2020年將在歷史上反映出許多驚喜。事后看來(lái)，一個(gè)讓意料之外的公司感到不安的趨勢(shì)是通過(guò)第三方軟件爆炸性地發(fā)生網(wǎng)絡(luò)安全漏洞。這些趨勢(shì)清楚地提醒人們，第三方軟件檢測(cè)機(jī)構(gòu)的安全測(cè)試工作的失敗或成功中所起的關(guān)鍵作用。

       第三方軟件安全測(cè)試涉及第三方漏洞的新聞不乏頭條新聞。

       雖然第三方軟件正在成為大多數(shù)組織中的常見(jiàn)商品，但目前缺乏正式的審查流程來(lái)評(píng)估軟件的安全狀況并持續(xù)減輕它們對(duì)公司核心運(yùn)營(yíng)構(gòu)成的風(fēng)險(xiǎn)。

       如此嚴(yán)重的數(shù)據(jù)泄露凸顯了在整體第三方軟件檢測(cè)機(jī)構(gòu)識(shí)別和評(píng)估第三方軟件漏洞的重要性。

要應(yīng)對(duì)這些挑戰(zhàn)，請(qǐng)通過(guò)以下方式識(shí)別漏洞：

        NextGen 網(wǎng)絡(luò)安全評(píng)級(jí)：在某個(gè)時(shí)間點(diǎn)進(jìn)行監(jiān)控不足以涵蓋持續(xù)的安全事件鏈。利用安全評(píng)級(jí)來(lái)分析風(fēng)險(xiǎn)并持續(xù)監(jiān)控事件的下一代 TPRM 工具可以提供可見(jiàn)性并促進(jìn)威脅的早期檢測(cè)。

       主動(dòng)和被動(dòng)掃描：定期掃描以識(shí)別、確定優(yōu)先級(jí)和評(píng)估軟件漏洞，并將它們映射到版本，使您的基礎(chǔ)架構(gòu)能夠抵御第三方軟件和組件。這些掃描必須包括第三方 Web 應(yīng)用程序和 SaaS 上的 Web 應(yīng)用程序漏洞識(shí)別。此類(lèi)掃描將利用OWASP top 10等標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是定期更新的軟件關(guān)鍵安全風(fēng)險(xiǎn)列表，其中包括：

?注入攻擊

?損壞的身份驗(yàn)證

?敏感數(shù)據(jù)暴露

?安全配置錯(cuò)誤

?跨站腳本

?不安全的反序列化

?使用具有已知漏洞的組件等。

       自動(dòng)化風(fēng)險(xiǎn)評(píng)估：通過(guò)使用基于框架的綜合問(wèn)卷對(duì)第三方軟件進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和評(píng)分，可以幫助您識(shí)別和自動(dòng)驗(yàn)證控制缺陷和差距，這對(duì)于改善您的整體風(fēng)險(xiǎn)狀況也至關(guān)重要。

利用下一代第三方風(fēng)險(xiǎn)管理解決方案

       識(shí)別和緩解第三方軟件漏洞似乎是一項(xiàng)艱巨的任務(wù)。但是，利用FortifyData 等下一代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理平臺(tái)進(jìn)行第三方風(fēng)險(xiǎn)管理，將簡(jiǎn)化您保護(hù)組織免受第三方軟件威脅的方式。

以下是用于軟件漏洞緩解的下一代 TPRM 解決方案的期望：

o第三方軟件和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分的自動(dòng)評(píng)估

o第三方合規(guī)性的自動(dòng)驗(yàn)證

o用于早期威脅檢測(cè)的持續(xù)監(jiān)控和基于事件的警報(bào)

o全面的風(fēng)險(xiǎn)報(bào)告和輕松協(xié)作，及時(shí)補(bǔ)救

       今天，保護(hù)組織所涉及的不僅僅是您的員工和內(nèi)部基礎(chǔ)設(shè)施。如今，第三方軟件和供應(yīng)商已成為您核心運(yùn)營(yíng)工作流程不可或缺的一部分，并且通常是您安全框架中的薄弱環(huán)節(jié)。

       綜上所述選擇一家第三方軟件檢測(cè)機(jī)構(gòu)進(jìn)行安全測(cè)試是非常重要的，他可以給軟件進(jìn)行全面的檢測(cè)并給出修復(fù)建議加強(qiáng)安全的等級(jí)，一航軟件測(cè)評(píng)擁有獨(dú)立的軟件測(cè)試實(shí)驗(yàn)室，能夠給企業(yè)最專(zhuān)業(yè)、安全的檢測(cè)服務(wù)體驗(yàn)。