审计方法至少一半
攻击者设法利用外部服务提供商如POS商提醒企业联想企业不再有可能防弹周界
不审核提供商就像忽略审核内部企业 最终产生相似效果两种情况都无法堵上你所不知道的漏洞可知道什么审计 狮子分享 如何实现它
第五编集五大编集中, 设计增强并消除事件响应本身的漏洞, COS教程你审计那些 与你密切交易者内部 以及使用资源
推荐资源外部服务提供者保障、约束和控制
适当控件取决于服务提供方、行业、地理位置、辖区准据法以及服务类型州总检察长支持互联网安全中心关键安全控件,Scott Koller咨询师BakerHostler
加利福尼亚州除外 州通常不批注 特定安全标准说到此,马萨诸塞州在法规中提出了标准,即201CMR17.00补充Koller,但这是他们自己的指南,不是外部控件集
某些行业信息安全控件标准 和关于如何审核这些控件的信息PCI安全标准咨询面向零售业金融监管局华府U.S.卫生人事局并NIST网络安全框架Koller表示,
COS也有这个安全法例规范指南.
最简单应用正确信息安全标准的方法就是简单查看那些你必须遵循并期望从外部服务提供方得到同样效果的标准商家和提供商应坚持PCIDSS安全标准
具体技术方法
请求保护并例行审核以确保实现,将大大提高外部供销商的强度
限制外部服务提供者访问,分段网络使用VLANs和其他技术与方法隔离网络访问
澳大利亚政府国防部发布“各级政府信息安全建议”,其中包括关于“网络分割和隔离技术转移良好供世界网络使用
澳大利亚国防部建议使用交通流过滤器、网络、应用软件和主机防火墙、NAC单向安全网关、应用服务代理器、用户服务认证授权器和内容滤波
澳大利亚政府出版物进一步鼓励使用域服务器隔离并使用加密和LUN掩码过滤IPsec
使用单一用户名遍历第三方提供商,这样公司不使用时可禁用并访问该公司限制远程访问组织内经批白列表IP地址集,
外部服务商应允许并按需远程访问,使用基于时间和其他规则集自动禁止使用这些工具,如政策覆盖的那些集企业可使用防火墙等技术执行这些政策,在给定期间或在供应商不应连接的一组情况下下降连接和/或关闭端口Koller表示:「如果你允许远程访问LogMein或RDP,
企业可能不得不人工禁用远程存取工具,关闭程序或暂时撤销公司用户证书解释Koller测试远程访问服务时, 供销商不连接以确保无法连接, 并补充Koller
所有技术控件 都要求供应商定期审核 保证自己守法
合同型方法
企业应保证合同中包括关键网络责任保险规定、责任限制和补偿,目标对各类服务提供方及其服务提供方是独一无二的企业应征求内部顾问或律师专家的意见
要使这些规定以可重复方式运作而不消除任何一方的压力,你就必须平衡数据量和值以及风险水平与外部提供商存取量和数据破解潜在代价,Koller表示。确保提供商携带足够的保险以支付最大程度的损失确保供应商对适当风险相关项目负责有限责任规定通常限制损害至服务协议支付的全部费用但如果事件影响你所有数据 收费可能不覆盖所有数据
执行与供应商的协议前,应满足这些标准服务提供商规模和企业量是关键因素 影响他们的讨价还价地位
向外部供应商规模和资源背景测量最坏破解后果,确保供应商有金融手段补偿企业破解如果公司太小无法拥有这些资源,它们可能太小无法与你合作网络风险覆盖是一个选项 只要商家支付得起网络保险商相关损失保证保险完全覆盖 科勒说
建立合同、技术控件和审计外部供应商时保持友好但坚固
见第2部分本序列如何审查测试备份程序以确保数据恢复
