大企业的安全有哪些你可以钻的空子

内部安全审查必不可少,但这还不够。IT部门还应该关注外部安全审查。

安全顾问说:“贵公司通过了我们的年度安全审查。当然,有几个方面需要改正。”

就像房间里的其他所有科技专业人士那样,我看了看列表。报告列出了存在的一些问题,比如未打补丁的应用程序、弱密码,以及活跃但未使用的网络服务。大家同意,这些问题都应该加以纠正。

我问道:“你有没有进行外部安全审查?比如说,审查我们公司使用的移动或Web应用程序?”

安全顾问说:“那倒没有”。我很失望,但并不觉得惊讶。

许多企业组织仍然处在本地应用程序或小规模托管服务这种环境下。2016年2月,知名调研公司Gartner发布了一份调查报告,表明13%的“上市公司”使用微软Office 365或Google Apps for Work来托管电子邮件。“剩余87%的受访公司使用由小型服务商管理的本地、混合、托管或私有云电子邮件。”

不过,我所认识的开发人员、企业家和投资者使用大量的移动、社交和Web应用程序。这些应用程序都在“公司高墙外面”如火如荼地发展,带来了内部安全审查忽视的潜在安全问题。

我问道:“那你可以至少列出我们应关注的主要的外部问题吗?”那位顾问表示,那不在项目范围的之内。

于是,我在下面列出了需要审查和保护的外部系统,哪怕贵企业的IT环境还没有在云端。

1. 域名注册

每年审查贵企业所有域名的续约日期。确保你的付款信息最新,确保管理和技术联系人信息准确,并确保登录到域名注册机构的信息得到妥善保护。

如果你失去了对域名的控制权,也就失去了对网站和电子邮件的控制权。不怀好意的人可能将网站流量重定向到别处。一旦贵企业的电子邮件路由被人控制,就有可能面临另外的黑客攻击,因为对电子邮件的访问常常相当于使用在线帐户的验证方法。

2. Web托管

还要审查帐户安全,确保你的Web托管服务提供商和Web内容管理系统(比如Drupal和WordPress等)帐户安全。你在做这项工作时,还要审查或续约你网站的安全证书。

3. 社交媒体

现在,大多数企业组织在社交媒体网站上设有帐户。管理这些帐户的人常常擅长沟通,而不擅长计算机安全。然而,社交媒体帐户被黑的话,企业组织的品牌、形象和声誉可能会受损。

可能的话,审查社交媒体网站的安全设置,并调整设置。比如说,为充当贵企业Facebook页面管理员的每个人启用双步骤验证。部署一款密码管理工具,让长密码可以在不直接允许多个用户管理单一帐户的网站(比如推特)上安全地共享,或者改用提供多用户帐户管理的社交媒体管理工具,比如HootSuite。

4. 外部协作工具

仔细关注协作工具,尤其是主管和领导层使用的那些工具。像BoardEffect这些董事会管理工具支持领导层之间的治理会话,可是与社交媒体一样,这些工具常常游离于IT环境之外。

5. 数据库

检查保存客户数据的外部系统。比如说,MailChimp和Constant Contact包含客户电子邮件。活动登记、调查和查询工具常常也获取客户数据。

还要认真审查工作流程。有这么个案例,有个IT工作人员发现,一位同事发送的电子邮件既含有帐户用户名,又含有密码――用户名和密码在同一封邮件。这名工作人员重新设计了工作流程,保护帐户的登录信息。

6. 移动设备

最后,如果你允许员工使用移动设备,确保设备切实得到了管理。即使没有第三方解决方案,Google Apps for Work和微软Office 365也都提供了许多工具,可以保护和管理手机和平板电脑的安全。要是iPhone的拥有者:圣贝纳迪诺县公共卫生部当初在部署设备的时候部署一种移动管理解决方案,2016年年初苹果与FBI的之争原本就可以避免。

我在文章开头提到的那家企业其年度安全审查得到了及格分数,但审查根本没有评估或提到上述六大系统。更糟的是,由于这六大系统常常不在IT员工的直接控制,每个都给企业带来了重大风险。

本文转自d1net(转载)

时间: 2024-10-12 03:13:35

大企业的安全有哪些你可以钻的空子的相关文章

揭秘美国云计算 大企业是第一推动力

本文讲的是揭秘美国云计算 大企业是第一推动力,最先在企业内部进行云计算部署实践的几家企业,如谷歌.亚马逊.微软,在云计算方面投入最大的前若干名公司,如HP.IBM等,都是总部设在美国的跨国企业,同时,围绕着这些巨头也出现了很多中小企业提供云计算产业上下游某个环节的产品服务,出现了众多可行的云计算商业模式.回顾这5年来云计算在 美国的发展,观察分析参与其中各方--企业.政府.机构的表现举措,对我国的云计算产业发展将有非常积极的借鉴意义.  互联网巨头出于自身需要发展出了云计算服务  在云计算概念提

