Чем же все-таки ВПН аудит безопасности доказать?


Зная, какие виртуальные частные сети можно доверять трудно для экспертов, не говоря уже потребители. Может аудитов безопасности помочь в этой ситуации? Возможно, но только если понимать, как их интерпретировать.

What Does a VPN Security Audit Really Prove?

В течение многих лет, пользователи полагались на не более, чем репутация и доверие при оценке требований VPN-провайдеры. Но совсем недавно, виртуальные частные сети получают независимые проверки безопасности, чтобы подкрепить свои конфиденциальности и обещает безопасность с чем-то другим, чем модные словечки.

«Аудит безопасности является одним из инструментов, который демонстрирует работоспособность проекта в целом», — сказал Харло Холмс, директор по цифровой безопасности, на свободе печати Фонда. Джон Каллас, старший технический сотрудник Американского союза гражданских свобод, описывает аудиты безопасности как вторая пара глаз. Аудиторские фирмы, может ли или не VPN оправдывает свое намерение. Но VPN аудиты не являются надежными и они не все одинаковые. На вопрос, Что же такое VPN аудит доказать, и как пользователи могут оценить ценность любого данного аудита?

Опубликованные или неопубликованные

Виртуальные частные сети часто продвигают собственные проверок как способ порождения (или восстановления) доверия у своих пользователей. NordVPN, например, объявил о вводе в эксплуатацию только новой ревизии после известия о нарушениях 2018 недавно был обнародован.

Не все компании, позволит общественности получить доступ к результатам этих проверок, однако. Migliano Симон, руководитель отдела исследований PrivacyCo. (материнская компания Top10VPN) говорит, что сети VPN нужно опубликовать проверок онлайн без ограничений «принять дух делает эти проверки», а не через то, что он видит, как по сути, пустой жест. «Я не думаю, что это добавляет большое значение для пользователям для размещения в блоге, сказал, ‘Эй мы провели аудит компании,’ цитата одного или двух пунктов предполагаемых выводов, а затем будет, как, ‘о, Теперь вы можете нам доверять», — сказал он.

Это не всегда легко определить, какие аудиторские фирмы сами по себе надежные, но многие веб-сайты, что список их аудиторов, их полномочия и как долго они были в отрасли, которые могут стать хорошей отправной точкой. Кроме того, ищите проверок фирм, которые самостоятельно публикуют свои результаты. PricewaterhouseCoopers является хорошо известное имя, и это может вдохновить какая-то уверенность в аудит. Cure53, еще одно имя, которое приходит в связи с проверками безопасности, может быть, менее известен за пределами отрасли, но это более специализированные в области кибербезопасности.

«Если [аудит] был выпущен только на VPN пиар команда, и независимый аудитор не давал им разрешения использовать их имя, и они не самостоятельно опубликовать его, что, на мой взгляд, возник бы ряд вопросов, как законные и насколько сильным, что аудит был, или насколько плохо были результаты были, и те, которые не были исправлены», — сказал Джон Кэмфилд, директор глобальной технологической стратегии «Интерньюс».

Виды аудита

Два наиболее распространенных VPN и аудиты аудиты конфиденциальности (которая центр по проверке рубок организаций) и комплексных проверок обеспечения безопасности (которая шире взглянуть на компанию и ее политики безопасности). Последний тип ревизии NordVPN говорит, что это обязательство.

«Идет целенаправленная мутит воду, порой с чуть менее этические поставщиков о том, что они сделали, когда они общаются с их пользователями», — сказал Migliano. «Там, кажется, тенденция использования независимого аудита безопасности термин как прибежищем для ‘Эй, теперь вы можете нам доверять, что я не думаю, что это хорошая вещь.»

Хотя глядя На ли политика входа по VPN матчи своей практики важно, сказал Migliano, он видит его как неполное. Компаниям нужно разрешить аудиторам, чтобы посмотреть на «весь спектр клиентов и приложений и серверной инфраструктуры и основных услуг» тоже, — сказал он.

Насчет Открытого Исходного Кода?

Некоторые виртуальные частные сети, которые не имели собственных независимых аудитов безопасности утверждают, что они ненужны, потому что их использование продукции проверенных инструментов с открытым кодом и библиотеками. Но эксперты говорят, что этого недостаточно. «Что не открыть, как именно они связывают их вместе», — сказал Кэмфилд. «Они настроить их в соответствии с передовой отраслевой практикой, или даже криптографические лучшие практики? Это то, что очень полезно для проверки, чтобы пойти и посмотреть».

