內部安全審查必不可少,但這還不夠。IT部門還應該關注外部安全審查。
安全顧問說:“貴公司通過了我們的年度安全審查。當然,有幾個方面需要改正。”
就像房間里的其他所有科技專業人士那樣,我看了看列表。報告列出了存在的一些問題,比如未打補丁的應用程序、弱密碼,以及活躍但未使用的網絡服務。大家同意,這些問題都應該加以糾正。
我問道:“你有沒有進行外部安全審查?比如說,審查我們公司使用的移動或Web應用程序?”
安全顧問說:“那倒沒有”。我很失望,但并不覺得驚訝。
許多企業組織仍然處在本地應用程序或小規模托管服務這種環境下。2016年2月,知名調研公司Gartner發布了一份調查報告,表明13%的“上市公司”使用微軟Office 365或Google Apps for Work來托管電子郵件。“剩余87%的受訪公司使用由小型服務商管理的本地、混合、托管或私有云電子郵件。”
不過,我所認識的開發人員、企業家和投資者使用大量的移動、社交和Web應用程序。這些應用程序都在“公司高墻外面”如火如荼地發展,帶來了內部安全審查忽視的潛在安全問題。
我問道:“那你可以至少列出我們應關注的主要的外部問題嗎?”那位顧問表示,那不在項目范圍的之內。
于是,我在下面列出了需要審查和保護的外部系統,哪怕貴企業的IT環境還沒有在云端。
1. 域名注冊
每年審查貴企業所有域名的續約日期。確保你的付款信息最新,確保管理和技術聯系人信息準確,并確保登錄到域名注冊機構的信息得到妥善保護。
如果你失去了對域名的控制權,也就失去了對網站和電子郵件的控制權。不懷好意的人可能將網站流量重定向到別處。一旦貴企業的電子郵件路由被人控制,就有可能面臨另外的黑客攻擊,因為對電子郵件的訪問常常相當于使用在線帳戶的驗證方法。
2. Web托管
還要審查帳戶安全,確保你的Web托管服務提供商和Web內容管理系統(比如Drupal和WordPress等)帳戶安全。你在做這項工作時,還要審查或續約你網站的安全證書。
3. 社交媒體
現在,大多數企業組織在社交媒體網站上設有帳戶。管理這些帳戶的人常常擅長溝通,而不擅長計算機安全。然而,社交媒體帳戶被黑的話,企業組織的品牌、形象和聲譽可能會受損。
可能的話,審查社交媒體網站的安全設置,并調整設置。比如說,為充當貴企業Facebook頁面管理員的每個人啟用雙步驟驗證。部署一款密碼管理工具,讓長密碼可以在不直接允許多個用戶管理單一帳戶的網站(比如推特)上安全地共享,或者改用提供多用戶帳戶管理的社交媒體管理工具,比如HootSuite。
4. 外部協作工具
仔細關注協作工具,尤其是主管和領導層使用的那些工具。像BoardEffect這些董事會管理工具支持領導層之間的治理會話,可是與社交媒體一樣,這些工具常常游離于IT環境之外。
5. 數據庫
檢查保存客戶數據的外部系統。比如說,MailChimp和Constant Contact包含客戶電子郵件。活動登記、調查和查詢工具常常也獲取客戶數據。
還要認真審查工作流程。有這么個案例,有個IT工作人員發現,一位同事發送的電子郵件既含有帳戶用戶名,又含有密碼――用戶名和密碼在同一封郵件。這名工作人員重新設計了工作流程,保護帳戶的登錄信息。
6. 移動設備
最后,如果你允許員工使用移動設備,確保設備切實得到了管理。即使沒有第三方解決方案,Google Apps for Work和微軟Office 365也都提供了許多工具,可以保護和管理手機和平板電腦的安全。要是iPhone的擁有者:圣貝納迪諾縣公共衛生部當初在部署設備的時候部署一種移動管理解決方案,2016年年初蘋果與FBI的之爭原本就可以避免。
我在文章開頭提到的那家企業其年度安全審查得到了及格分數,但審查根本沒有評估或提到上述六大系統。更糟的是,由于這六大系統常常不在IT員工的直接控制,每個都給企業帶來了重大風險。
京公網安備 11010502049343號