在線業(yè)務(wù)必須確保網(wǎng)站安全和定期測試。如今，數(shù)據(jù)泄露會帶來災(zāi)難性的后果。網(wǎng)站和應(yīng)用程序是任何企業(yè)不可或缺的一部分。這就是確保您的網(wǎng)站安全變得非常重要的地方。根據(jù) 2016 年 Ponemon 數(shù)據(jù)泄露成本研究，數(shù)據(jù)泄露的平均綜合總成本從 380 萬美元躍升至 400 萬美元。

但是您的組織實際受到影響的可能性有多大？CIO 的報告發(fā)現(xiàn)，在 12 個月的時間里，移動安全漏洞已經(jīng)影響了超過 68% 的全球組織。 根據(jù) Neustar 對 1,000 家企業(yè)的調(diào)查，僅DDoS 攻擊每 12 個月就會襲擊 84% 的公司。掌握現(xiàn)代安全風(fēng)險不僅僅是閱讀通過手機(jī)、平板電腦和易受攻擊的服務(wù)器進(jìn)入的最新惡意軟件。您可能忽略了其他導(dǎo)致數(shù)據(jù)失竊和丟失的原因。

這是檢查網(wǎng)站安全的 7 個步驟

第 1 步.網(wǎng)站信譽(yù)檢查

第一步是檢查您網(wǎng)站的聲譽(yù)，它是否已經(jīng)被評為安全網(wǎng)站。如果不是，那將是災(zāi)難性的，您已經(jīng)受到影響。

第 2 步.自動安全檢查

確保網(wǎng)站安全可靠的下一步是安排頻繁掃描。公司員工根本無法每天測試網(wǎng)站以查找安全漏洞和惡意軟件。AppTrana等全面的網(wǎng)絡(luò)掃描 可確保自動掃描和報告。

它會查找經(jīng)常被利用的漏洞，例如OWASP 前 10 名和 SANS 25。雖然我們還為您提供了其他步驟來確保開發(fā)和生產(chǎn)周期是干凈的，但這是確保您對風(fēng)險保持警惕的步驟。

第 3 步.讓您的安全技術(shù)正確

顯然，如果您的組織和系統(tǒng)實際上并不安全，您就無法建立網(wǎng)站安全文化。首先盤點哪些設(shè)備（包括個人設(shè)備和專業(yè)設(shè)備）被用于訪問敏感信息。請記住，訪問可能發(fā)生在辦公室，也可能發(fā)生在員工家中、機(jī)場或咖啡店。

使用個人智能手機(jī)取樂的員工不應(yīng)該訪問云中的敏感文件。你的團(tuán)隊也不應(yīng)該輕易地從他們的工作電腦連接到免費的 WiFi，因為數(shù)據(jù)很容易被泄露。

如果您提供設(shè)備供員工使用，請選擇已經(jīng)加密的型號。據(jù)《 華爾街日報》報道，全球約有 10% 的 Android 已加密。與此同時，蘋果公司以其加密設(shè)備而聞名，甚至在執(zhí)法部門樹敵，因為它拒絕為警方創(chuàng)建后門方法來訪問屬于圣貝納迪諾射手的加密 iPhone。

除了加密之外，您的公司還應(yīng)該使用移動設(shè)備管理 (MDM)，以便 IT 人員能夠在丟失或被盜時撤銷訪問權(quán)限或?qū)⒃O(shè)備擦除到出廠設(shè)置。MDM 還可以密切關(guān)注員工如何使用數(shù)據(jù)，并深入了解他們的安全行為。

還有一種方法可以通過地理圍欄工具控制員工使用工作贊助設(shè)備的地理位置。當(dāng)設(shè)備被帶到數(shù)英里外的特定邊界之外時，地理圍欄會向企業(yè)主發(fā)送實時警報，并且還會在設(shè)備偏離太遠(yuǎn)時撤銷對數(shù)據(jù)和文件的訪問權(quán)限。

這些規(guī)則和后果也應(yīng)在您的 BYOD 和網(wǎng)站安全政策中概述，以便員工知道他們的設(shè)備何時會被訪問以及出于什么原因。您的員工需要了解您的期望和后果，但這也有助于讓您的團(tuán)隊將安全作為日常工作文化的一部分。

把你的房子鎖起來

使用Web 應(yīng)用程序掃描工具和應(yīng)用程序防火墻保護(hù)您的內(nèi)部系統(tǒng)，以幫助防止攻擊而不阻礙合法在線流量。在使用信用卡和提供個人信息時， SSL 證書還應(yīng)用于保護(hù)客戶通信和保護(hù)他們的交易。

仔細(xì)檢查您的 SDLC

安全從您的公司承諾建立自己的網(wǎng)站或數(shù)字資源的那一刻開始。您的團(tuán)隊?wèi)?yīng)始終依靠安全開發(fā)生命周期 (SDLC) 來遵守最佳安全實踐。據(jù)微軟稱，SDLC 流程可幫助開發(fā)人員構(gòu)建更安全的軟件并滿足安全合規(guī)性要求，同時降低開發(fā)成本。

