51CTO首屆中國APP創(chuàng)新評選大賽正在招募>>

【51CTO.COM 快譯】內部安全審查必不可少，但這還不夠。IT部門還應該關注外部安全審查。

安全顧問說：“貴公司通過了我們的年度安全審查。當然，有幾個方面需要改正。”

就像房間里的其他所有科技專業(yè)人士那樣，我看了看列表。報告列出了存在的一些問題，比如未打補丁的應用程序、弱密碼，以及活躍但未使用的網(wǎng)絡服務。大家同意，這些問題都應該加以糾正。

我問道：“你有沒有進行外部安全審查?比如說，審查我們公司使用的移動或Web應用程序?”

安全顧問說：“那倒沒有”。我很失望，但并不覺得驚訝。

許多企業(yè)組織仍然處在本地應用程序或小規(guī)模托管服務這種環(huán)境下。2016年2月，知名調研公司Gartner發(fā)布了一份調查報告，表明13%的“上市公司”使用微軟Office 365或Google Apps for Work來托管電子郵件。“剩余87%的受訪公司使用由小型服務商管理的本地、混合、托管或私有云電子郵件。”

不過，我所認識的開發(fā)人員、企業(yè)家和投資者使用大量的移動、社交和Web應用程序。這些應用程序都在“公司高墻外面”如火如荼地發(fā)展，帶來了內部安全審查忽視的潛在安全問題。

我問道：“那你可以至少列出我們應關注的主要的外部問題嗎?”那位顧問表示，那不在項目范圍的之內。

于是，我在下面列出了需要審查和保護的外部系統(tǒng)，哪怕貴企業(yè)的IT環(huán)境還沒有在云端。

1. 域名注冊

每年審查貴企業(yè)所有域名的續(xù)約日期。確保你的付款信息最新，確保管理和技術聯(lián)系人信息準確，并確保登錄到域名注冊機構的信息得到妥善保護。

如果你失去了對域名的控制權，也就失去了對網(wǎng)站和電子郵件的控制權。不懷好意的人可能將網(wǎng)站流量重定向到別處。一旦貴企業(yè)的電子郵件路由被人控制，就有可能面臨另外的黑客攻擊，因為對電子郵件的訪問常常相當于使用在線帳戶的驗證方法。

2. Web托管

還要審查帳戶安全，確保你的Web托管服務提供商和Web內容管理系統(tǒng)(比如Drupal和WordPress等)帳戶安全。你在做這項工作時，還要審查或續(xù)約你網(wǎng)站的安全證書。

3. 社交媒體

現(xiàn)在，大多數(shù)企業(yè)組織在社交媒體網(wǎng)站上設有帳戶。管理這些帳戶的人常常擅長溝通，而不擅長計算機安全。然而，社交媒體帳戶被黑的話，企業(yè)組織的品牌、形象和聲譽可能會受損。

可能的話，審查社交媒體網(wǎng)站的安全設置，并調整設置。比如說，為充當貴企業(yè)Facebook頁面管理員的每個人啟用雙步驟驗證。部署一款密碼管理工具，讓長密碼可以在不直接允許多個用戶管理單一帳戶的網(wǎng)站(比如推特)上安全地共享，或者改用提供多用戶帳戶管理的社交媒體管理工具，比如HootSuite。

4. 外部協(xié)作工具

仔細關注協(xié)作工具，尤其是主管和領導層使用的那些工具。像BoardEffect這些董事會管理工具支持領導層之間的治理會話，可是與社交媒體一樣，這些工具常常游離于IT環(huán)境之外。

5. 數(shù)據(jù)庫

檢查保存客戶數(shù)據(jù)的外部系統(tǒng)。比如說，MailChimp和Constant Contact包含客戶電子郵件。活動登記、調查和查詢工具常常也獲取客戶數(shù)據(jù)。

還要認真審查工作流程。有這么個案例，有個IT工作人員發(fā)現(xiàn)，一位同事發(fā)送的電子郵件既含有帳戶用戶名，又含有密碼