你可以训练你的供应商吗?

撰写本文的原因是,目前的供应商评估方法失败。一个完美的例子是最近的新闻标题,您可能已阅读“庭院健康的计费供应商被黑客入侵,2.65米患者受影响”。在中庭网络环境中的托管应用程序被利用到访问包含患者数据的数据库。今天,我们将讨论与第三方软件为解决方案应用程序相关的一些风险,并回答一些围绕确保应用程序安全的问题。什么是没有测试的一些含义?围绕确保应用程序安全的法律考虑因素是什么?如果你发现一个严重的洞,最后会发生什么,如果你继续与供应商开展业务?

最活泼的方法

供应商一直被评估 构架 如标准化信息收集(SIG)或评级方案,如Bitsight。 Pentest方法中的下一个逻辑步骤是实际验证供应商是否具有一些基本的技术安全。帮助确保这是一种渗透测试或笔测试的一种方法。渗透测试是模拟攻击。它与漏洞扫描不同,因为测试了系统和软件的实际利用性。问题也出现,这将无法使用自动扫描仪找到。笔测试是一种更彻底的,现实的测试,使公司能够更大了解他们目前的安全性。未测试其中一个应用程序的可能结果最肯定是您公司最糟糕的噩梦。数据泄露的清理昂贵,公共噩梦对员工士气有害。

第三方应用程序

你如何合法地进行笔试第三方应用程序?合法测试第三方应用程序的唯一方法是表达了供应商本身的许可。除了没有供应商许可的情况下,任何可能被发现的错误都无法修复!这些是作为解决方案的软件,作为产品的购买者,或者作为审计员访问代码根本不存在。如果您无法访问它,您如何对破碎的应用程序进行更改?相反,随着船上的供应商可以审计到范围公差。良好的供应商反应应快速,准确,并修复即时风险。最终发生错误。在一天结束时,您应该减少您的组织’使用适当的权限测试这些应用程序的风险,以确保安全解决方案在您的环境中。

测试供应商响应性

如果你找到一个严重的洞,如果你和供应商做生意,会发生什么?使用进入现代应用程序的代码量,发生故障。使用适当的通信渠道到位,与您对漏洞的信息联系到供应商。现在是供应商真正站起来采取行动的时候了。供应商应该对您,您的索赔以及需要进行的补救措施非常响应。也许这个问题不仅仅是一个快速修复,在这种情况下,应该将应用程序退役,直到可以按下代码以修复它。一定要留在你自己和供应商之间的沟通之上,期待快速变化。供应商的回应是真正告诉您与供应商的未来业务。犯错误发生在每个人身上。这就是你从那些定义你和公司的错误中反弹的方式。如果供应商的回应突出,他们就会采取完整的问题,并采取了防止未来利用的适当步骤,然后您应该肯定坚持为卖方。

结论

是的,你可以捏你的供应商。供应商本身希望确保贵公司对使用供应商产品的决定感到满意。供应商还希望您继续使用他们的服务。通过您和供应商之间的开放通信线路接近局势,测试,继电器结果,并继续进行通信。当供应商指示了错误的解决方案到位时,快速验证已进行修复,并将您的确认转发给供应商。通过采取这些步骤,您已尽力为您的公司确保安全的解决方案。

必读 : Fedramp Pentesting要求
//atriumhealth.org/about-us/newsroom/security/special-announcement