内部安全审查必不可少,但这还不够。IT部门还应该关注外部安全审查。
安全顾问说:“贵公司通过了我们的年度安全审查。当然,有几个方面需要改正。”
就像房间里的其他所有科技专业人士那样,我看了看列表。报告列出了存在的一些问题,比如未打补丁的应用程序、弱密码,以及活跃但未使用的网络服务。大家同意,这些问题都应该加以纠正。
我问道:“你有没有进行外部安全审查?比如说,审查我们公司使用的移动或Web应用程序?”
安全顾问说:“那倒没有”。我很失望,但并不觉得惊讶。
许多企业组织仍然处在本地应用程序或小规模托管服务这种环境下。2016年2月,知名调研公司Gartner发布了一份调查报告,表明13%的“上市公司”使用微软Office 365或Google Apps for Work来托管电子邮件。“剩余87%的受访公司使用由小型服务商管理的本地、混合、托管或私有云电子邮件。”
不过,我所认识的开发人员、企业家和投资者使用大量的移动、社交和Web应用程序。这些应用程序都在“公司高墙外面”如火如荼地发展,带来了内部安全审查忽视的潜在安全问题。
我问道:“那你可以至少列出我们应关注的主要的外部问题吗?”那位顾问表示,那不在项目范围的之内。
于是,我在下面列出了需要审查和保护的外部系统,哪怕贵企业的IT环境还没有在云端。
1. 域名注册
每年审查贵企业所有域名的续约日期。确保你的付款信息最新,确保管理和技术联系人信息准确,并确保登录到域名注册机构的信息得到妥善保护。
如果你失去了对域名的控制权,也就失去了对网站和电子邮件的控制权。不怀好意的人可能将网站流量重定向到别处。一旦贵企业的电子邮件路由被人控制,就有可能面临另外的黑客攻击,因为对电子邮件的访问常常相当于使用在线帐户的验证方法。
2. Web托管
还要审查帐户安全,确保你的Web托管服务提供商和Web内容管理系统(比如Drupal和WordPress等)帐户安全。你在做这项工作时,还要审查或续约你网站的安全证书。
3. 社交媒体
现在,大多数企业组织在社交媒体网站上设有帐户。管理这些帐户的人常常擅长沟通,而不擅长计算机安全。然而,社交媒体帐户被黑的话,企业组织的品牌、形象和声誉可能会受损。
可能的话,审查社交媒体网站的安全设置,并调整设置。比如说,为充当贵企业Facebook页面管理员的每个人启用双步骤验证。部署一款密码管理工具,让长密码可以在不直接允许多个用户管理单一帐户的网站(比如推特)上安全地共享,或者改用提供多用户帐户管理的社交媒体管理工具,比如HootSuite。
4. 外部协作工具
仔细关注协作工具,尤其是主管和领导层使用的那些工具。像BoardEffect这些董事会管理工具支持领导层之间的治理会话,可是与社交媒体一样,这些工具常常游离于IT环境之外。
5. 数据库
检查保存客户数据的外部系统。比如说,MailChimp和Constant Contact包含客户电子邮件。活动登记、调查和查询工具常常也获取客户数据。
还要认真审查工作流程。有这么个案例,有个IT工作人员发现,一位同事发送的电子邮件既含有帐户用户名,又含有密码――用户名和密码在同一封邮件。这名工作人员重新设计了工作流程,保护帐户的登录信息。
6. 移动设备
最后,如果你允许员工使用移动设备,确保设备切实得到了管理。即使没有第三方解决方案,Google Apps for Work和微软Office 365也都提供了许多工具,可以保护和管理手机和平板电脑的安全。要是iPhone的拥有者:圣贝纳迪诺县公共卫生部当初在部署设备的时候部署一种移动管理解决方案,2016年年初苹果与FBI的之争原本就可以避免。
我在文章开头提到的那家企业其年度安全审查得到了及格分数,但审查根本没有评估或提到上述六大系统。更糟的是,由于这六大系统常常不在IT员工的直接控制,每个都给企业带来了重大风险。
文章转载自微信公众号“一斑”(ID: yiban51CTO)