Quali sono alcune metriche da utilizzare per valutare la sicurezza SaaS?

In un modello SaaS, probabilmente non sarai in grado di eseguire controlli del codice. Questo perché, come affermato, è Software as a Service. Non è un software in cui è possibile scaricare il software stesso, per non parlare del codice sorgente del software. Tale compito sarebbe svolto a discrezione del fornitore del software e / o del fornitore. Consulta " 5 problemi con la sicurezza SaaS "

Quindi documenterò i problemi che ho con SaaS e SaaS Security.

• Accesso: chi sta accedendo a questo. È solo la mia organizzazione. E 'un software multi-tenant. Ci sarebbe una sovrapposizione.
• Controllo - Come posso verificarlo a volontà. Dove sono archiviati i registri, come posso modificarli per la mia azienda (conservazione dei dati)
• Sicurezza - mentre potrei non essere in grado di controllare il codice, come posso testare la frutta a basso impatto (note vulnerabilità note, problemi di configurazione, ecc.)

La sicurezza quando si tratta di software acquistato non è mai una sua responsabilità. Quando acquisti un'auto, e la casa automobilistica ti dice che hanno attraversato (almeno negli Stati Uniti) i test IIHS (Insurance Institute for Highway Safety) che hanno stabilito una linea di base di sicurezza, hai mai detto: " Io non credeteli, ho bisogno di schiantarmi la macchina per assicurarmi che l'airbag si apra. "Molti più grandi venditori SaaS hanno misure di sicurezza e test in atto. (Google, Microsoft, Salesforce, ecc.)

Quindi mettiamolo in una vista alternativa ora. Testare il software, trovare vulnerabilità. E allora. Ora cosa. Li aggiusti da solo? Cosa ti fa pensare che un fornitore SaaS ti consentirebbe di testare in modo casuale il loro software "pre acquisto". Ci deve essere un certo livello di fiducia, e mentre si può dire: "Fidati ma verifica" nel mondo degli affari, è qui che entrano in gioco gli accordi sul livello di servizio e gli accordi sui termini di servizio per mitigare / trasferire il rischio.

Molti provider SaaS prendono seriamente la sicurezza, ad esempio vedi l'atteggiamento di Microsoft su questo :

Office 365 and Microsoft Dynamics CRM Online internal monitoring includes automated compliance monitoring of infrastructure (e.g., vulnerability scans, penetration testing and testing of process and people controls). The Office 365 and Microsoft Dynamics CRM Online third-party validation program includes independent audits that are conducted on an annual basis to provide verification of Office 365 and Microsoft Dynamics CRM Online's security posture.

Che cosa stai cercando di realizzare esattamente? Stai cercando di essere il team di sicurezza di un fornitore?

Posso pensare ai seguenti scenari:

• Sicurezza contro l'iniezione SQL e attacchi relativi al login se il tuo software ha account utente

• Precisione e robustezza del controllo degli accessi se il tuo software ha utenti

È improbabile che gli offerenti SaaS accettino di sottoporre a test i loro servizi. Potrebbero accettare test indipendenti, ma i quadri di test non sono probabilmente comparabili. Quindi ti sarà difficile confrontare i risultati di uno con quello di un altro.

A meno che tu non stia sollecitando $ 1B in attività, forse la certificazione FedRAMP è la migliore che puoi sperare. Dai un'occhiata al FedRAMP Templates per i criteri di valutazione che GSA utilizza per i provider di servizi cloud (CSP). I documenti di panoramica del programma sono strongmente influenzati da FISMA e NIST (questo è un programma del governo degli Stati Uniti) in modo da non essere a tuo agio con la metodologia . Tuttavia, dato il pensiero e l'energia immessa in FedRAMP, è difficile comprenderlo per portata e completezza. Inoltre, la metodologia e il processo FedRAMP sono stati ampiamente testati su strada nel corso della storia quinquennale del programma.

Ci sono dei lati negativi nell'usare FedRAMP. Molti esperti di sicurezza sottolineano che l'USG ha un curriculum non proprio stellare per la sicurezza informatica. (Pensa alla violazione di OPM.) Inoltre sostengono che la metodologia FISMA è eccessivamente complessa e non riesce a porre la dovuta enfasi e priorità sui vettori di minacce contemporanei. Come soluzione generale per i servizi cloud, potrebbe non essere adatta alla valutazione di applicazioni SaaS specifiche. Ad esempio, è probabile che esistano approcci più adatti per il confronto tra SAP e PeopleSoft rispetto a FedRAMP. Infine, le valutazioni dei valutatori indipendenti di terze parti (3PAO) sono pagate dai rispettivi CSP, pertanto le valutazioni potrebbero non essere costantemente eccellenti.

Se dovessi scegliere di eseguire la tua valutazione, ciononostante dovresti considerare Modello di piano di valutazione della sicurezza (SAP) . Questo documento è progettato per i 3PAO di FedRAMPS da utilizzare per pianificare i test di sicurezza dei CSP. Una volta compilato, questo documento costituisce un piano per i test. I risultati effettivi dei test sono registrati nelle cartelle di lavoro delle procedure di test di sicurezza FedRAMP e in un rapporto di valutazione della sicurezza (SAR), disponibile anche sulle pagine dei modelli e dei documenti FedRAMP.