自從冠狀病毒疫情發(fā)生以來(lái),很多人在家遠(yuǎn)程辦公,因此也進(jìn)入了遠(yuǎn)程工作的新時(shí)代。團(tuán)隊(duì)協(xié)作SaaS的采用率因此迅速增長(zhǎng),云計(jì)算協(xié)作安全性面臨的問(wèn)題也是如此。根據(jù)安全提供商McAfee公司的調(diào)查,在2020年1月至4月期間,對(duì)企業(yè)云帳戶的外部攻擊增加了630%,威脅參與者主要針對(duì)協(xié)作服務(wù)進(jìn)行攻擊。行業(yè)專家預(yù)計(jì),遠(yuǎn)程工作將在疫情結(jié)束之后很長(zhǎng)時(shí)間內(nèi)持續(xù)進(jìn)行,而寬松的政策以及協(xié)作平臺(tái)上的風(fēng)險(xiǎn)行為使組織面臨巨大的持續(xù)風(fēng)險(xiǎn)。
McAfee公司市場(chǎng)總監(jiān)Nigel Hawthorn在其博客上指出:“組織通常不會(huì)允許不明身份的人員走進(jìn)辦公室查看辦公桌上的文件,需要通過(guò)安保人員和系統(tǒng)的檢查和批準(zhǔn)。但是,根據(jù)McAfee公司研究人員的調(diào)查,使用Microsoft Teams的組織每隔幾分鐘就會(huì)添加一個(gè)新的訪客,例如第三方合作伙或客戶。而對(duì)于組織的私有數(shù)字空間來(lái)說(shuō),外部訪問(wèn)的數(shù)量驚人。”Hawthorn補(bǔ)充說(shuō),作為主要供應(yīng)商,微軟公司在產(chǎn)品的安全性方面進(jìn)行了大量投資,但是其用戶仍然有責(zé)任確保以安全的方式使用協(xié)作軟件。
Metrigy公司的研究人員發(fā)現(xiàn),擁有主動(dòng)云計(jì)算協(xié)作安全計(jì)劃的組織更有可能從協(xié)作平臺(tái)中看到可以衡量的收益,例如節(jié)省成本、增加收入和提高生產(chǎn)力。專家認(rèn)為,在這些環(huán)境中確保數(shù)據(jù)安全,需要首席信息安全官和其他安全領(lǐng)導(dǎo)者采用多管齊下的方法來(lái)解決技術(shù)、流程和人員問(wèn)題。其策略應(yīng)高包括以下內(nèi)容:
1.選擇團(tuán)隊(duì)協(xié)作的供應(yīng)商
總部位于新澤西州澤西市的數(shù)據(jù)管理和安全提供商AvePoint公司首席風(fēng)險(xiǎn)、隱私和信息安全官Dana Simberkoff表示,任何云協(xié)作套件都會(huì)固有地帶來(lái)第三方風(fēng)險(xiǎn)。他說(shuō),“無(wú)論你采用哪一個(gè)平臺(tái),基本上都是將你的數(shù)據(jù)放在別人的服務(wù)器上,這意味著你的控制權(quán)降低了。”
Gartner公司分析師Patrick Hevesi表示,云計(jì)算服務(wù)的本質(zhì)要求組織依靠其供應(yīng)商來(lái)提供良好的基礎(chǔ)網(wǎng)絡(luò)安全性。因此,組織的首席信息安全官應(yīng)該提出以下問(wèn)題:
•供應(yīng)商如何監(jiān)視和控制誰(shuí)進(jìn)入其服務(wù)器設(shè)施?
•供應(yīng)商是否有安全攝像頭?
•供應(yīng)商的網(wǎng)絡(luò)層是否安全?
