在一个项目中,我不得不使用不安全的 FTP 连接到托管服务提供商——不是 SFTP,不是 FTPS。托管服务提供商自豪地声称它已通过 ISO 27001 认证。不知何故,这一切对我来说似乎都是错误的。
一家公司是否有可能在获得 ISO 27001 认证的同时仍大量使用 FTP 等不安全协议?
我已经不在这个项目上了,过去问的时候我没有得到正确的答案,如果我现在问服务提供商肯定不会得到答案。
我主要想知道它是如何与 ISO 27001 相关的 - 以及因此我可以在此认证中赋予多少价值。
颁发这些证书的人是否对使用 FTP 的组织无动于衷?还是服务提供商更有可能将这些信息远离验证者?
就我个人而言,我不相信任何仍然使用 FTP 的互联网服务提供商。更不用说将其作为客户的主要选择。
(我知道 FTP、SFTP 和FTPS之间的区别——后者之间的区别要小一些,但这超出了这个问题。)
相关但不重复:
更新:不安全的数据是通过不安全的通道传输的。在中间人攻击的情况下,熟练的攻击者很容易能够访问该机构的内部网络(我不会在这里提供详细信息,但是哇......我可能自己也可以做到 - 而且我'我无论如何都不是渗透测试的专业人士)。服务提供商一定已经意识到了这一点。