È comune sottoporre a verifica la sicurezza, ma non avere accesso ai risultati dell'audit?

1
  • Quando ha senso, o è comune a non avere accesso per resuts / report di audit di sicurezza quando si tratta di grandi aziende chi usa il tuo software?

  • Come si può fare un caso per i benefici della condivisione della documentazione lacune di sicurezza e quali sono i rischi di non rivelare questo informazioni?

Scenario ipotetico:

The company MediumSizedSoftwareCorp was recently approached by one of its customers, SuperGiantMegaCorp to conduct a security audit of MediumSizedSoftwareCorp's platform (which they use).

The audit was conducted in relative secrecy by a security and compliance team at SuperGiantMegaCorp and managers at MediumSizedSoftwareCorp were informed that their software platform had "failed" the audit. Managers are both companies are in a tizzy because the security issues threaten to derail future contract growth.

Engineers at MediumSizedSoftwareCorp desperately want to remedy the security issues, but SuperGiantMegaCorp will only discuss the vulnerabilities by phone, leaving out specifics and discussing only in vague, general terms. Compounding this is the fact that auditors at SuperGiantMegaCorp refuse to share detailed audit report documents because of the "sensitive" nature of the documents.

Questo scenario sembra antitetico alla chiusura delle lacune nella sicurezza. Trasparenza e cooperazione sembrano opzioni migliori, ma come si costruisce un caso basato sull'evidenza per questo?

    
posta Ray 01.08.2017 - 18:34
fonte

2 risposte

3

In effetti, la situazione che descrivi non si presta alla risoluzione rapida di qualsiasi vulnerabilità riscontrata dal mega corp audit. Tuttavia, fai attenzione che potrebbe non essere il punto. Anche se il vero scopo dell'audit è di correggere i difetti di sicurezza, ci sono alcuni motivi per cui il mega corp non può condividere specifiche.

Quali altri scopi ha un audit di sicurezza oltre a correggere i buchi di sicurezza? Bene, leggi il tuo contratto e pensa attraverso le motivazioni di tutti. Come altri hanno affermato, possono esserci motivazioni contrattuali o politiche. In cima alla mia testa:

  1. Mega Corp potrebbe voler interrompere o rinegoziare il contratto o un contratto con qualcun altro. Stanno usando l'audit come leva.
  2. Mega Corp sta effettuando una valutazione del rischio del proprio prodotto e vogliono solo capire quale tipo di rischio il tuo software pone alla propria attività.
  3. Mega Corp sta seguendo una regola o un regolamento che dice che è necessario fare audit regolari e questo è tutto ciò che hanno deciso di fare.
  4. Mega Corp non vuole iniziare una scia cartacea che documenti vulnerabilità potenzialmente dannose, o che non vogliono che la scia della carta lasci il loro controllo fisico.
  5. Potrebbero essere legalmente vietati (o legalmente preoccupati) di condividere le informazioni da un ambiente classificato / controllato ad un ambiente non classificato / non controllato.

Potrebbero ritenere di avere legittimi motivi di sicurezza per non condividere anche specifiche vulnerabilità.

  1. Potrebbero non fidarsi della tua azienda e fornirti una lista di casi di test specifici ti diranno molto su quali tipi di problemi hanno avuto in passato, così come i problemi che prevedono come problemi per loro in futuro .
  2. Potrebbero non volere che tu risolva solo i bug che hanno trovato, ma che invece facciano una recensione più completa. Se ti dicono che possono far scorrere le stringhe X, Y e Z attraverso la convalida dell'input, sarai tentato di correggere solo quei casi specifici. Se ti dicono solo che la tua convalida dell'input è un pezzo di merda e per risolverlo altrimenti perderai il tuo contratto, la tua azienda guarderà con attenzione l'intero software da cima a fondo.
risposta data 01.08.2017 - 20:13
fonte
0

Ciò che gli altri hanno detto, questo è un problema di business, non tecnico. Può essere semplice come il fatto che MegaCo ha pagato per la verifica e non vede alcun motivo per condividere tali informazioni con te. La soluzione potrebbe essere semplice come chiedere a chi ha effettuato l'audit per MegaCo e vedere se è possibile assumerli personalmente per la propria verifica.

    
risposta data 01.08.2017 - 20:28
fonte