知識點 | 4個緩解Slack安全風險的技巧
就暴露的敏感資料而言,Slack違規將是一場噩夢。以下是如何鎖定Slack工作區的方法。
作為流行的企業工作區協作工具和IRC克隆,Slack不提供端到端的加密,這使得任何對Slack伺服器的破壞都可能給全球使用者帶來災難性後果。如果內部Slack對話洩露,您或您的組織將遭受嚴重損害,那麼是時候考慮加密的Slack替代方案,或者通過鎖定您的Slack工作區來降低風險。對此我們採訪了技術專家安德魯•福特•萊昂斯(Andrew Ford Lyons),其在英國Internews為高危群體從事數字安全方面的工作。
雖然這些技巧都不能完全保護您免受Slack的漏洞或其他對您的Slack工作區機密性的威脅,但它們可以減少一些不可避免的災難。
1. 啟用雙因素身份驗證(2FA)
Slack能夠提供2FA,使用它,如果Slack被攻破,它不會保護你,但它會讓攻擊者很難攻擊你或你的組織。
Slack支援谷歌身份驗證器、Duo Mobile、Authy、1Password和(在極少數使用Windows Phone的情況下)Microsoft Authenticator,這取決於您使用的是哪種移動裝置。Slack還支援SMS 2FA,如果不是必須儘量不要使用它。雖然任何2FA都比沒有強,但是SMS 2FA遠不如使用軟令牌安全。
目前還沒有硬令牌(比如Yubikey)支援Slack的跡象。領先的硬令牌製造商Yubico在1月份宣佈支援移動裝置。關注帳戶安全的大型組織可能會對Slack提供一個友好的說明,詢問何時需要Yubikey支援。
一個2FA問題:確保開啟強制性2FA,因為Slack預設情況下是關閉此設定的。
即使在不包含網路釣魚的組織中威脅模型也會發生事故。“有沒有人在沒有2FA的情況下和Slack一起走來走去,結果手機丟失了?” 萊昂斯 問道。
2. 對非關鍵的第三方整合說不
Slack提供了大量第三方應用程式整合。儘管Slack會檢查所有第三方應用程式的適當許可權和資料訪問,但每一次額外的整合都會增加組織的整體攻擊面。除非你必須需要它,否則就把它們拿掉。
2016年,在GitHub上發現了1500多個被硬編碼到開源專案中的Slack訪問令牌。“這樣的令牌可以提供聊天、檔案、私人資訊以及Slack團隊內部共享的其他敏感資料的訪問許可權,這些開發人員或機器人都是Slack團隊的成員,”我們在PC World的同事當時表示。
“如果我和你談話,你卻進行瘋狂的整合,那就會影響我和你的談話,” 萊昂斯 說。
整合多個工作工具的網路效應意味著它們中的任何一個缺陷都會影響所有工具的安全性。假設違反和劃分。那些選擇接受風險較高的Slack工作空間以獲得輕微生產力優勢的組織應該睜大眼睛,意識到風險。
3.關閉Slack電子郵件通知
如果您擔心Slack工作區的機密性,請關閉Slack電子郵件通知。在Slack頻道中,每次提及使用者都會轉到使用者的電子郵件收件箱,或預設情況下顯示為推送通知。使用者可以關閉此預設值,管理員可以在更高的付費層中強制執行此設定。
“即使完全關閉了Slack的電子郵件通知,電子郵件也是Slack安全性的一個弱點,因為這是密碼重置和賬戶恢復過程發生的地方,”萊昂斯說,並指出2FA應該部署在Slack和相應使用者的電子郵件賬戶上。
Slack最大的優勢之一是,它的可用性遠遠超過了在一封電子郵件中抄送幾十個人。儘可能地將Slack和電子郵件分開。
4.人為因素:明智地選擇Slack參與者
人類永遠是最薄弱的一環。選擇你允許誰加入Slack的渠道。在需要知道的基礎上這樣做。在一段時間後撤消非活動成員或員工。接觸敏感資訊的人越少,洩露的可能性就越小。500名員工在內部的Slack頻道上工作,就像在雲端工作一樣,讓全世界都能看到。
設定自動會話登出,而不是Slack允許的無限登入會話,可以幫助清除不活躍的帳戶。不過,里昂警告說,不要把會話設定得太短,因為使用者會覺得這非常煩人,尤其是在移動裝置上。
在較短的時間內為需要有限訪問許可權的承包商或使用者使用訪客帳戶。“如果你是我的客戶,我可以在給你一個頻道的客人賬號,但你看不到其他任何東西,它會在一個月或兩個月內到期,到時候設定的任何東西都會過期”萊昂斯說。
加密對於保護訊息非常有用,但它不能修復人性。鬆弛的訊息不是短暫的,想想你在輸入什麼,在哪裡輸入,以及你的單詞的永久性。畢竟,對Slack的一次攻擊,一個網路釣魚的同事,或者內部的一個流氓人士,不會因為你一開始就沒有輸入過的單詞而傷害到你。
來自 “ https://www.csoonline.com/article/3334618/communic ”,原文連結:http://blog.itpub.net/31545812/viewspace-2564770/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 重要知識點:如何降低DNS攻擊的風險DNS
- 重要,知識點:InnoDB的插入緩衝
- RSA創新沙盒盤點|Araali Networks——雲原生風險緩解
- 你應該知道的緩動知識點
- 安全知識圖譜 深挖兩安融合,加強風險防控
- 安全知識圖譜 | 繪製軟體供應鏈知識圖譜,強化風險分析
- 【技術向】初識SCADA安全風險
- KGB知識圖譜透過知識校驗完成企業的風險稽核
- 初識python必知的6個知識點Python
- 知物由學 | 小遊戲的安全風險在哪裡?遊戲
- Git的11個知識點Git
- 一個關於風險和投資組合的內部知識分享文件
- react-native基本知識點(4/4)React
- SAP SD基礎知識之信用風險管理概述
- 五個UICollectionView常用的知識點UIView
- 網站安全公司講解資料安全風險分析網站
- 關於webpack4的14個知識點,童叟無欺Web
- "Hotpatch"潛在的安全風險
- 雲遷移的安全風險
- Spring知識點詳解Spring
- 每日一個知識點:Volatile 和 CAS 的弊端之匯流排風暴
- IdentityServer4系列 | 初識基礎知識點IDEServer
- 關於range的一個知識點
- Android Fragment用法知識點的講解AndroidFragment
- 【知識分享】安全閘道器的功能特點
- 知識點,如何應用“安全知識圖譜”識別內部威脅?
- 清華大學AI抗 “疫” 成果大盤點:風險自測、智慧篩查、知識疫情……AI
- 如何使用 CloudSploit 識別和管理雲基礎設施的安全風險Cloud
- KGB知識圖譜軟體實現上市企業的風險評估
- 強化資料風險意識 提升社會“安全感”
- JS知識點:ES6 中常見的知識點JS
- Linux的10個風險命令Linux
- 初識python你應該知道的6個知識點!Python
- Bootstrap 個人學習知識點boot
- jQuery 個人學習知識點jQuery
- Flutter個人小知識點記錄Flutter
- 物化檢視幾個知識點
- 伴隨疫情的網路安全風險