Microsoft 確定了 SDLC 流程的 17 個步驟，從核心安全培訓(xùn)開始，到威脅建模結(jié)束。每個步驟都側(cè)重于如何將安全性集成到創(chuàng)建、部署和發(fā)布后過程的每個階段。例如，在實施過程中，SDLC 實踐需要使用經(jīng)批準(zhǔn)的工具并貶低不安全的功能。

應(yīng)該注意的是，SDLC 并不局限于部署點。對于 SaaS 產(chǎn)品或 Web 應(yīng)用程序，必須通過應(yīng)用程序安全進(jìn)行持續(xù)的安全評估——即使在生產(chǎn)部署之后。

為什么？由于應(yīng)用程序仍在運行并與許多移動部件交互（它運行的 Web 服務(wù)器和應(yīng)用程序服務(wù)器、它托管的基礎(chǔ)設(shè)施、它與之交互的其他服務(wù)等），持續(xù)評估和即時保護(hù)是必不可少的SDLC——即使軟件已上線并在使用中。

第 4 步.確定最大的安全風(fēng)險

貴公司最大的網(wǎng)站風(fēng)險和漏洞在哪里？它可能與 BYOD 或不安全的備份沒有任何關(guān)系。相反，您可能與實際員工有問題。要求每位新員工接受篩選和背景調(diào)查。創(chuàng)建一個入職系統(tǒng)，強(qiáng)調(diào)貴公司的安全協(xié)議和標(biāo)準(zhǔn)的作用。一些危險信號很容易被發(fā)現(xiàn)，比如有過度跳槽歷史或犯罪歷史的候選人，或者不愿承諾在連接到免費無線信號之前將設(shè)備設(shè)置為詢問的員工。但是，即使您已經(jīng)證實新員工是可靠的，您仍然可能面臨更大的問題：您員工的在線密碼可能會邀請黑客侵入您的服務(wù)器并竊取敏感數(shù)據(jù)。

密碼安全

在 Entrepreneur 上發(fā)布的信息圖發(fā)現(xiàn)，47% 的人使用至少 5 年的密碼，21% 的人使用超過 10 年的密碼。即使您的公司實施了要求員工定期更新帳戶和設(shè)備密碼的密碼政策，這并不意味著員工沒有重復(fù)使用密碼：73% 的在線帳戶受到重復(fù)密碼的保護(hù)。這會產(chǎn)生多米諾骨牌效應(yīng)，使黑客可以輕松訪問帳戶和敏感數(shù)據(jù)。制定一項定期更新密碼的政策，并要求系統(tǒng)生成密碼以增強(qiáng)其強(qiáng)度。

如果碰巧您還沒有這樣做，請確保您自動阻止前雇員訪問您的系統(tǒng)和數(shù)據(jù)。員工離開公司時，應(yīng)撤銷過時的憑證和訪問權(quán)限。否則，他們可以自由支配，繼續(xù)訪問您公司的所有數(shù)據(jù)，或者他們舊帳戶的密碼將長期保持不變，以至于黑客最終會趕上并輕松訪問。

網(wǎng)絡(luò)應(yīng)用程序安全

查看您的團(tuán)隊如何訪問個人和專業(yè)應(yīng)用程序，以及他們?nèi)绾潍@取這些應(yīng)用程序并將其下載到他們的設(shè)備上。要求所有應(yīng)用程序都從 Google Play 或 Apple App Store 等合格來源下載，并研究開發(fā)者的聲譽(yù)。

為了增加保險，考慮在任何應(yīng)用程序可以在公司設(shè)備上使用之前創(chuàng)建一個預(yù)批準(zhǔn)流程。為員工提供有關(guān)設(shè)置智能手機(jī)和設(shè)備的教程，以提示用戶在下載應(yīng)用程序或允許他們訪問任何數(shù)據(jù)之前獲得權(quán)限。

遠(yuǎn)程訪問的數(shù)據(jù)

遠(yuǎn)程訪問數(shù)據(jù)可能會在打開 WiFi 的情況下無意中打開后門，但也可能導(dǎo)致來自危險行為的惡意軟件攻擊。您的團(tuán)隊可能認(rèn)為查看電子郵件沒什么大不了的，但您的員工可能做的遠(yuǎn)不止于此，而且使用的設(shè)備遠(yuǎn)非安全。

例如，思科的一項研究發(fā)現(xiàn)，一半的受訪者表示他們使用自己的個人設(shè)備訪問公司資源。然而，實際上只有一半的設(shè)備受到防病毒或安全軟件的保護(hù)。同一項研究發(fā)現(xiàn)，員工使用公司設(shè)備進(jìn)行在線購物和訪問第三方應(yīng)用程序。

