赏金计划的链接。 如果您没有:请说明。 该问卷已发布到公共领域。 如果您放任我们派遣此功能的衍生产品,但您愿意,我们将不胜感激。