自从冠状病毒疫情发生以来,很多人在家远程办公,因此也进入了远程工作的新时代。团队协作SaaS的采用率因此迅速增长,云计算协作安全性面临的问题也是如此。根据安全提供商McAfee公司的调查,在2020年1月至4月期间,对企业云帐户的外部攻击增加了630%,威胁参与者主要针对协作服务进行攻击。行业专家预计,远程工作将在疫情结束之后很长时间内持续进行,而宽松的政策以及协作平台上的风险行为使组织面临巨大的持续风险。
McAfee公司市场总监Nigel Hawthorn在其博客上指出:“组织通常不会允许不明身份的人员走进办公室查看办公桌上的文件,需要通过安保人员和系统的检查和批准。但是,根据McAfee公司研究人员的调查,使用Microsoft Teams的组织每隔几分钟就会添加一个新的访客,例如第三方合作伙或客户。而对于组织的私有数字空间来说,外部访问的数量惊人。”Hawthorn补充说,作为主要供应商,微软公司在产品的安全性方面进行了大量投资,但是其用户仍然有责任确保以安全的方式使用协作软件。
Metrigy公司的研究人员发现,拥有主动云计算协作安全计划的组织更有可能从协作平台中看到可以衡量的收益,例如节省成本、增加收入和提高生产力。专家认为,在这些环境中确保数据安全,需要首席信息安全官和其他安全领导者采用多管齐下的方法来解决技术、流程和人员问题。其策略应高包括以下内容:
1. 选择团队协作的供应商
总部位于新泽西州泽西市的数据管理和安全提供商AvePoint公司首席风险、隐私和信息安全官Dana Simberkoff表示,任何云协作套件都会固有地带来第三方风险。他说,“无论你采用哪一个平台,基本上都是将你的数据放在别人的服务器上,这意味着你的控制权降低了。”
Gartner公司分析师Patrick Hevesi表示,云计算服务的本质要求组织依靠其供应商来提供良好的基础网络安全性。因此,组织的首席信息安全官应该提出以下问题:
- 供应商如何监视和控制谁进入其服务器设施?
- 供应商是否有安全摄像头?
- 供应商的网络层是否安全?
Simberkoff建议说:“对于那些匆忙部署团队协作软件作为疫情应对计划一部分的组织来说,应该尽快完成全面的供应链风险评估。需要了解组织的数据、员工和供应商。”
Reiko Feaver是一家从事隐私、数据和网络安全法律业务的云计算律师事务所Culhane Meadows的合作伙伴,她鼓励客户仔细审查提供商的安全认证,如果可能的话,独立审计其内部运营。她说,“例如,如果让IT顾问远程访问组织的系统,确保他们正在监控这种访问,并在不再需要时将其切断。”
Gartner公司的Hevesi表示,思科和微软等顶级供应商拥有深厚而广泛的安全和工程专业知识,会在用户之间建立相对较高的信任度。而运行在主要云平台上的小型SaaS产品(包括AWS Microsoft Azure等)也能从这些供应商的规模经济和可观的安全资源中获益。
Hevesi表示,组织需要谨慎选择中小数据中心SaaS提供商。他说:“例如他们没有为服务器打补丁或者在旧版TLS上运行,他们更容易受到错误和漏洞的影响,或者他们的基础设施中没有认证或标准。这会让我感到担心。”
Hevesi指出,即便如此,组织的首席信息安全官也不必禁止使用新兴的云协作工具,也不必重新审查它们。几乎所有云访问安全代理(CASB)都会主动评估大量第三方SaaS应用程序并编译结果以供参考。云访问安全代理(CASB)的客户通常还可以提交票证,要求代理审查尚未在其数据库中使用的应用程序。
即使在最初的审核和采用之后,组织也应该定期重新评估其提供商的安全性。Feaver说:“不要认为他们正在做正确的事。组织必须拥有自己的系统并进行检查。”
2. 权衡访客访问设置
专家建议,即使是最好的团队协作套件,其安全性也取决于其安全设置。在部署新的SaaS平台时,IT领导者需要主动配置用户访问和权限,以与组织风险偏好保持一致。
Metrigy公司的研究表明,向外部用户开放协作平台有助于提高投资回报率(ROI)。但是过早开放新部署的协作应用程序可能会导致灾难性的数据泄漏。考虑到这一点,Hevesi建议,首席信息安全官应该限制甚至阻止用户邀请外部参与者的能力。
他说:“组织首先建立协作平台,然而将其锁定,并确保安全团队知道如何管理它。”随着网络安全团队成功添加诸如多因素身份验证(MFA)和数据丢失防护(DLP)策略之类的控制层,他们可以逐步地扩展用户权限和扩展第三方访问权限。
