还记得工作场所协作意味着每个人都坐在会议室里分发打印文档并通过投影仪共享演示文稿的日子吗?
从那时起,我们已经走了很长一段路。数字内容协作平台在市场上占据主导地位:Slack、Trello、Monday、Salesforce 等已成为家喻户晓的名字。这些工具使同事、合作伙伴和客户无论身在何处,在任何给定时刻都可以在任何特定时刻使用任何设备更轻松地访问内容和工作,从而加快了业务运营的步伐。
内容协作平台是一个很好的资源,对生产力产生了巨大而积极的影响。但众所周知,即使是最突出的软件也无法幸免于被用于恶意目的。
与内容协作软件相关的网络威胁通常比基于电子邮件的威胁更独特、更难检测——我们正在从语法和拼写错误以及要求提供礼品卡的日子中升级!黑客正在加强他们的游戏,这些威胁与进入您的电子邮件收件箱(或直接过滤到您的垃圾邮件文件夹)的威胁类型不同。
恶意内容有不同的形式
如果我告诉你协作软件中共享最多的文件类型之一是 gif,你会感到惊讶吗?启用 gif 的使用可以增强用户体验,可以说最受欢迎的是 Giphy。它在我们的大脑中根深蒂固,恶意内容通过 Word 文档、Excel 电子表格或 PDF 的形式出现,我们不认为看起来无辜的图像和 .gif 文件是无害的,但它们肯定是无害的。
重要的是要了解当今大多数攻击是如何发生的。首先,许多攻击都是从合法凭据泄露开始的,这意味着您不能总是相信与您通信的人就是他们所说的人。
假设您在营销部门的同事 Becca 的 Slack 帐户被劫持了。威胁行为者正在滚动浏览她的 Slack 直接消息,并看到您每天与她分享 gif。攻击者所要做的就是找到一个标准的gif,并在像素深处嵌入恶意代码——这不是很复杂,而且相当便宜。
作为接收者,您不会对此有任何想法,而是会单击图像并打开组织,使其面临全面的网络暴露和攻击。损害一个人可能会导致横向网络移动,从而危及整个组织。错误不在最终用户或协作平台上。这些攻击对于日常用户来说太先进了,无法检测到,协作软件通常没有配备必要的安全功能来阻止这些威胁。
另一方面,在某些协作软件(例如 Google Drive)中,特定大小的视频(或动画)无法本机播放。用户必须下载文件——甚至在他们知道剪辑是什么之前——如果文件是恶意的,这可能会触发有效负载。
zip 文件也是如此,尤其是那些需要密码才能打开的文件。用户并不总是知道他们正在解压缩的内容,这使得威胁行为者能够将恶意代码深埋在共享文件中。
你真的知道你的安全态势是什么样子的吗?
我们都知道,任何工作场所软件在提供保护方面都有局限性,企业有责任集成适当的护栏。但这并不能阻止我们中的许多人对这些平台产生隐含的信任。事情的真相是,虽然这些平台确实提供了一定程度的安全措施,但并非所有平台都能够提供防止未知威胁所需的高级安全措施,从而留下了黑客可以学会规避的漏洞。
例如,许多大型企业级内容协作平台仅使用杀毒程序来防止恶意内容上传并在用户之间共享。这似乎是一个积极的功能,直到您意识到防病毒程序无法捕获零日威胁。零日漏洞的激增使这成为安全保护方面的一个非常突出的差距。
其次,协作软件发布的补丁或更新通常需要由组织安装。它很少是自动修复,如果有自动修复,你不能总是相信它有效——这是以前对主要协作平台的抱怨。
补丁和更新的频率可能会让人不知所措(Slack for Windows 仅在 2023 年就已经发布了多个更新。当然,这些更新中有许多是小错误修复,但有些更新要危险得多,例如最近的 Microsoft Teams 漏洞,该漏洞利用 Microsoft 的默认配置来联系员工并传播恶意软件。有时,您不能让补丁或更新长时间搁置。
考虑的不仅仅是生产力
如果安全使用,协作软件是一种有价值的工具。我非常提倡寻找提高生产力的途径,但不是在安全方面。作为一名技术专家,我的专业领域横跨整个产品生命周期,在我之前的角色中,我一直专注于构建以安全性和可用性为优先事项的软件。因此,在您的组织完全采用内容协作平台之前,我敦促安全领导者考虑以下几点:
- 健康的“恐惧”:我们已经到了这样一个地步,用户习惯于谨慎对待电子邮件——时间已经证明了这一点——但协作工具却不一样。我绝不希望用户害怕与协作软件中的内容进行交互,但目前有一种压倒性的、危险的假设,即这些环境本质上是安全的。考虑到合作的目的,我们需要认识到这样一个事实,即有工作要做,需要采取额外的措施来保护这些领域免受恶意软件和伤害。
- 扩展安全意识:请记住,一些攻击者可以欺骗用户,让他们相信他们是内部用户并传递恶意内容。对员工进行教育和培训,让他们了解这些威胁可能是什么样子,并提供安全使用协作工具的一般最佳实践,这对各方都有利。
这些是高级注意事项,随着您的组织继续采用和扩展其对协作工具的使用,请更深入地研究安全机制并加强防御。
椰有料原创,作者:小椰子啊,转载请注明出处:http://www.studioyz.com/4774.html
文章评论