|
|
51CTO旗下网站
|
|
移动端

知识点 | 4个缓解Slack安全风险的技巧

就暴露的敏感数据而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。

作者:高博 编译来源:it168网站|2019-01-29 07:24

就暴露的敏感数据而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。

Slack安全风险

作为流行的企业工作区协作工具和IRC克隆,Slack不提供端到端的加密,这使得任何对Slack服务器的破坏都可能给全球用户带来灾难性后果。如果内部Slack对话泄露,您或您的组织将遭受严重损害,那么是时候考虑加密的Slack替代方案,或者通过锁定您的Slack工作区来降低风险。对此我们采访了技术专家安德鲁•福特•莱昂斯(Andrew Ford Lyons),其在英国Internews为高危群体从事数字安全方面的工作。

虽然这些技巧都不能完全保护您免受Slack的漏洞或其他对您的Slack工作区机密性的威胁,但它们可以减少一些不可避免的灾难。

1. 启用双因素身份验证(2FA)

Slack能够提供2FA,使用它,如果Slack被攻破,它不会保护你,但它会让攻击者很难攻击你或你的组织。

Slack支持谷歌身份验证器、Duo Mobile、Authy、1Password和(在极少数使用Windows Phone的情况下)Microsoft Authenticator,这取决于您使用的是哪种移动设备。Slack还支持SMS 2FA,如果不是必须尽量不要使用它。虽然任何2FA都比没有强,但是SMS 2FA远不如使用软令牌安全。

目前还没有硬令牌(比如Yubikey)支持Slack的迹象。领先的硬令牌制造商Yubico在1月份宣布支持移动设备。关注帐户安全的大型组织可能会对Slack提供一个友好的说明,询问何时需要Yubikey支持。

一个2FA问题:确保打开强制性2FA,因为Slack默认情况下是关闭此设置的。

即使在不包含开户免费送彩金38元钓鱼的组织中威胁模型也会发生事故。“有没有人在没有2FA的情况下和Slack一起走来走去,结果手机丢失了?” 莱昂斯 问道。

2. 对非关键的第三方集成说不

Slack提供了大量第三方应用程序集成。尽管Slack会检查所有第三方应用程序的适当权限和数据访问,但每一次额外的集成都会增加组织的整体攻击面。除非你必须需要它,否则就把它们拿掉。

2016年,在GitHub上发现了1500多个被硬编码到开源项目中的Slack访问令牌。“这样的令牌可以提供聊天、文件、私人信息以及Slack团队内部共享的其他敏感数据的访问权限,这些开发人员或机器人都是Slack团队的成员,”我们在PC World的同事当时表示。

“如果我和你谈话,你却进行疯狂的整合,那就会影响我和你的谈话,” 莱昂斯 说。

集成多个工作工具的开户免费送彩金38元效应意味着它们中的任何一个缺陷都会影响所有工具的安全性。假设违反和划分。那些选择接受风险较高的Slack工作空间以获得轻微生产力优势的组织应该睁大眼睛,意识到风险。

3. 关闭Slack电子邮件通知

如果您担心Slack工作区的机密性,请关闭Slack电子邮件通知。在Slack频道中,每次提及用户都会转到用户的电子邮件收件箱,或默认情况下显示为推送通知。用户可以关闭此默认值,管理员可以在更高的付费层中强制执行此设置。

“即使完全关闭了Slack的电子邮件通知,电子邮件也是Slack安全性的一个弱点,因为这是密码重置和账户恢复过程发生的地方,”莱昂斯说,并指出2FA应该部署在Slack和相应用户的电子邮件账户上。

Slack最大的优势之一是,它的可用性远远超过了在一封电子邮件中抄送几十个人。尽可能地将Slack和电子邮件分开。

4. 人为因素:明智地选择Slack参与者

人类永远是最薄弱的一环。选择你允许谁加入Slack的渠道。在需要知道的基础上这样做。在一段时间后撤消非活动成员或员工。接触敏感信息的人越少,泄露的可能性就越小。500名员工在内部的Slack频道上工作,就像在云端工作一样,让全世界都能看到。

设置自动会话注销,而不是Slack允许的无限登录会话,可以帮助清除不活跃的帐户。不过,里昂警告说,不要把会话设置得太短,因为用户会觉得这非常烦人,尤其是在移动设备上。

在较短的时间内为需要有限访问权限的承包商或用户使用访客帐户。“如果你是我的客户,我可以在给你一个频道的客人账号,但你看不到其他任何东西,它会在一个月或两个月内到期,到时候设置的任何东西都会过期”莱昂斯说。

加密对于保护消息非常有用,但它不能修复人性。松弛的消息不是短暂的,想想你在输入什么,在哪里输入,以及你的单词的永久性。毕竟,对Slack的一次攻击,一个开户免费送彩金38元钓鱼的同事,或者内部的一个流氓人士,不会因为你一开始就没有输入过的单词而伤害到你。

【编辑推荐】

  1. Linux systemd受内存损坏漏洞影响,尚无补丁
  2. 3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案
  3. Website Planet实测:5个热门网站代管平台皆含有安全漏洞
  4. 解读2018 OWASP TOP10物联网安全漏洞
  5. 《堡垒之夜》现漏洞!Check Point 发现可被黑客盗取玩家帐号、数据与游戏货币的潜在危险
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +兴博汇注册送38元

游戏关卡设计

《半条命》作者倾心写就 暴雪总裁等业内专家强力推荐 盛大公司专业团队翻译 一起来创造引人入胜的游戏体验吧! 任何精彩游戏的核心部分...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
博聚网