了解檢查網站安全的7個步驟
      
                                    
                                
      
                                
      
                                    
      在線業務必須確保網站安全和定期測試。如今,數據泄露會帶來災難性的后果。網站和應用程序是任何企業不可或缺的一部分。這就是確保您的網站安全變得非常重要的地方。根據 2016 年 Ponemon 數據泄露成本研究,數據泄露的平均綜合總成本從 380 萬美元躍升至 400 萬美元。
      

      了解檢查網站安全的7個步驟-南華中天
      

      但是您的組織實際受到影響的可能性有多大?CIO 的報告發現,在 12 個月的時間里,移動安全漏洞已經影響了超過 68% 的全球組織。 根據 Neustar 對 1,000 家企業的調查,僅DDoS 攻擊每 12 個月就會襲擊 84% 的公司。掌握現代安全風險不僅僅是閱讀通過手機、平板電腦和易受攻擊的服務器進入的最新惡意軟件。您可能忽略了其他導致數據失竊和丟失的原因。
      

      這是檢查網站安全的 7 個步驟
      

      第 1 步.網站信譽檢查
      

      第一步是檢查您網站的聲譽,它是否已經被評為安全網站。如果不是,那將是災難性的,您已經受到影響。
      

      第 2 步.自動安全檢查
      

      確保網站安全可靠的下一步是安排頻繁掃描。公司員工根本無法每天測試網站以查找安全漏洞和惡意軟件。AppTrana等全面的網絡掃描 可確保自動掃描和報告。
      

      它會查找經常被利用的漏洞,例如OWASP 前 10 名和 SANS 25。雖然我們還為您提供了其他步驟來確保開發和生產周期是干凈的,但這是確保您對風險保持警惕的步驟。
      

      第 3 步.讓您的安全技術正確
      

      顯然,如果您的組織和系統實際上并不安全,您就無法建立網站安全文化。首先盤點哪些設備(包括個人設備和專業設備)被用于訪問敏感信息。請記住,訪問可能發生在辦公室,也可能發生在員工家中、機場或咖啡店。
      

      使用個人智能手機取樂的員工不應該訪問云中的敏感文件。你的團隊也不應該輕易地從他們的工作電腦連接到免費的 WiFi,因為數據很容易被泄露。
      

      如果您提供設備供員工使用,請選擇已經加密的型號。據《 華爾街日報》報道,全球約有 10% 的 Android 已加密。與此同時,蘋果公司以其加密設備而聞名,甚至在執法部門樹敵,因為它拒絕為警方創建后門方法來訪問屬于圣貝納迪諾射手的加密 iPhone。
      

      除了加密之外,您的公司還應該使用移動設備管理 (MDM),以便 IT 人員能夠在丟失或被盜時撤銷訪問權限或將設備擦除到出廠設置。MDM 還可以密切關注員工如何使用數據,并深入了解他們的安全行為。
      

      還有一種方法可以通過地理圍欄工具控制員工使用工作贊助設備的地理位置。當設備被帶到數英里外的特定邊界之外時,地理圍欄會向企業主發送實時警報,并且還會在設備偏離太遠時撤銷對數據和文件的訪問權限。
      

      這些規則和后果也應在您的 BYOD 和網站安全政策中概述,以便員工知道他們的設備何時會被訪問以及出于什么原因。您的員工需要了解您的期望和后果,但這也有助于讓您的團隊將安全作為日常工作文化的一部分。
      

      把你的房子鎖起來
      

      使用Web 應用程序掃描工具和應用程序防火墻保護您的內部系統,以幫助防止攻擊而不阻礙合法在線流量。在使用信用卡和提供個人信息時, SSL 證書還應用于保護客戶通信和保護他們的交易。
      

      仔細檢查您的 SDLC
      

      安全從您的公司承諾建立自己的網站或數字資源的那一刻開始。您的團隊應始終依靠安全開發生命周期 (SDLC) 來遵守最佳安全實踐。據微軟稱,SDLC 流程可幫助開發人員構建更安全的軟件并滿足安全合規性要求,同時降低開發成本。
      

