就暴露的敏感数据而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。
作为流行的企业工作区协作工具和IRC克隆,Slack不提供端到端的加密,这使得任何对Slack服务器的破坏都可能给全球用户带来灾难性后果。如果内部Slack对话泄露,您或您的组织将遭受严重损害,那么是时候考虑加密的Slack替代方案,或者通过锁定您的Slack工作区来降低风险。对此我们采访了技术专家安德鲁•福特•莱昂斯(Andrew Ford Lyons),其在英国Internews为高危群体从事数字安全方面的工作。
虽然这些技巧都不能完全保护您免受Slack的漏洞或其他对您的Slack工作区机密性的威胁,但它们可以减少一些不可避免的灾难。
1. 启用双因素身份验证(2FA)
Slack能够提供2FA,使用它,如果Slack被攻破,它不会保护你,但它会让攻击者很难攻击你或你的组织。
Slack支持谷歌身份验证器、Duo Mobile、Authy、1Password和(在极少数使用Windows Phone的情况下)Microsoft Authenticator,这取决于您使用的是哪种移动设备。Slack还支持SMS 2FA,如果不是必须尽量不要使用它。虽然任何2FA都比没有强,但是SMS 2FA远不如使用软令牌安全。
目前还没有硬令牌(比如Yubikey)支持Slack的迹象。领先的硬令牌制造商Yubico在1月份宣布支持移动设备。关注帐户安全的大型组织可能会对Slack提供一个友好的说明,询问何时需要Yubikey支持。
一个2FA问题:确保打开强制性2FA,因为Slack默认情况下是关闭此设置的。
即使在不包含网络钓鱼的组织中威胁模型也会发生事故。“有没有人在没有2FA的情况下和Slack一起走来走去,结果手机丢失了?” 莱昂斯问道。
2. 对非关键的第三方集成说不
Slack提供了大量第三方应用程序集成。尽管Slack会检查所有第三方应用程序的适当权限和数据访问,但每一次额外的集成都会增加组织的整体攻击面。除非你必须需要它,否则就把它们拿掉。
2016年,在GitHub上发现了1500多个被硬编码到开源项目中的Slack访问令牌。“这样的令牌可以提供聊天、文件、私人信息以及Slack团队内部共享的其他敏感数据的访问权限,这些开发人员或机器人都是Slack团队的成员,”我们在PC World的同事当时表示。
“如果我和你谈话,你却进行疯狂的整合,那就会影响我和你的谈话,”莱昂斯说。
集成多个工作工具的网络效应意味着它们中的任何一个缺陷都会影响所有工具的安全性。假设违反和划分。那些选择接受风险较高的Slack工作空间以获得轻微生产力优势的组织应该睁大眼睛,意识到风险。
3.关闭Slack电子邮件通知
如果您担心Slack工作区的机密性,请关闭Slack电子邮件通知。在Slack频道中,每次提及用户都会转到用户的电子邮件收件箱,或默认情况下显示为推送通知。用户可以关闭此默认值,管理员可以在更高的付费层中强制执行此设置。
“即使完全关闭了Slack的电子邮件通知,电子邮件也是Slack安全性的一个弱点,因为这是密码重置和账户恢复过程发生的地方,”莱昂斯说,并指出2FA应该部署在Slack和相应用户的电子邮件账户上。
Slack最大的优势之一是,它的可用性远远超过了在一封电子邮件中抄送几十个人。尽可能地将Slack和电子邮件分开。
4.人为因素:明智地选择Slack参与者
人类永远是最薄弱的一环。选择你允许谁加入Slack的渠道。在需要知道的基础上这样做。在一段时间后撤消非活动成员或员工。接触敏感信息的人越少,泄露的可能性就越小。500名员工在内部的Slack频道上工作,就像在云端工作一样,让全世界都能看到。
设置自动会话注销,而不是Slack允许的无限登录会话,可以帮助清除不活跃的帐户。不过,里昂警告说,不要把会话设置得太短,因为用户会觉得这非常烦人,尤其是在移动设备上。
在较短的时间内为需要有限访问权限的承包商或用户使用访客帐户。“如果你是我的客户,我可以在给你一个频道的客人账号,但你看不到其他任何东西,它会在一个月或两个月内到期,到时候设置的任何东西都会过期”莱昂斯说。
加密对于保护消息非常有用,但它不能修复人性。松弛的消息不是短暂的,想想你在输入什么,在哪里输入,以及你的单词的永久性。毕竟,对Slack的一次攻击,一个网络钓鱼的同事,或者内部的一个流氓人士,不会因为你一开始就没有输入过的单词而伤害到你。
