Wie InfoSec die Checkliste „Minimum Viable Secure Product“ verwenden sollte

Ein Team von Technologieunternehmen, darunter Google, Salesforce, Slack und Okta, hat kürzlich die Checkliste Minimum Viable Secure Product (MVSP) veröffentlicht.

Die Nachricht kommt zu einer Zeit, in welcher viele Unternehmen zunehmend sorgsam obig die Sicherheit welcher von ihnen verwendeten Tools und Prozesse von Drittanbietern sind. Nachdem Angriffen wie SolarWinds und Kaseya werden Unternehmen zunehmend klar, wie Tools und Dienste von Drittanbietern qua Einfallstor zu Gunsten von Angreifer herhalten können.

Dieser Trend hat zu einer breiteren Diskussion obig die IT-Logistische Kette geführt und darüber, wie Unternehmen mit Anbietern interagieren, um die Sicherheit von Produkten von Drittanbietern zu forcieren. Viele Unternehmen nach sich ziehen in welcher Vergangenheit Fragebögen zur Sicherheitsüberprüfung von Anbietern verwendet, um die Stärkemehl welcher Softwaresicherheit eines Anbieters zu forcieren, sagt Royal Hansen, Vizepräsident zu Gunsten von Sicherheit unter Google, welcher 2016 seinen eigenen Open-Source-Fragenkatalog zur Priorisierung welcher Anbietersicherheit veröffentlicht hat.

„Sie Fragebögen können zwar hilfreich sein, sind hingegen oft weit, komplex und zeitaufwändig“, sagt Hansen. “Von dort kommt die Erkennung schwerwiegender Blocker in einem Projekt oft zu tardiv, um Änderungen vorzunehmen, sodass sie zu Gunsten von RFPs und Frühphasenbewertungen nicht effektiv sind.”

Unternehmen nach sich ziehen zweite Geige ihre eigenen, manchmal willkürlichen Listen mit Sicherheitsmaßnahmen erstellt, fügt Jim Alkove, Chief Trust Officer unter Salesforce, hinzu. Dies bereitete Anbietern Kopfschmerzen, die dann potenziell Tausende von verschiedenen Anforderungen gerecht werden mussten, fügt er hinzu. In diesen Fällen vorbeigehen Fehler, die neue Angriffsvektoren schaffen.

“Es liegt in welcher Natur des Menschen”, sagt Alkove. “Viele Cybersicherheit beruht darauf, dass gewöhnliche Gedöns ungewöhnlich gut gemacht werden. Es gibt jedoch keinen universellen Standard hierfür, welches welche “allgemeinen Gedöns” sind.”

Dies roter Faden einer Mindestsicherheits-Baseline, dasjenige sich zum MVSP entwickelte, begann mit Core-Ingenieuren von Salesforce und Google, die die Möglichkeit sahen, eine einfache Schlange von Kontrollen zu erstellen, die während des gesamten Onboarding-Prozesses des Anbieters verwendet werden konnten. Ihre Idee wurde um den Input anderer Technologiefirmen erweitert, die ihre Ratschläge und gewonnenen Erkenntnisse in dasjenige Projekt einbrachten.

Obig mehrere Jahre hinweg nach sich ziehen sie eine herstellerneutrale Sicherheitsbasislinie erstellt, die akzeptable Mindestsicherheitsanforderungen festlegt, um sicherzustellen, dass die wichtigsten Sicherheitskomponenten vorhanden sind, vor sie fortführen, sagt Hansen. Die Kontrollen des MVSP können in allen Phasen des Lieferant-Onboarding-Zyklus angewendet werden, von welcher Anbieterauswahl obig die Priorisierung solange bis hin zu vertraglichen Kontrollen. Die verkettete Liste soll während des gesamten Prozesses zu Gunsten von mehr Klarheit sorgen und die Lieferantenüberprüfung vereinfachen, während Tausende von Anforderungen in einem benutzerfreundlichen Format zusammengefasst werden.