      Microsoft 確定了 SDLC 流程的 17 個步驟,從核心安全培訓開始,到威脅建模結束。每個步驟都側重于如何將安全性集成到創建、部署和發布后過程的每個階段。例如,在實施過程中,SDLC 實踐需要使用經批準的工具并貶低不安全的功能。
      

      應該注意的是,SDLC 并不局限于部署點。對于 SaaS 產品或 Web 應用程序,必須通過應用程序安全進行持續的安全評估——即使在生產部署之后。
      

      為什么?由于應用程序仍在運行并與許多移動部件交互(它運行的 Web 服務器和應用程序服務器、它托管的基礎設施、它與之交互的其他服務等),持續評估和即時保護是必不可少的SDLC——即使軟件已上線并在使用中。
      

      第 4 步.確定最大的安全風險
      

      貴公司最大的網站風險和漏洞在哪里?它可能與 BYOD 或不安全的備份沒有任何關系。相反,您可能與實際員工有問題。要求每位新員工接受篩選和背景調查。創建一個入職系統,強調貴公司的安全協議和標準的作用。一些危險信號很容易被發現,比如有過度跳槽歷史或犯罪歷史的候選人,或者不愿承諾在連接到免費無線信號之前將設備設置為詢問的員工。但是,即使您已經證實新員工是可靠的,您仍然可能面臨更大的問題:您員工的在線密碼可能會邀請黑客侵入您的服務器并竊取敏感數據。
      

      密碼安全
      

      在 Entrepreneur 上發布的信息圖發現,47% 的人使用至少 5 年的密碼,21% 的人使用超過 10 年的密碼。即使您的公司實施了要求員工定期更新帳戶和設備密碼的密碼政策,這并不意味著員工沒有重復使用密碼:73% 的在線帳戶受到重復密碼的保護。這會產生多米諾骨牌效應,使黑客可以輕松訪問帳戶和敏感數據。制定一項定期更新密碼的政策,并要求系統生成密碼以增強其強度。
      

      如果碰巧您還沒有這樣做,請確保您自動阻止前雇員訪問您的系統和數據。員工離開公司時,應撤銷過時的憑證和訪問權限。否則,他們可以自由支配,繼續訪問您公司的所有數據,或者他們舊帳戶的密碼將長期保持不變,以至于黑客最終會趕上并輕松訪問。
      

      網絡應用程序安全
      

      查看您的團隊如何訪問個人和專業應用程序,以及他們如何獲取這些應用程序并將其下載到他們的設備上。要求所有應用程序都從 Google Play 或 Apple App Store 等合格來源下載,并研究開發者的聲譽。
      

      為了增加保險,考慮在任何應用程序可以在公司設備上使用之前創建一個預批準流程。為員工提供有關設置智能手機和設備的教程,以提示用戶在下載應用程序或允許他們訪問任何數據之前獲得權限。
      

      遠程訪問的數據
      

      遠程訪問數據可能會在打開 WiFi 的情況下無意中打開后門,但也可能導致來自危險行為的惡意軟件攻擊。您的團隊可能認為查看電子郵件沒什么大不了的,但您的員工可能做的遠不止于此,而且使用的設備遠非安全。
      

      例如,思科的一項研究發現,一半的受訪者表示他們使用自己的個人設備訪問公司資源。然而,實際上只有一半的設備受到防病毒或安全軟件的保護。同一項研究發現,員工使用公司設備進行在線購物和訪問第三方應用程序。
      

      免費 WiFi 對于出差和在現場工作的員工來說可能是一件好事,但對于惡意數據泄露來說可能是一場噩夢。對員工進行培訓,讓他們了解黑客攔截來自不安全 WiFi 的數據傳輸的能力。使用受密碼保護的無線信號,并使敏感數據和通信遠離公開連接到 WiFi 的易受攻擊的智能手機。在參與任何涉及遠程訪問的活動之前,員工需要接受有關何時、如何和為何使用 WiFi 以及需要哪些安全工具的教育和信息。
      

