Безопасно ли применение сканера в инфраструктуре подрядчика?

Question

[abeba4]

В компании используется сканер уязвимостей, который расположен в инфраструктуре компании-подрядчика. Таким образом подрядчик запускает сканер и сканирует сети компании.
Кроме сканирования подрядчик поддерживает еще ряд сервисов, расположенных в его инфраструктуре и используемых компанией.
Почему это плохо с точки зрения ИБ и как стоит сделать правильнее?

Comments

[Василий Банников]

Выглядит как вопрос с экзамена)

Проблема в том что у вас появляется дополнительный канал связи в другую сеть, где какие-то ещё сервисы работают и над которыми вы не властны.

Если злоумышленник взломает подрядчика (например через 1 из других сервисов в той же сети), то он получит автоматически и доступ к вашей сети.

[Alexey Dmitriev]

Это не плохо.

Answer 1

[Disel0k]

вопрос доверия, если вы выделили например свой IT отдел в отдельную инфраструктуру которая обслуживает сети/сервера - то это прекрасное решение да еще и возможно что с географическим распределением как дополнительный фактор отказоустойчивости, а если это левые чувачки которые могут свинтить с вашими серверами и со всеми данными на них - наверное это плохой выбор
в расположении своих серверов/сервисов на мощностях компании гарантирующей определенный уровень сервиса - это нормальная практика в наше время