內(nèi)部安全審查必不可少,但這還不夠。IT部門還應(yīng)該關(guān)注外部安全審查。
安全顧問說:“貴公司通過了我們的年度安全審查。當(dāng)然,有幾個(gè)方面需要改正。”
就像房間里的其他所有科技專業(yè)人士那樣,我看了看列表。報(bào)告列出了存在的一些問題,比如未打補(bǔ)丁的應(yīng)用程序、弱密碼,以及活躍但未使用的網(wǎng)絡(luò)服務(wù)。大家同意,這些問題都應(yīng)該加以糾正。
我問道:“你有沒有進(jìn)行外部安全審查?比如說,審查我們公司使用的移動(dòng)或Web應(yīng)用程序?”
安全顧問說:“那倒沒有”。我很失望,但并不覺得驚訝。
許多企業(yè)組織仍然處在本地應(yīng)用程序或小規(guī)模托管服務(wù)這種環(huán)境下。2016年2月,知名調(diào)研公司Gartner發(fā)布了一份調(diào)查報(bào)告,表明13%的“上市公司”使用微軟Office 365或Google Apps for Work來托管電子郵件。“剩余87%的受訪公司使用由小型服務(wù)商管理的本地、混合、托管或私有云電子郵件。”
不過,我所認(rèn)識(shí)的開發(fā)人員、企業(yè)家和投資者使用大量的移動(dòng)、社交和Web應(yīng)用程序。這些應(yīng)用程序都在“公司高墻外面”如火如荼地發(fā)展,帶來了內(nèi)部安全審查忽視的潛在安全問題。
我問道:“那你可以至少列出我們應(yīng)關(guān)注的主要的外部問題嗎?”那位顧問表示,那不在項(xiàng)目范圍的之內(nèi)。
于是,我在下面列出了需要審查和保護(hù)的外部系統(tǒng),哪怕貴企業(yè)的IT環(huán)境還沒有在云端。
1. 域名注冊(cè)
每年審查貴企業(yè)所有域名的續(xù)約日期。確保你的付款信息最新,確保管理和技術(shù)聯(lián)系人信息準(zhǔn)確,并確保登錄到域名注冊(cè)機(jī)構(gòu)的信息得到妥善保護(hù)。
如果你失去了對(duì)域名的控制權(quán),也就失去了對(duì)網(wǎng)站和電子郵件的控制權(quán)。不懷好意的人可能將網(wǎng)站流量重定向到別處。一旦貴企業(yè)的電子郵件路由被人控制,就有可能面臨另外的黑客攻擊,因?yàn)閷?duì)電子郵件的訪問常常相當(dāng)于使用在線帳戶的驗(yàn)證方法。
2. Web托管
還要審查帳戶安全,確保你的Web托管服務(wù)提供商和Web內(nèi)容管理系統(tǒng)(比如Drupal和WordPress等)帳戶安全。你在做這項(xiàng)工作時(shí),還要審查或續(xù)約你網(wǎng)站的安全證書。
3. 社交媒體
現(xiàn)在,大多數(shù)企業(yè)組織在社交媒體網(wǎng)站上設(shè)有帳戶。管理這些帳戶的人常常擅長溝通,而不擅長計(jì)算機(jī)安全。然而,社交媒體帳戶被黑的話,企業(yè)組織的品牌、形象和聲譽(yù)可能會(huì)受損。
可能的話,審查社交媒體網(wǎng)站的安全設(shè)置,并調(diào)整設(shè)置。比如說,為充當(dāng)貴企業(yè)Facebook頁面管理員的每個(gè)人啟用雙步驟驗(yàn)證。部署一款密碼管理工具,讓長密碼可以在不直接允許多個(gè)用戶管理單一帳戶的網(wǎng)站(比如推特)上安全地共享,或者改用提供多用戶帳戶管理的社交媒體管理工具,比如HootSuite。
4. 外部協(xié)作工具
仔細(xì)關(guān)注協(xié)作工具,尤其是主管和領(lǐng)導(dǎo)層使用的那些工具。像BoardEffect這些董事會(huì)管理工具支持領(lǐng)導(dǎo)層之間的治理會(huì)話,可是與社交媒體一樣,這些工具常常游離于IT環(huán)境之外。
5. 數(shù)據(jù)庫
檢查保存客戶數(shù)據(jù)的外部系統(tǒng)。比如說,MailChimp和Constant Contact包含客戶電子郵件。活動(dòng)登記、調(diào)查和查詢工具常常也獲取客戶數(shù)據(jù)。
還要認(rèn)真審查工作流程。有這么個(gè)案例,有個(gè)IT工作人員發(fā)現(xiàn),一位同事發(fā)送的電子郵件既含有帳戶用戶名,又含有密碼――用戶名和密碼在同一封郵件。這名工作人員重新設(shè)計(jì)了工作流程,保護(hù)帳戶的登錄信息。
6. 移動(dòng)設(shè)備
最后,如果你允許員工使用移動(dòng)設(shè)備,確保設(shè)備切實(shí)得到了管理。即使沒有第三方解決方案,Google Apps for Work和微軟Office 365也都提供了許多工具,可以保護(hù)和管理手機(jī)和平板電腦的安全。要是iPhone的擁有者:圣貝納迪諾縣公共衛(wèi)生部當(dāng)初在部署設(shè)備的時(shí)候部署一種移動(dòng)管理解決方案,2016年年初蘋果與FBI的之爭(zhēng)原本就可以避免。
我在文章開頭提到的那家企業(yè)其年度安全審查得到了及格分?jǐn)?shù),但審查根本沒有評(píng)估或提到上述六大系統(tǒng)。更糟的是,由于這六大系統(tǒng)常常不在IT員工的直接控制,每個(gè)都給企業(yè)帶來了重大風(fēng)險(xiǎn)。