      第 5 步.準備文檔
      

      交出厚厚的手冊和不太吸引人的安全政策可能會讓人一目了然,但它不會被員工消化或激勵他們采取行動。政策中充斥著大量技術術語的信息,但沒有任何上下文會使您的員工流失。相反,專注于為您的團隊提供細分和定制的文檔和培訓。
      

      跳過一刀切的政策
      

      無需為整個公司的安全制定一刀切的政策。一名員工可能最好通過視頻處理和保留信息,而另一名員工可能希望就安全問題以及如何處理這些問題進行圓桌討論。
      

      從采取更全面的安全方法的公司中獲得靈感,并研究他們如何圍繞它創建一種文化。例如,Uber 為其員工創建了適合不同地區、部門和角色的安全計劃,以將安全是公司文化的一部分這一理念轉化為現實。
      

      小企業主也可以通過針對員工的需求和日常工作職責提供文件和培訓來做到這一點。畢竟,可以訪問客戶數據的銷售團隊的安全策略看起來與使用在線社交媒體應用程序安排帖子的營銷部門的安全策略不同。
      

      第 6 步.進行培訓
      

      安全不僅僅適用于 IT 部門或處理敏感數據的行政助理。每個人都應該擁抱安全并將其融入到他們的日常工作生活中。招募高層管理人員參與安全工作,并樹立榜樣,將持續的安全培訓與績效評估一樣認真對待?;叵胍幌逻^去的安全問題,例如一名員工不小心將惡意軟件下載到他們的工作設備上。
      

      接下來,了解安全漏洞最初是如何發生的,并運行網絡釣魚和魚叉式網絡釣魚模擬。收集反饋和數據以查看每個部門在模擬中的表現。您還可以考慮為員工報告的每封可疑電子郵件提供獎品和每月抽獎。這種激勵使人們高度關注安全性并不斷監控惡意活動。
      

      為了使培訓盡可能有趣和吸引人,請跳過講座并將其變成游戲。將來自不同部門的員工分成小組并舉辦問答比賽。針對不同的安全問題、技術和勒索軟件等惡意活動對團隊進行測驗。您的員工會玩得很開心,并且更有可能記住他們會通過安全手冊瀏覽的信息?,嵤聞討B還可以幫助在隊友之間建立信任和友情,并增強您的安全文化的互動性。
      

      第 7 步.獎勵員工參與
      

      在安全培訓期間依靠散布恐懼和羞辱不會讓你走得太遠。員工可能將安全視為一種消極且壓力大的過程,而不是業務生活的一部分。無論您的員工對安全問題的關心程度如何,與手動和持續的安全培訓相比,他們更有可能受到獎勵和激勵的激勵。獎金是實現這一目標的一種方式,但員工可能會對與高管共進午餐或獎金休假等額外津貼做出回應。
      

      通過會議中的持續提醒和休息室對話,公開遵守安全協議的激勵措施。公開承認并感謝員工對安全的承諾,以在整個企業中培養積極主動的心態。但是,這并不意味著您的團隊不應該了解風險。解釋參與不合規行為時的利害關系,從客戶安全漏洞到數據丟失,以及涉及的成本。安全應被視為為公司帶來價值,并且與促進銷售線索和客戶服務一樣對公司的成功不可或缺。
      

      提高安全性是一個持續的過程
      

      歸根結底,您的安全文化完全取決于個人責任和團隊動力。如果您自己不遵守政策,您的員工將不會遵守協議。如果沒有激勵和動力,他們也不會主動掌握安全。每月或每季度舉行一次安全會議和激勵措施,讓員工時刻關注安全問題。讓提高安全性成為一個持續的過程,就像您的銷售目標一樣沒有商量余地。