Simberkoff建議說(shuō):“對(duì)于那些匆忙部署團(tuán)隊(duì)協(xié)作軟件作為疫情應(yīng)對(duì)計(jì)劃一部分的組織來(lái)說(shuō),應(yīng)該盡快完成全面的供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估。需要了解組織的數(shù)據(jù)、員工和供應(yīng)商。”
Reiko Feaver是一家從事隱私、數(shù)據(jù)和網(wǎng)絡(luò)安全法律業(yè)務(wù)的云計(jì)算律師事務(wù)所Culhane Meadows的合作伙伴,她鼓勵(lì)客戶仔細(xì)審查提供商的安全認(rèn)證,如果可能的話,獨(dú)立審計(jì)其內(nèi)部運(yùn)營(yíng)。她說(shuō),“例如,如果讓IT顧問(wèn)遠(yuǎn)程訪問(wèn)組織的系統(tǒng),確保他們正在監(jiān)控這種訪問(wèn),并在不再需要時(shí)將其切斷。”
Gartner公司的Hevesi表示,思科和微軟等頂級(jí)供應(yīng)商擁有深厚而廣泛的安全和工程專業(yè)知識(shí),會(huì)在用戶之間建立相對(duì)較高的信任度。而運(yùn)行在主要云平臺(tái)上的小型SaaS產(chǎn)品(包括AWS Microsoft Azure等)也能從這些供應(yīng)商的規(guī)模經(jīng)濟(jì)和可觀的安全資源中獲益。
Hevesi表示,組織需要謹(jǐn)慎選擇中小數(shù)據(jù)中心SaaS提供商。他說(shuō):“例如他們沒(méi)有為服務(wù)器打補(bǔ)丁或者在舊版TLS上運(yùn)行,他們更容易受到錯(cuò)誤和漏洞的影響,或者他們的基礎(chǔ)設(shè)施中沒(méi)有認(rèn)證或標(biāo)準(zhǔn)。這會(huì)讓我感到擔(dān)心。”
Hevesi指出,即便如此,組織的首席信息安全官也不必禁止使用新興的云協(xié)作工具,也不必重新審查它們。幾乎所有云訪問(wèn)安全代理(CASB)都會(huì)主動(dòng)評(píng)估大量第三方SaaS應(yīng)用程序并編譯結(jié)果以供參考。云訪問(wèn)安全代理(CASB)的客戶通常還可以提交票證,要求代理審查尚未在其數(shù)據(jù)庫(kù)中使用的應(yīng)用程序。
即使在最初的審核和采用之后,組織也應(yīng)該定期重新評(píng)估其提供商的安全性。Feaver說(shuō):“不要認(rèn)為他們正在做正確的事。組織必須擁有自己的系統(tǒng)并進(jìn)行檢查。”
2.權(quán)衡訪客訪問(wèn)設(shè)置
專家建議,即使是最好的團(tuán)隊(duì)協(xié)作套件,其安全性也取決于其安全設(shè)置。在部署新的SaaS平臺(tái)時(shí),IT領(lǐng)導(dǎo)者需要主動(dòng)配置用戶訪問(wèn)和權(quán)限,以與組織風(fēng)險(xiǎn)偏好保持一致。
Metrigy公司的研究表明,向外部用戶開放協(xié)作平臺(tái)有助于提高投資回報(bào)率(ROI)。但是過(guò)早開放新部署的協(xié)作應(yīng)用程序可能會(huì)導(dǎo)致災(zāi)難性的數(shù)據(jù)泄漏??紤]到這一點(diǎn),Hevesi建議,首席信息安全官應(yīng)該限制甚至阻止用戶邀請(qǐng)外部參與者的能力。
他說(shuō):“組織首先建立協(xié)作平臺(tái),然而將其鎖定,并確保安全團(tuán)隊(duì)知道如何管理它。”隨著網(wǎng)絡(luò)安全團(tuán)隊(duì)成功添加諸如多因素身份驗(yàn)證(MFA)和數(shù)據(jù)丟失防護(hù)(DLP)策略之類的控制層,他們可以逐步地?cái)U(kuò)展用戶權(quán)限和擴(kuò)展第三方訪問(wèn)權(quán)限。
