內(nèi)部安全審查必不可少，但這還不夠。IT部門(mén)還應(yīng)該關(guān)注外部安全審查。

安全顧問(wèn)說(shuō)：“貴公司通過(guò)了我們的年度安全審查。當(dāng)然，有幾個(gè)方面需要改正。”

就像房間里的其他所有科技專(zhuān)業(yè)人士那樣，我看了看列表。報(bào)告列出了存在的一些問(wèn)題，比如未打補(bǔ)丁的應(yīng)用程序、弱密碼，以及活躍但未使用的網(wǎng)絡(luò)服務(wù)。大家同意，這些問(wèn)題都應(yīng)該加以糾正。

我問(wèn)道：“你有沒(méi)有進(jìn)行外部安全審查?比如說(shuō)，審查我們公司使用的移動(dòng)或Web應(yīng)用程序?”

安全顧問(wèn)說(shuō)：“那倒沒(méi)有”。我很失望，但并不覺(jué)得驚訝。

許多企業(yè)組織仍然處在本地應(yīng)用程序或小規(guī)模托管服務(wù)這種環(huán)境下。2016年2月，知名調(diào)研公司Gartner發(fā)布了一份調(diào)查報(bào)告，表明13%的“上市公司”使用微軟Office 365或Google Apps for Work來(lái)托管電子郵件。“剩余87%的受訪公司使用由小型服務(wù)商管理的本地、混合、托管或私有云電子郵件。”

不過(guò)，我所認(rèn)識(shí)的開(kāi)發(fā)人員、企業(yè)家和投資者使用大量的移動(dòng)、社交和Web應(yīng)用程序。這些應(yīng)用程序都在“公司高墻外面”如火如荼地發(fā)展，帶來(lái)了內(nèi)部安全審查忽視的潛在安全問(wèn)題。

我問(wèn)道：“那你可以至少列出我們應(yīng)關(guān)注的主要的外部問(wèn)題嗎?”那位顧問(wèn)表示，那不在項(xiàng)目范圍的之內(nèi)。

于是，我在下面列出了需要審查和保護(hù)的外部系統(tǒng)，哪怕貴企業(yè)的IT環(huán)境還沒(méi)有在云端。

1. 域名注冊(cè)

每年審查貴企業(yè)所有域名的續(xù)約日期。確保你的付款信息最新，確保管理和技術(shù)聯(lián)系人信息準(zhǔn)確，并確保登錄到域名注冊(cè)機(jī)構(gòu)的信息得到妥善保護(hù)。

如果你失去了對(duì)域名的控制權(quán)，也就失去了對(duì)網(wǎng)站和電子郵件的控制權(quán)。不懷好意的人可能將網(wǎng)站流量重定向到別處。一旦貴企業(yè)的電子郵件路由被人控制，就有可能面臨另外的黑客攻擊，因?yàn)閷?duì)電子郵件的訪問(wèn)常常相當(dāng)于使用在線帳戶的驗(yàn)證方法。

2. Web托管

還要審查帳戶安全，確保你的Web托管服務(wù)提供商和Web內(nèi)容管理系統(tǒng)(比如Drupal和WordPress等)帳戶安全。你在做這項(xiàng)工作時(shí)，還要審查或續(xù)約你網(wǎng)站的安全證書(shū)。

3. 社交媒體

現(xiàn)在，大多數(shù)企業(yè)組織在社交媒體網(wǎng)站上設(shè)有帳戶。管理這些帳戶的人常常擅長(zhǎng)溝通，而不擅長(zhǎng)計(jì)算機(jī)安全。然而，社交媒體帳戶被黑的話，企業(yè)組織的品牌、形象和聲譽(yù)可能會(huì)受損。

可能的話，審查社交媒體網(wǎng)站的安全設(shè)置，并調(diào)整設(shè)置。比如說(shuō)，為充當(dāng)貴企業(yè)Facebook頁(yè)面管理員的每個(gè)人啟用雙步驟驗(yàn)證。部署一款密碼管理工具，讓長(zhǎng)密碼可以在不直接允許多個(gè)用戶管理單一帳戶的網(wǎng)站(比如推特)上安全地共享，或者改用提供多用戶帳戶管理的社交媒體管理工具，比如HootSuite。

4. 外部協(xié)作工具

仔細(xì)關(guān)注協(xié)作工具，尤其是主管和領(lǐng)導(dǎo)層使用的那些工具。像BoardEffect這些董事會(huì)管理工具支持領(lǐng)導(dǎo)層之間的治理會(huì)話，可是與社交媒體一樣，這些工具常常游離于IT環(huán)境之外。

5. 數(shù)據(jù)庫(kù)

檢查保存客戶數(shù)據(jù)的外部系統(tǒng)。比如說(shuō)，MailChimp和Constant Contact包含客戶電子郵件?；顒?dòng)登記、調(diào)查和查詢工具常常也獲取客戶數(shù)據(jù)。

還要認(rèn)真審查工作流程。有這么個(gè)案例，有個(gè)IT工作人員發(fā)現(xiàn)，一位同事發(fā)送的電子郵件既含有帳戶用戶名，又含有密碼――用戶名和密碼在同一封郵件。這名工作人員重新設(shè)計(jì)了工作流程，保護(hù)帳戶的登錄信息。

6. 移動(dòng)設(shè)備

最后，如果你允許員工使用移動(dòng)設(shè)備，確保設(shè)備切實(shí)得到了管理。即使沒(méi)有第三方解決方案，Google Apps for Work和微軟Office 365也都提供了許多工具，可以保護(hù)和管理手機(jī)和平板電腦的安全。要是iPhone的擁有者：圣貝納迪諾縣公共衛(wèi)生部當(dāng)初在部署設(shè)備的時(shí)候部署一種移動(dòng)管理解決方案，2016年年初蘋(píng)果與FBI的之爭(zhēng)原本就可以避免。

我在文章開(kāi)頭提到的那家企業(yè)其年度安全審查得到了及格分?jǐn)?shù)，但審查根本沒(méi)有評(píng)估或提到上述六大系統(tǒng)。更糟的是，由于這六大系統(tǒng)常常不在IT員工的直接控制，每個(gè)都給企業(yè)帶來(lái)了重大風(fēng)險(xiǎn)。

文章轉(zhuǎn)載自微信公眾號(hào)“一斑”(ID: yiban51CTO)