内部安全審查必不可少,但這還不夠。it部門還應該關注外部安全審查。
安全顧問說:“貴公司通過了我們的年度安全審查。當然,有幾個方面需要改正。”
就像房間裡的其他所有科技專業人士那樣,我看了看清單。報告列出了存在的一些問題,比如未打更新檔的應用程式、弱密碼,以及活躍但未使用的網絡服務。大家同意,這些問題都應該加以糾正。
我問道:“你有沒有進行外部安全審查?比如說,審查我們公司使用的移動或web應用程式?”
安全顧問說:“那倒沒有”。我很失望,但并不覺得驚訝。
許多企業組織仍然處在本地應用程式或小規模托管服務這種環境下。2016年2月,知名調研公司gartner釋出了一份調查報告,表明13%的“上市公司”使用微軟office 365或google apps for work來托管電子郵件。“剩餘87%的受訪公司使用由小型服務商管理的本地、混合、托管或私有雲電子郵件。”
不過,我所認識的開發人員、企業家和投資者使用大量的移動、社交和web應用程式。這些應用程式都在“公司高牆外面”如火如荼地發展,帶來了内部安全審查忽視的潛在安全問題。
我問道:“那你可以至少列出我們應關注的主要的外部問題嗎?”那位顧問表示,那不在項目範圍的之内。
于是,我在下面列出了需要審查和保護的外部系統,哪怕貴企業的it環境還沒有在雲端。
1. 域名注冊
每年審查貴企業所有域名的續約日期。確定你的付款資訊最新,確定管理和技術聯系人資訊準确,并確定登入到域名注冊機構的資訊得到妥善保護。
如果你失去了對域名的控制權,也就失去了對網站和電子郵件的控制權。不懷好意的人可能将網站流量重定向到别處。一旦貴企業的電子郵件路由被人控制,就有可能面臨另外的黑客攻擊,因為對電子郵件的通路常常相當于使用線上帳戶的驗證方法。
2. web托管
還要審查帳戶安全,確定你的web托管服務提供商和web内容管理系統(比如drupal和wordpress等)帳戶安全。你在做這項工作時,還要審查或續約你網站的安全證書。
3. 社交媒體
現在,大多數企業組織在社交媒體網站上設有帳戶。管理這些帳戶的人常常擅長溝通,而不擅長計算機安全。然而,社交媒體帳戶被黑的話,企業組織的品牌、形象和聲譽可能會受損。
可能的話,審查社交媒體網站的安全設定,并調整設定。比如說,為充當貴企業facebook頁面管理者的每個人啟用雙步驟驗證。部署一款密碼管理工具,讓長密碼可以在不直接允許多個使用者管理單一帳戶的網站(比如推特)上安全地共享,或者改用提供多使用者帳戶管理的社交媒體管理工具,比如hootsuite。
4. 外部協作工具
仔細關注協作工具,尤其是主管和上司層使用的那些工具。像boardeffect這些董事會管理工具支援上司層之間的治理會話,可是與社交媒體一樣,這些工具常常遊離于it環境之外。
5. 資料庫
檢查儲存客戶資料的外部系統。比如說,mailchimp和constant contact包含客戶電子郵件。活動登記、調查和查詢工具常常也擷取客戶資料。
還要認真審查工作流程。有這麼個案例,有個it從業人員發現,一位同僚發送的電子郵件既含有帳戶使用者名,又含有密碼――使用者名和密碼在同一封郵件。這名從業人員重新設計了工作流程,保護帳戶的登入資訊。
6. 移動裝置
最後,如果你允許員工使用移動裝置,確定裝置切實得到了管理。即使沒有第三方解決方案,google apps for work和微軟office 365也都提供了許多工具,可以保護和管理手機和平闆電腦的安全。要是iphone的擁有者:聖貝納迪諾縣公共衛生部當初在部署裝置的時候部署一種移動管了解決方案,2016年年初蘋果與fbi的之争原本就可以避免。
我在文章開頭提到的那家企業其年度安全審查得到了及格分數,但審查根本沒有評估或提到上述六大系統。更糟的是,由于這六大系統常常不在it員工的直接控制,每個都給企業帶來了重大風險。
本文轉自d1net(轉載)