Feaver表示,Culhane Meadows律師事務(wù)所對(duì)云協(xié)作安全性采取了類似的衡量方法。該公司在很大程度上依賴Microsoft團(tuán)隊(duì)進(jìn)行內(nèi)部通信,并計(jì)劃在不久的將來(lái)向該平臺(tái)添加外部客戶端,但其前提是安全團(tuán)隊(duì)必須完成各種身份驅(qū)動(dòng)的控件的實(shí)施。 Feaver說(shuō):“在可以邀請(qǐng)誰(shuí)、共享什么資源、誰(shuí)可以訪問(wèn)哪些資源,以及訪問(wèn)多長(zhǎng)時(shí)間方面將具有更高的安全性。”
Gartner公司分析師Patrick Hevesi表示,組織通常不會(huì)在沒(méi)有防火墻的情況下部署數(shù)據(jù)中心設(shè)備,也不會(huì)在沒(méi)有云訪問(wèn)安全代理(CASB)的情況下部署SaaS應(yīng)用程序,尤其是協(xié)作應(yīng)用程序。
Metrigy公司的分析師Irwin Lazar建議,希望實(shí)現(xiàn)組織之間協(xié)作的組織可以考慮使用Federation,該聯(lián)盟可橋接兩個(gè)組織的協(xié)作空間,但將其系統(tǒng)和數(shù)據(jù)保持獨(dú)立性。他補(bǔ)充說(shuō),應(yīng)用程序之間的聯(lián)盟和第三方聯(lián)盟都涉及到代理兩個(gè)協(xié)作平臺(tái)之間的連接的獨(dú)立軟件,它們往往比更常見的訪客訪問(wèn)選項(xiàng)更安全。后者使首席信息安全官對(duì)用戶和數(shù)據(jù)的控制相對(duì)較少。
Lazar警告說(shuō),需要注意的是,供應(yīng)商的默認(rèn)設(shè)置有時(shí)會(huì)發(fā)生變化。例如,在2021年2月,Microsoft Teams開始自動(dòng)支持第三方訪客訪問(wèn),除非管理員人工禁用該功能。
思科公司安全工程師Jeremy Laurenson發(fā)推文聲稱,“微軟為什么要這么做?這一做法是數(shù)據(jù)所有權(quán)和安全性的災(zāi)難。這一更改說(shuō)明需要定期檢查設(shè)置。”
3.多層云協(xié)作安全控制
Hevesi表示,強(qiáng)大的云協(xié)作安全計(jì)劃需要從多因素身份驗(yàn)證(MFA)開始的多層控制。他說(shuō):“現(xiàn)在用戶如果沒(méi)有在防火墻的保護(hù)下,那么需要驗(yàn)證是否像供應(yīng)商所說(shuō)的那樣安全。”
數(shù)據(jù)丟失防護(hù)(DLP)和數(shù)據(jù)分類也應(yīng)具有較高的優(yōu)先級(jí)。AvePoint公司的Simberkoff說(shuō):“由于員工分散在各地遠(yuǎn)程工作,很難跟蹤數(shù)據(jù)。首席信息安全官應(yīng)該始終知道數(shù)據(jù)在哪里,誰(shuí)可以訪問(wèn),如果他們共享了數(shù)據(jù)以及何時(shí)刪除了數(shù)據(jù)。”
協(xié)作SaaS提供商Box公司全球首席安全官Lakshmi Hanspal說(shuō),“數(shù)據(jù)分類技術(shù)使安全管理人員可以將資源標(biāo)記為敏感資源,從而使數(shù)據(jù)能夠倡導(dǎo)自身的安全性。”
Hanspal說(shuō):“安全領(lǐng)導(dǎo)者還可以基于用戶身份、設(shè)備信任、地理位置等來(lái)建立條件訪問(wèn)和特權(quán)。也許在托管設(shè)備上,我可以訪問(wèn)收入報(bào)告,但是在非托管設(shè)備上只有查看的權(quán)限,而沒(méi)有下載或打印功能?;蛘邚姆堑湫偷乩砦恢迷L問(wèn)數(shù)據(jù)的受信任用戶可能必須采取其他步驟來(lái)證明其身份。”
