我最近在评估一个新产品，该产品可以帮助企业评估第三方应用的安全性，以确保它们符合一定的安全标准。这样的产品有价值吗，还是说，坚持遵守政策和程序就足够了呢？

Michael Cobb：在过去几年里，企业IT基础设施的最大变化是开放内部网络资源到第三方应用。现在，可访问内部流程和检索及更新数据的应用数量正在快速增加，这让很多网络管理员工作量骤增，他们需要确保“共享和渐趋扩大的基础设施内企业资源”的安全性。最近的一些数据泄露事故都涉及第三方应用中的漏洞，这些漏洞允许攻击者在连接到目标受害者的网络和资源时访问数据。

在信息安全标准ISO 27001中，强调了确保第三方访问企业资源时不会破坏企业整体安全的重要性。第A.6.2章节则突出了保持企业信息的安全性，以及由外部各方访问、处理、通信或管理的信息处理设备的安全性，而第A.10.2中要求第三方服务交付管理“部署和维护符合第三方服务交付协议的适当水平的信息安全和服务交付”。

尽管其重要性显而易见，很多企业仍然未能适当地评估连接到内部网络资源的第三方应用。企业必须定义一个标准用于接受来自第三方应用的连接，且每个应用都应该遵守。缺乏资源或者对长期关系缺乏信心是企业不这样做的最常见的原因，而缺乏内部人才来全面评估应用风险是另一个原因。

与缺乏人力和资源的企业可实现的水平相比，采用基于云的扫描来测试漏洞的服务可能提供对漏洞的更为深入的审查。另外，企业外包高技能任务给专家符合成本效益，并带来更安全的应用，特别是当把程序集成到应用的开发生命周期时。

然而，专有代码和保密条款是企业不选择外包的原因之一。在这种情况下，企业遵守政策和程序就可以，只要企业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于：该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后，企业应该将基于整体企业风险的保证水平分配到每个第三方应用。这种保证水平决定了应用可以被接受之前所需的安全测试程度。

无论由谁来评估和批准可连接到企业内部资源的应用，对第三方应用产生的网络流量进行持续监控是发现和分析任何异常流量的关键。对于网络监控器生成的警报，企业必须要采取行动，据称，在对Target的POS终端系统的攻击期间，来自监控系统的警报被遗漏，这原本可以阻止攻击的发生。一次性证书或审查只能说明某个时间点的威胁状况，所以定期审核也很关键。