Feaver表示,Culhane Meadows律师事务所对云协作安全性采取了类似的衡量方法。该公司在很大程度上依赖Microsoft团队进行内部通信,并计划在不久的将来向该平台添加外部客户端,但其前提是安全团队必须完成各种身份驱动的控件的实施。 Feaver说:“在可以邀请谁、共享什么资源、谁可以访问哪些资源,以及访问多长时间方面将具有更高的安全性。”
Gartner公司分析师Patrick Hevesi表示,组织通常不会在没有防火墙的情况下部署数据中心设备,也不会在没有云访问安全代理(CASB)的情况下部署SaaS应用程序,尤其是协作应用程序。
Metrigy公司的分析师Irwin Lazar建议,希望实现组织之间协作的组织可以考虑使用Federation,该联盟可桥接两个组织的协作空间,但将其系统和数据保持独立性。他补充说,应用程序之间的联盟和第三方联盟都涉及到代理两个协作平台之间的连接的独立软件,它们往往比更常见的访客访问选项更安全。后者使首席信息安全官对用户和数据的控制相对较少。
Lazar警告说,需要注意的是,供应商的默认设置有时会发生变化。例如,在2021年2月,Microsoft Teams开始自动支持第三方访客访问,除非管理员人工禁用该功能。
思科公司安全工程师Jeremy Laurenson发推文声称,“微软为什么要这么做?这一做法是数据所有权和安全性的灾难。这一更改说明需要定期检查设置。”
3. 多层云协作安全控制
Hevesi表示,强大的云协作安全计划需要从多因素身份验证(MFA)开始的多层控制。他说:“现在用户如果没有在防火墙的保护下,那么需要验证是否像供应商所说的那样安全。”
数据丢失防护(DLP)和数据分类也应具有较高的优先级。AvePoint公司的Simberkoff说:“由于员工分散在各地远程工作,很难跟踪数据。首席信息安全官应该始终知道数据在哪里,谁可以访问,如果他们共享了数据以及何时删除了数据。”
协作SaaS提供商Box公司全球首席安全官Lakshmi Hanspal说,“数据分类技术使安全管理人员可以将资源标记为敏感资源,从而使数据能够倡导自身的安全性。”
Hanspal说:“安全领导者还可以基于用户身份、设备信任、地理位置等来建立条件访问和特权。也许在托管设备上,我可以访问收入报告,但是在非托管设备上只有查看的权限,而没有下载或打印功能。或者从非典型地理位置访问数据的受信任用户可能必须采取其他步骤来证明其身份。”
Hevesi表示,团队协作安全性的必需工作是云访问安全代理(CASB),它可以作为企业端点和云计算服务之间的网关,并结合了数据丢失防护(DLP)、多因素身份验证(MFA)和威胁检测等功能。他说:“没有防火墙就无法保证数据中心的安全性,没有云访问安全代理(CASB)也难以部署SaaS应用程序,尤其是协作应用程序。”
云访问安全代理(CASB)还可以帮助组织识别和跟踪影子IT,从独立的、未经批准的协作应用程序到经过批准的平台中看似无害但有潜在风险的集成。例如,在2016年的美国国家总务管理局采用的Google Drive-Slack集成中,在五个月内向美国独立政府机构的内部和访客Slack用户公开了100多个政府Google Drive帐户。Hanspal补充说:“对于安全从业人员来说,定期进行检查非常重要,这样他们就可以在必要时停用并屏蔽某些应用程序。”
4. 对员工进行云协作安全风险培训
总部位于佛罗里达州坦帕市的独立安全和隐私合规评估机构Schellman&Company公司首席信息官Jacob Ansari说,“最终,数据泄露更可能源于用户的无意失误,而不是更复杂的、更具针对性的攻击。培训用户正确使用这些会议工具以避免潜在问题非常重要,比如无意之间共享带有机密信息的屏幕,没有使用会议密码,或者让太多不受信任的参与者参加会议。”
在AvePoint公司,Simberkoff对员工进行的安全和隐私风险教育超出了协作平台本身的虚拟边界,例如与家庭成员共享物理工作区或数字设备。她说,“机密谈话需要以书面形式进行,而不是视频,或者在周围没有其他人的时候进行。”共享设备的任何人(例如允许孩子使用笔记本电脑做功课的家长)都应该部署具有唯一登录凭据的单独用户配置文件。
Simberkoff还强调了理解员工角色要求和员工多样化工作条件的现实,并使员工了解“做正确的事比做错事更容易”的重要性。组织的首席信息安全官应该就未经批准的应用程序使用的风险对员工进行培训,同时还应促进安全性与业务之间的开放式沟通。例如,影子IT最终可能成为一个危险信号,表明组织批准的协作套件中缺少重要功能。
Simberkoff说:“对于安全人员来说,需要将自己视为促进业务发展的力量,而不是阻止人们做事,这一点非常重要。安全性应该像高速公路护栏一样,让协作平台用户在保持相对安全的同时尽可能高效地工作。”