Hevesi表示,團(tuán)隊(duì)協(xié)作安全性的必需工作是云訪問(wèn)安全代理(CASB),它可以作為企業(yè)端點(diǎn)和云計(jì)算服務(wù)之間的網(wǎng)關(guān),并結(jié)合了數(shù)據(jù)丟失防護(hù)(DLP)、多因素身份驗(yàn)證(MFA)和威脅檢測(cè)等功能。他說(shuō):“沒(méi)有防火墻就無(wú)法保證數(shù)據(jù)中心的安全性,沒(méi)有云訪問(wèn)安全代理(CASB)也難以部署SaaS應(yīng)用程序,尤其是協(xié)作應(yīng)用程序。”
云訪問(wèn)安全代理(CASB)還可以幫助組織識(shí)別和跟蹤影子IT,從獨(dú)立的、未經(jīng)批準(zhǔn)的協(xié)作應(yīng)用程序到經(jīng)過(guò)批準(zhǔn)的平臺(tái)中看似無(wú)害但有潛在風(fēng)險(xiǎn)的集成。例如,在2016年的美國(guó)國(guó)家總務(wù)管理局采用的Google Drive-Slack集成中,在五個(gè)月內(nèi)向美國(guó)獨(dú)立政府機(jī)構(gòu)的內(nèi)部和訪客Slack用戶公開了100多個(gè)政府Google Drive帳戶。Hanspal補(bǔ)充說(shuō):“對(duì)于安全從業(yè)人員來(lái)說(shuō),定期進(jìn)行檢查非常重要,這樣他們就可以在必要時(shí)停用并屏蔽某些應(yīng)用程序。”
4.對(duì)員工進(jìn)行云協(xié)作安全風(fēng)險(xiǎn)培訓(xùn)
總部位于佛羅里達(dá)州坦帕市的獨(dú)立安全和隱私合規(guī)評(píng)估機(jī)構(gòu)Schellman&Company公司首席信息官Jacob Ansari說(shuō),“最終,數(shù)據(jù)泄露更可能源于用戶的無(wú)意失誤,而不是更復(fù)雜的、更具針對(duì)性的攻擊。培訓(xùn)用戶正確使用這些會(huì)議工具以避免潛在問(wèn)題非常重要,比如無(wú)意之間共享帶有機(jī)密信息的屏幕,沒(méi)有使用會(huì)議密碼,或者讓太多不受信任的參與者參加會(huì)議。”
在AvePoint公司,Simberkoff對(duì)員工進(jìn)行的安全和隱私風(fēng)險(xiǎn)教育超出了協(xié)作平臺(tái)本身的虛擬邊界,例如與家庭成員共享物理工作區(qū)或數(shù)字設(shè)備。她說(shuō),“機(jī)密談話需要以書面形式進(jìn)行,而不是視頻,或者在周圍沒(méi)有其他人的時(shí)候進(jìn)行。”共享設(shè)備的任何人(例如允許孩子使用筆記本電腦做功課的家長(zhǎng))都應(yīng)該部署具有唯一登錄憑據(jù)的單獨(dú)用戶配置文件。
Simberkoff還強(qiáng)調(diào)了理解員工角色要求和員工多樣化工作條件的現(xiàn)實(shí),并使員工了解“做正確的事比做錯(cuò)事更容易”的重要性。組織的首席信息安全官應(yīng)該就未經(jīng)批準(zhǔn)的應(yīng)用程序使用的風(fēng)險(xiǎn)對(duì)員工進(jìn)行培訓(xùn),同時(shí)還應(yīng)促進(jìn)安全性與業(yè)務(wù)之間的開放式溝通。例如,影子IT最終可能成為一個(gè)危險(xiǎn)信號(hào),表明組織批準(zhǔn)的協(xié)作套件中缺少重要功能。
Simberkoff說(shuō):“對(duì)于安全人員來(lái)說(shuō),需要將自己視為促進(jìn)業(yè)務(wù)發(fā)展的力量,而不是阻止人們做事,這一點(diǎn)非常重要。安全性應(yīng)該像高速公路護(hù)欄一樣,讓協(xié)作平臺(tái)用戶在保持相對(duì)安全的同時(shí)盡可能高效地工作。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)