免費 WiFi 對于出差和在現(xiàn)場工作的員工來說可能是一件好事，但對于惡意數(shù)據(jù)泄露來說可能是一場噩夢。對員工進(jìn)行培訓(xùn)，讓他們了解黑客攔截來自不安全 WiFi 的數(shù)據(jù)傳輸?shù)哪芰ΑＪ褂檬苊艽a保護(hù)的無線信號，并使敏感數(shù)據(jù)和通信遠(yuǎn)離公開連接到 WiFi 的易受攻擊的智能手機(jī)。在參與任何涉及遠(yuǎn)程訪問的活動之前，員工需要接受有關(guān)何時、如何和為何使用 WiFi 以及需要哪些安全工具的教育和信息。

第 5 步.準(zhǔn)備文檔

交出厚厚的手冊和不太吸引人的安全政策可能會讓人一目了然，但它不會被員工消化或激勵他們采取行動。政策中充斥著大量技術(shù)術(shù)語的信息，但沒有任何上下文會使您的員工流失。相反，專注于為您的團(tuán)隊提供細(xì)分和定制的文檔和培訓(xùn)。

跳過一刀切的政策

無需為整個公司的安全制定一刀切的政策。一名員工可能最好通過視頻處理和保留信息，而另一名員工可能希望就安全問題以及如何處理這些問題進(jìn)行圓桌討論。

從采取更全面的安全方法的公司中獲得靈感，并研究他們?nèi)绾螄@它創(chuàng)建一種文化。例如，Uber 為其員工創(chuàng)建了適合不同地區(qū)、部門和角色的安全計劃，以將安全是公司文化的一部分這一理念轉(zhuǎn)化為現(xiàn)實。

小企業(yè)主也可以通過針對員工的需求和日常工作職責(zé)提供文件和培訓(xùn)來做到這一點。畢竟，可以訪問客戶數(shù)據(jù)的銷售團(tuán)隊的安全策略看起來與使用在線社交媒體應(yīng)用程序安排帖子的營銷部門的安全策略不同。

第 6 步.進(jìn)行培訓(xùn)

安全不僅僅適用于 IT 部門或處理敏感數(shù)據(jù)的行政助理。每個人都應(yīng)該擁抱安全并將其融入到他們的日常工作生活中。招募高層管理人員參與安全工作，并樹立榜樣，將持續(xù)的安全培訓(xùn)與績效評估一樣認(rèn)真對待?；叵胍幌逻^去的安全問題，例如一名員工不小心將惡意軟件下載到他們的工作設(shè)備上。

接下來，了解安全漏洞最初是如何發(fā)生的，并運行網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚模擬。收集反饋和數(shù)據(jù)以查看每個部門在模擬中的表現(xiàn)。您還可以考慮為員工報告的每封可疑電子郵件提供獎品和每月抽獎。這種激勵使人們高度關(guān)注安全性并不斷監(jiān)控惡意活動。

為了使培訓(xùn)盡可能有趣和吸引人，請?zhí)^講座并將其變成游戲。將來自不同部門的員工分成小組并舉辦問答比賽。針對不同的安全問題、技術(shù)和勒索軟件等惡意活動對團(tuán)隊進(jìn)行測驗。您的員工會玩得很開心，并且更有可能記住他們會通過安全手冊瀏覽的信息。瑣事動態(tài)還可以幫助在隊友之間建立信任和友情，并增強(qiáng)您的安全文化的互動性。

第 7 步.獎勵員工參與

在安全培訓(xùn)期間依靠散布恐懼和羞辱不會讓你走得太遠(yuǎn)。員工可能將安全視為一種消極且壓力大的過程，而不是業(yè)務(wù)生活的一部分。無論您的員工對安全問題的關(guān)心程度如何，與手動和持續(xù)的安全培訓(xùn)相比，他們更有可能受到獎勵和激勵的激勵。獎金是實現(xiàn)這一目標(biāo)的一種方式，但員工可能會對與高管共進(jìn)午餐或獎金休假等額外津貼做出回應(yīng)。

通過會議中的持續(xù)提醒和休息室對話，公開遵守安全協(xié)議的激勵措施。公開承認(rèn)并感謝員工對安全的承諾，以在整個企業(yè)中培養(yǎng)積極主動的心態(tài)。但是，這并不意味著您的團(tuán)隊不應(yīng)該了解風(fēng)險。解釋參與不合規(guī)行為時的利害關(guān)系，從客戶安全漏洞到數(shù)據(jù)丟失，以及涉及的成本。安全應(yīng)被視為為公司帶來價值，并且與促進(jìn)銷售線索和客戶服務(wù)一樣對公司的成功不可或缺。

提高安全性是一個持續(xù)的過程

歸根結(jié)底，您的安全文化完全取決于個人責(zé)任和團(tuán)隊動力。如果您自己不遵守政策，您的員工將不會遵守協(xié)議。如果沒有激勵和動力，他們也不會主動掌握安全。每月或每季度舉行一次安全會議和激勵措施，讓員工時刻關(guān)注安全問題。讓提高安全性成為一個持續(xù)的過程，就像您的銷售目標(biāo)一樣沒有商量余地。