视频: --°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã (十一月 2024)
协作工具已在所有类型的企业中广受欢迎,因为协作工具支持虚拟团队之类的战略,并使员工无论在物理上有多远,都能使他们紧密协作。 但是,无论是基于工作流程的实用程序(如Asana)还是面向聊天的应用程序(如Slack),这些工具也为网络罪犯创造了新的机会,使其可以访问公司的最重要信息。 不良行为者可以通过应用程序编程接口(API)或通过意外授权渗透到您的协作软件中,从而将私人信息泄漏到组织外部。 换句话说,即使将它们托管在其他地方,您的协作工具也可能仍然在网络中造成巨大的安全漏洞。
Greg Arnette是总部位于加利福尼亚州坎贝尔的梭子鱼网络公司数据保护平台战略总监,该公司是安全,网络和存储产品提供商。 我们最近与Arnette开会,讨论了可能通过协作服务发生的攻击以及企业如何保护自己。
PCMag(PCM):各种各样的协作工具正被各种公司迅速采用。 由此可能引起哪些与安全性相关的问题?
Greg Arnette(GA):因此,在我们讨论所涉及的漏洞之前,我认为对当前情况进行概述很重要。 有许多不同的趋势正在发生
现在,将这种趋势与API和人工智能的兴起联系起来。 那不仅创造了很多好东西,而且也创造了同样数量的坏东西。 随着公司将其协作系统从本地迁移到
PCM:这些都是好东西。 那么问题从哪里开始呢?
GA:这项技术可以让想要伤害他人的人们利用这些开放的API和这些新的记录系统。 世界上的不良参与者也正在利用云技术的创新,并使用AI,机器学习(ML)和廉价的云计算来利用这些API发起攻击。 他们正在寻找漏洞并模仿用户的行为,以便他们可以绕过已知的防御措施,并使用被认为是非常安全的防御措施渗透到组织中,并将不良信息拒之门外。
因此,这是企业的完美风暴,他们想要更多的便利,并且不良行为者能够利用这些API并进入这些系统。 基本上,这是一个相互保证销毁的竞赛。
PCM:给我们举一个特定类型攻击的例子。 恶意参与者是否会为Slack之类的程序创建看似无害的应用程序,而该程序将被诱骗员工进行安装?
GA: Slack API恶意使用的一个示例是,您可以开发第三方Slack应用,该应用可以将您的Slack帐户与客户关系管理(CRM)平台(如Salesforce)联系起来。 公司中的某人可以下载并安装该应用程序,然后该木马Slack应用程序(表面上看起来是一个简单的连接器)可以很容易地由公司中的个人授权。 突然之间,您现在拥有了一个小型机器人,它坐在某人的工作站上,可以与Slack和Salesforce进行对话,并在公司不知情的情况下泄漏数据。 那只是一个小例子。 您几乎可以将其应用于具有开放API的任何平台。
就AI而言,世界各地想做有害事情的人们正在使用AI找出如何利用系统,收集数据并将其向记者和其他人公开的方法。 这将引起问题并影响选举,影响经济,影响业务稳定性等等。 这可能以多种方式发生。 它可以是经过训练以寻找特定信息的ML模型,也可以是看似真实的机器人,可以从员工那里索取信息。 这些协作工具为组织打开了各种各样的漏洞。
我们看到的另一个趋势是部门和团队购买或实施的解决方案会无意间将公共事物连接到IT部门权限范围之外的专用网络。 自从采用了这些协作工具以来,IT部门一直难以锁定谁可以在公司网络中实际安装和运行事物,以阻止发生这种类型的连接。 如果允许任何员工向公司Asana团队添加应用程序,那将是灾难性的。
PCM:这些攻击确实很可怕,但是它们是非常有用的工具。 很难想象大多数企业一旦获得了这种便利就放弃了这些应用程序。 企业应如何确保自身安全?
GA:这是绝对正确的; 这些应用程序将保留下来。 他们已经确定可以在工作环境中改善生活。
公司可以采取以下几项措施来确保安全。 首先是确保IT部门了解所有已安装的应用程序以及这些应用程序中安装的所有这些第三方连接器。 通过仔细检查眼睛来确保已对它们进行了审查或审查,以确保它们实际上并不是为诱使他人安装而创建的类似于Trojan的攻击。
客户应该做的第二件事是审查其供应商的安全性和合规性最佳实践标准。 有一个很棒的第三方网站叫做Enterpriseready.io,可以帮助IT部门进行审核。 您可以去那里,也可以签出并查看它是否具有所有正确的控件,以确保高度安全的操作环境。 因此,所有这些都与隐私有关,请确保有足够的能力锁定控件,API具有审核访问权限以及此类
最重要的是,值得注意的是,这些协作解决方案中的许多解决方案都具有权限控制来与这种确切的事物作斗争。 您可以收紧有关这些应用程序可以进行哪些集成以及由谁控制这些集成的权限。 如果您配置了这些权限,则可以节省IT大量的工作,不必监视安装了哪些应用程序。