制定云计算标准推动力 大企业推动标准进程

目前,已有多家标准化组织在领导着不同的云计算标准的制定工作,那么这些不同方向上的努力究竟会导向成功呢还是一场标准之战? 云计算的兴起产生了一股强大的要求制定云计算标准的推动力,这种推动力来自很多大企业的IT领导人,他们强烈要求为安全和数据的移植制定标准. 然而,对于http://www.aliyun.com/zixun/aggregation/6182.html">标准制定的这种初期的推动正开始变得越来越像是一场赛车比赛--尽管人人都在同一赛道上驾驶,但是每人驾驶的车却完全不同. 多家标准

大企业大力推动云计算标准进程

目前,已有多家标准化组织在领导着不同的云计算标准的制定工作,那么这些不同方向上的努力究竟会导向成功呢还是一场标准之战? 云计算的兴起产生了一股强大的要求制定云计算标准的推动力,这种推动力来自很多大企业的IT领导人,他们强烈要求为安全和数据的移植制定标准. 然而,对于http://www.aliyun.com/zixun/aggregation/6182.html">标准制定的这种初期的推动正开始变得越来越像是一场赛车比赛--尽管人人都在同一赛道上驾驶,但是每人驾驶的车却完全不同. 多家标准

苏宁从一家中小企业发展为大企业的历程

郭晋晖 1990年一个冷冷的冬日,一家占地200平方米的空调专营店在南京宁海路开业了.23年之后,这家名叫苏宁的"店铺"坐上了中国民营企业500强的头把交椅,2327亿的总营收超过了联想和华为. 1998年,孙为民辞去南京理工大学的教职加盟苏宁,成为张近东的助手,那年他35岁.从2004年夏天苏宁登陆深交所到如今,孙为民一直担任苏宁副董事长. 15年间,孙为民参与了苏宁三个十年的两次转型,并见证苏宁从一家中小企业发展为大企业的历程.孙为民说,所谓的企业家精神就是指创新和创业的精神.创业

侯小强:大企业有时要放弃利益让别人赢

盛大文学公司首席执行官侯小强(来源:新浪财经 陈鑫 摄)新浪科技讯 11月20日消息,在今天召开的2010创业家年会上,盛大文学CEO侯小强在谈到企业创新时表示,像百度.阿里巴巴.腾讯这样的大企业应该承担更大的责任感,"少赚一些,甚至在某些时候赔一点.输一点,但长远来讲是有利的".以下为侯小强演讲全文:电子书的后台有一个云中书城,这是一个开放的系统,开放给所 有的中国出版社,他们的作品可以通过云中书城与电子书做一个共享,这要比别的更好一些.今天讨论创新,我有一些自己的想法,中国是不缺钱

拒绝单打独斗!细数云计算十大企业合作

本文讲的是拒绝单打独斗!细数云计算十大企业合作[IT168 专稿]许多公司都在为了围绕着云计算创新和吸收云计算基础架构进行合作.许多大公司进行合作,协同提供云解决方案.无论是Google和VMware还是微软和惠普,都在为了综合云产品结成合作伙伴.至于确定于那家公司合作,这就是解决方案供应商自己的事了. 为了证明在云计算的旅途上,很少有厂商会单枪匹马,在这里我们列出了十个厂商合作的事件以供参考. Google 与Vmware Google致力于将企业自身深入人心.为了达到这一目标,这个搜索巨人,

谷歌、华为、脸书 全世界的大企业为何都开始上马疯狂的“X”?

OFweek太阳能光伏网讯:自谷歌X实验室成立以来,这个全世界最神秘的实验室曾多次给我们带来了技术上的震撼,这其中就包括无人驾驶汽车.谷歌眼镜.超高空Wi-Fi气球等有着划时代意义的产品. 其实不只谷歌,全世界的大企业也都开始了X项目之旅.脸书(Facebook)尝试打造超过15亿美元的人工智能代理:华为致力于智能光伏项目,建立水面光伏电站:百度也开始了无人车的计划. 看似与企业主业无关,也似乎不为了追求经济利益,大企业全力扶持X项目,究竟为了什么? 看似天马行空 实则着眼生活 文/Jon Ge

SQL Server:大企业如何玩转大数据?

文章讲的是SQL Server:大企业如何玩转大数据,"得大数据者得天下." 推崇大数据时代的变革者们对此坚信不疑. 在大数据时代,谁能有效地管理和控制数据,谁就有可能成为世界霸主.中国石油化工集团公司信息系统管理部副主任齐学忠也认同这个观点.不过,有效的管理和控制数据并非一件容易的事情,齐学忠就经常为中石化的合同管理而头疼. 营业收入超4000亿美元,全球排名领先的巨型企业--中国石化,其合同管理就是不折不扣的"大数据".中国石化集团拥有众多分子公司,总部和所有下

向大企业取经谈中小企业IT管理

因为这样或那样的原因,很多中小企业的IT管理人员总是抱怨自己无法像大企业的同行那样来管理企业的IT系统,这很可能是在推卸责任. 实际上,中小企业完全可以运用大企业IT部门多年来积累的经验,来提高工作效率.削减成本,并确公司业务顺畅运行.日前,<PCWorld>杂志总结出了七条相关的经验. 一.统一设备减少差异. 在公司内统一使用台式机等IT设备,实际做起来不容易.因为即使购买了多批型号完全一样的PC,这些系统仍可能存在细微的差异,解决由此带来的问题就会麻烦不断. 独立经销商CareyHolzm