近日，包括谷歌、Salesforce、Slack和OKta等在內(nèi)的科技公司聯(lián)合發(fā)布了“最小可行安全產(chǎn)品”(Minimum Viable Secure Product，簡稱MVSP)清單，它是一個中立性的安全基線要求，包含了面向B2B軟件和業(yè)務流程外包供應商的最低安全要求。

事實上，在諸如涉及SolarWinds和Kaseya的攻擊事件后，企業(yè)已經(jīng)越來越意識到第三方工具和服務正淪為攻擊者的重要途徑，也愈發(fā)關(guān)注自身所用的第三方工具和流程的安全性。因此，“最小可行安全產(chǎn)品”概念的誕生可算正當時!

誕生背景

在此之前，許多組織習慣使用供應商安全審查問卷來確定供應商軟件安全的強度，谷歌在2016年也曾發(fā)布了自己的開源供應商安全評估問卷。雖然這些調(diào)查問卷確實能夠提供一些幫助，但它們往往冗長、復雜且耗時。如此一來，即便在項目中發(fā)現(xiàn)嚴重的阻礙因素，也通常來不及進行更改，因此，這些問卷對項目提案(RFP)和早期審查基本無效。

此外，有些企業(yè)也建立了自己的(有時是隨意的)安全措施清單。這讓供應商格外頭疼，因為他們不得不遵守潛在的、數(shù)千種不同要求。而且，在這些情況下，很可能會出現(xiàn)錯誤，從而產(chǎn)生新的攻擊向量。

后來，最小安全基線的概念逐漸演變?yōu)?ldquo;最小可行安全產(chǎn)品”，它是Salesforce和Google核心工程師率先提出的概念。之后，這種想法開始擴展到其他科技公司，并融合這些公司的經(jīng)驗教訓和建議，不斷發(fā)展完善。

最小可行安全產(chǎn)品(MVSP)概念

最小可行安全產(chǎn)品(MVSP)是一個廠商中立的安全基線，列出了確保實現(xiàn)合理安全狀況，必須采取的最低安全要求，涵蓋業(yè)務控制、應用程序設計控制、應用實施與操作控制四個方面。具體而言，包括企業(yè)客戶針對應用的安全性測試，系統(tǒng)的年度滲透測試、特殊的密碼測試、利用加密保護敏感數(shù)據(jù)與靜態(tài)數(shù)據(jù)、培訓開發(fā)人員防御特殊漏洞，建立授權(quán)訪問企業(yè)網(wǎng)站數(shù)據(jù)的三方名單等，都可作為最小可行安全產(chǎn)品的內(nèi)容。

MVSP的控制集可以應用于供應商生命周期的所有階段，從供應商選擇到評估，再到合同控制，均能發(fā)揮作用。該列表旨在通過將數(shù)以千計的要求濃縮為易于使用的格式，在整個過程中提供更大的清晰度，并簡化供應商審查流程，從而消除采購供應商安全評估過程中的復雜性與繁瑣度，縮短整體周期。

MVSP應用指南

最小可行安全產(chǎn)品的應用案例并不是單一和局限的。任何組織都可以在他們認為適當?shù)臅r候使用它，并根據(jù)自身需求調(diào)整清單。

例如，安全團隊可以使用它預先傳達工具和服務的最低要求，以便其他人知道他們的立場，并傳達明確的期望;采購團隊可以使用該列表來收集有關(guān)供應商服務的信息;法律團隊也可以在協(xié)商合同控制時使用MVSP作為基準。

此外，提供B2B應用程序或服務的公司也可以使用MVSP來衡量自身產(chǎn)品的成熟度，并確定關(guān)鍵差距，在開發(fā)新產(chǎn)品時，注意到這一點可能會大有幫助。

MVSP“檢查框”為供應鏈中供應商的安全實踐提供了高級別的保證，但它并不是組織應該使用的唯一工具。想要實現(xiàn)最大程度的安全性，仍然需要每個組織制定針對其企業(yè)、行業(yè)、市場等的強大網(wǎng)絡安全戰(zhàn)略——一個基礎(chǔ)夯實的安全戰(zhàn)略，例如，針對訪問企業(yè)網(wǎng)絡的員工實施多因素身份驗證，并加大安全投資以領(lǐng)先于攻擊者。

MVSP只是一個起點

MVSP是一個開源安全標準，由一個工作組進行維護，該工作組目前包括來自Google、Salesforce、Okta和Slack的成員，并有望在未來幾個月內(nèi)進一步實現(xiàn)擴展。MVSP成員計劃隨著時間的推移定期審查和更新MVSP的控制措施，并希望在完成審查過程后，每年都能發(fā)布主要版本。

MVSP的未來版本將審查當前控制措施的演變過程，并旨在改進系統(tǒng)安全性。該團隊認為，隨著企業(yè)組織開始在其流程中采用MVSP，長期來看，它將有助于提高整體行業(yè)安全性。

不過，目前的基準并不一定能適應未來的威脅場景，安全專業(yè)人員必須不斷創(chuàng)新，才能確保在新型威脅到來前做好準備。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文