Die Erschaffung eines einfachen Frameworks war ein komplexer Prozess, bemerkt Hansen. Es sind viele Sicherheitsaspekte zu berücksichtigen, und es muss zu Gunsten von eine Vielzahl möglicher Anwendungen und Dienste gelten.

“Es ist wie am Schnürchen, die gewünschten Steuerelemente zu forcieren, hingegen die Festlegung, welches mindestens enthalten sein sollte, war schwergewichtig einzugrenzen und erforderte eine Schlange von Iterationen”, sagt er.

Wie sollten Sie es verwenden?
Es gibt keinen einzigen Weg, den MVSP zu verwenden, bemerkt Hansen. Jede Organisation kann sie nachher Belieben nutzen und die Checkliste an ihre individuellen Bedürfnisse individuell herrichten.

Sicherheitsteams können damit zum Beispiel Mindestanforderungen an Tools und Services im Vorfeld kommunizieren, damit andere wissen, wo sie stillstehen, und klare Erwartungen kommunizieren. Beschaffungsteams können die verkettete Liste verwenden, um Informationen obig Anbieterservices zu vereinen. Rechtsteams können die MVSP qua Grundlage zu Gunsten von die Aushandlung vertraglicher Kontrollen verwenden, schrieb er in einem Blogbeitrag.

„Unternehmen, die Business-To-Business-Anwendungen oder -Services bereithalten, können den MVSP zweite Geige nutzen, um ihre eigene Produktreife zu messen und wichtige Lücken zu identifizieren“, fügt Hansen hinzu. Dies könnte zweite Geige unter welcher Erschaffung neuer Produkte hilfreich sein. Wenige Elemente des MVSP sind zu Gunsten von wenige einzelne Produkte nicht relevant, z. B. zu Gunsten von solche ohne webbasierten Tätigkeit.

Welcher MVSP “prüft ein wertvolles Kästchen”, während er ein hohes Wasserpegel an Sicherheit zu Gunsten von die Sicherheitspraktiken von Anbietern in welcher Logistische Kette bietet, sagt Alkove, hingegen es ist nicht dasjenige einzige Tool, dasjenige Unternehmen verwenden sollten.

„Es ist immer noch von jedem Unternehmen untergeordnet, eine robuste Cybersicherheitsstrategie speziell zu Gunsten von sein Unternehmen, seine Industriebranche, seinen Markt und mehr zu gedeihen – eine, die die Grundlagen hinaus den Zähler bringt“, wie z Angreifer.

Ein Null
Welcher MVSP ist ein Open-Source-Sicherheitsstandard, welcher von einer Arbeitsgruppe verwaltet wird, welcher Mitglieder von Google, Salesforce, Okta und Slack Mitglied sein, und dasjenige Team hofft, welche Menschenschar in den kommenden Monaten zu erweitern. Die Mitglieder planen, die Kontrollen des MVSP im Laufe welcher Zeit regelmäßig zu kontrollieren und zu updaten, und sie erwarten, dass nachher einem Überprüfungsprozess jedes Jahr Hauptversionen veröffentlicht werden.

Zukünftige Versionen des MVSP werden prüfen, wie sich die aktuellen Kontrollen weiterentwickeln können, und darauf abzielen, die Systemsicherheit zu verbessern, sagt Hansen. Dies Team glaubt, dass dies im Laufe welcher Zeit dazu hinzufügen wird, die Sicherheit welcher Industriebranche zu verbessern, da Unternehmen beginnen, MVSP in ihre Prozesse einzuführen.

“Wir ganz zu tun sein mit welcher Zeit die Messlatte höher legen”, sagt Alkove. “Die Grund von heute ist nicht die von morgiger Tag, und Sicherheitsexperten zu tun sein sich ständig weiterentwickeln, um Unternehmen den Bedrohungen von morgiger Tag verdongeln Schritttempo vorne zu sein.”