Безопасно ли применение сканера в инфраструктуре подрядчика?

Question

[abeba4]

В компании используется сканер уязвимостей, который расположен в инфраструктуре компании-подрядчика. Таким образом подрядчик запускает сканер и сканирует сети компании.
Кроме сканирования подрядчик поддерживает еще ряд сервисов, расположенных в его инфраструктуре и используемых компанией.
Почему это плохо с точки зрения ИБ и как стоит сделать правильнее?

Comments

[Василий Банников]

Выглядит как вопрос с экзамена)

Проблема в том что у вас появляется дополнительный канал связи в другую сеть, где какие-то ещё сервисы работают и над которыми вы не властны.

Если злоумышленник взломает подрядчика (например через 1 из других сервисов в той же сети), то он получит автоматически и доступ к вашей сети.

[Alexey Dmitriev]

Это не плохо.

Answer 1

[hint000]

Это не плохо.

Это не плохо, если вы с подрядчиком не объединены через VPN, т.е. если подрядчик имеет столько же возможностей, как любой потенциальный злоумышленник. При этом ваша собственная инфраструктура не должна делать никаких поблажек при сканировании.

• Если дыры у вас нет, то и опасности нет.
  
• Если дыра есть, то вы только в плюсе, когда в результате сканирования узнаете о дыре и сможете её закрыть, тогда как злоумышленник мог воспользоваться дырой независимо от сканирования.
  
• Если дыра есть, но сканирование её не обнаружило, то, по крайней мере, ваша безопасность не ухудшилась.

Если же вы соединяете свою сеть с сетью подрядчика через VPN, то риск может вырасти, но это ещё зависит от того, насколько близко вы следуете принципу нулевого доверия.

Answer 2

[Disel0k]

вопрос доверия, если вы выделили например свой IT отдел в отдельную инфраструктуру которая обслуживает сети/сервера - то это прекрасное решение да еще и возможно что с географическим распределением как дополнительный фактор отказоустойчивости, а если это левые чувачки которые могут свинтить с вашими серверами и со всеми данными на них - наверное это плохой выбор
в расположении своих серверов/сервисов на мощностях компании гарантирующей определенный уровень сервиса - это нормальная практика в наше время