Инструменты, построенные на проверенных и инструменты с открытым исходным кодом может взаимодействовать с системой в небезопасный способ, быть неправильно реализована, настроено код, или неправильно журнала или магазина аккаунтов. «Там очень много больше, чем просто, ‘О, мы используем эти открытые библиотеки.’ Ну, ты правильно их использовать?» Сказал Кэмфилд.

Сфера деятельности аудит

Аудит, как правило, имеют область применения, которая затрагивает то, что именно на аудиторскую проверку, методы, используемые, и как комплексное взаимодействие, а также, сколько народ аудита приложение и сколько времени они. «Если кто-то хочет игровые вещи, они, конечно, могли бы игру ему вниз обзорного аудита таким образом, чтобы вещи, которые они знают, что они будут проходить», — сказал Каллас.

Проведение ревизии может, например, только крышка мобильного приложения или расширений для браузера, а не полноценный VPN вы планируете использовать. Иногда, понимание задачи может потребоваться немного читать Между строк. «Аудит может скрыть тот факт, что важные вещи не были проверены», — сказал Холмс. «Например, если у вас есть кто-аудит графического интерфейса, это на самом деле включают в базовом протоколе, или выбор протоколов или предлагаемых протоколов шифрования и как настраивается это? Что на самом деле делает огромную разницу».

Светящийся аудит с ограниченной областью не много рассказать вам о конфиденциальности и безопасности VPN на всех. Например, ограниченная область применения только позволит аудиторам посмотреть исходный код, а не копаться систем VPN и копии (или даже реальных) производственных серверах. «Ваш код может быть удивительно, но если ваш backend сервера не были включены в аудит, это на самом деле не целостный или использоваться в любой форме или моды,» сказал Кэмфилд.

При оценке отчетов по аудиту и их объем, Холмс, кроме того, ищет ли аудиторы осуществлять воспроизводимые протоколы здание, «так что они могут, в большей степени, доказать, что то, что вы на самом деле загрузка и установка игр, что разработчики на самом деле предназначены.»

Выводы Доклада

Аудиторские отчеты являются техническими документами, которые выкладывают то, что уязвимости были найдены в сети VPN, которые оценивали. Аудит показывает, что сети VPN были некоторые ошибки не всегда плохо. На самом деле, это действительно хорошая новость, когда аудиторы найти проблемы, которые исправляются.

«Мой взгляд на каких-либо ошибок и отчетности, это след того, что делает хорошая компания, как они касаются вопросов, который включает в себя, как быстро они их исправить, и действительно ли они пытаются ускользнуть от этого быть проблемы», — сказал Каллас.

Аудиторские отчеты должны включать информацию о исправлениях в ходе последующего взаимодействия, когда аудиторы проверили обратно. Потому что аудит безопасности только отражают момент времени, они должны быть чем-то инвестирует в компании периодически. «Вы не должны пройти аудит один раз и затем Никогда снова,» сказал Холмс.

Виртуальные частные сети обновляются довольно часто и ошибки безопасности обнаруживаются все время, так что чаще, чем не, что аудит-это не тот инструмент, который вы используете. «Лучшее-враг хорошего», — сказал Кэмфилд. «В каком-то идеализированном идеальный мир, весь код будет открыт, сборки будут воспроизводимы (что означает, что вы можете убедитесь, что источник, который каждый может увидеть именно то, что создан инструмент, который вы используете на вашем устройстве) и каждый новый выпуск будут проверены независимо.»

«Накладные расходы и ограничения, которые налагает на средства разработки не являются незначительными», — сказал Кэмфилд. «Итак, я действительно вижу это как, хоть что-то делать. Конечно, это моментальный снимок во времени, но я бы предпочел, чтобы увидеть все пройти ежегодный аудит или аудит два раза в год, чем ничего.»

Не каждый потенциальный пользователь VPN не удосужились изучить проверок, прежде чем подписываться. Иногда вы просто хотите, чтобы разблокировать Netflix. Но если, скажем, вы ищете VPN, чтобы держать вас безопасным и приватным в недружественной среде, то, наверное, стоит ваше время, чтобы принимать подобные вещи всерьез. И не важно, какой тип VPN потребителя, он может никогда не повредит, чтобы быть лучше информированным.

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: