如今,在线协作应用程序对企业来说已经变得至关重要,但许多企业在新冠疫情开始爆发之后急于实施这些工具,并没有纠正他们在安全方面所犯的错误。
在新冠疫情爆发之前,很多人理所当然地认为,大多数员工大部分时间都在企业办公室工作。然而,在后疫情时代,许多员工可以在任何地方、任何时间、任何有互联网连接的设备上工作。
2020年初,当新冠疫情在全球蔓延时,很多企业纷纷采用在线协作工具。这些工具具有从语音和视频会议到文档共同创作和项目跟踪的各种功能,可以帮助员工在家中或其他任何地方就各种项目和计划进行沟通、协同工作和共享更新。
虽然一些企业现在鼓励甚至强制许多员工回到办公室工作,但协作工具对业务运营仍然至关重要。技术研究和咨询机构ISG公司的网络安全主管Doug Glair表示,这些协作工具已经成为与在多个地点工作的员工开展业务的基本组成部分,无论是在企业内部,还是在外部与客户、供应商和其他第三方打交道。因此,考虑到协作工具对业务的关键价值,企业需要确保其具有弹性、易用性和安全性。
行业专家表示,尽管企业已经使用协作工具好几年的时间,但他们仍然在犯与新冠疫情早期出现的安全错误。
网络安全评估机构Schellman公司的CEO Avani Desai表示,出现安全方面错误的一个主要原因是,协作工具通常是在业务部门内部启用的,而不是在企业范围内。她说,“也许我想用Asana,其他人想用SharePoint,还有人想用Jira,而执行团队想用另一种工具——这样用户访问权限就不会在企业层面上被授予。多年来,用户访问一直是一个问题,而且这个问题一直存在。”
调研机构Gartner公司分析师Patrick Hevesi认同Desai的评估。他说:“假设企业要求采用的是微软365或G Suite,或者其他什么协作工具,但企业中的其他人想用Slack。一些员工在没有IT安全部门授权的情况下添加了更多的协作工具。”
此外,采用协作平台(例如Microsoft Teams、Slack、Box、Dropbox、GitHub、Jira、Asana等)的企业通常关注的是生产力方面带来的好处。管理服务商GreenPages Technology Solutions公司的安全实践主管Jay Martin表示,保护这些平台、通信和他们共享的数据通常是事后才想到的事情,如果有人考虑过的话。
他说:“提高它们的安全性对于保护企业免受寻求专有信息、财务数据、知识产权等入口的威胁至关重要。”
行业媒体询问了科技行业分析师、IT服务提供商和安全顾问,请他们列出了当今企业所犯的最大的协作安全错误,以及如何改正这些错误。以下是他们提供的建议。
协作安全错误#1:没有为协作工具提供集中治理
安全咨询机构NCC集团风险管理和治理技术总监Sourya Biswas表示,如果企业不提供经过审查的协作工具,员工可能会自己寻找并使用不安全的解决方案。他说,“因此,虽然企业接受数字协作很重要,但同时他们应该通过限制本地管理员访问和托管浏览器解决方案等机制来防止安装和使用未经批准的工具。”
技术产品和服务经销商SHI International公司的终端用户解决方案高级主管Michael McCracken表示,即使协作工具得到审查和批准,企业也必须认识到每个员工允许访问的不同协作平台,以防止敏感数据被泄露,并避免采用为不良行为者提供新的攻击载体,技术产品和服务的经销商。
此外,IT部门需要保持对这些工具的集中控制,独立会计和商业咨询机构Armanino公司的风险保证顾问合伙人AJ Yawn表示,“如果有人被解雇,负责解雇的人是否知道要删除这些工具的访问权限,或者那些被解雇的员工是否仍然可以访问企业的敏感数据?”
协作安全错误#2:使用不安全的文件共享方法
Schellman公司的Desai表示,许多企业使用不安全的方法进行文件共享。其中两个例子是未加密的电子邮件附件和使用未内置加密的协作工具进行的公共文件共享。
她说。“使用不安全的文件共享方法是一个安全问题,因为它可能导致数据泄露。”她建议企业只使用带有加密功能的安全文件共享平台。
Desai表示,企业还应该实施安全的文件传输协议。他说,“所以电子邮件应该具有我们所说的传输层安全,就像在传输过程中加密一样。”
协作安全错误#3:未对顾问和服务提供商进行尽职调查
虽然行业领先的协作供应商提供了强大的安全功能,但通常取决于部署和管理软件的人员,以确保将其配置为最大的安全性。在许多情况下,特别是在小型企业中,企业会向IT顾问或服务提供商寻求这些服务。IT服务和咨询商TechMahindra公司的首席数字服务官Kunal Purohit表示,尽管人们对协作安全的意识越来越高,但咨询师和服务提供商最终还是会犯错误,使客户的数据处于危险之中。
这些错误包括不充分的访问控制,例如允许密码共享或授予过多的特权。忽视实施强认证措施,例如双因素身份验证。他表示,没有定期更新软件和系统,这可能会形成漏洞。顾问和服务提供商犯的另一个错误是在传输或存储过程中没有对敏感信息进行加密。Purohit说,“此外,未能进行定期安全审计和评估进一步使企业面临风险。”
Purohit建议,在聘请任何顾问或服务提供商之前,企业应该进行彻底的尽职调查。这包括验证这些第三方是否具有实现健壮安全措施的可靠历史。
他说:“企业应该清楚地定义他们的安全需求和期望,并将其包括在与顾问或服务提供商的合同协议中。此外,企业应该定期进行安全审计和评估,以识别任何漏洞或违规行为。”
此外,企业应该执行严格的访问控制。根据顾问和服务提供商的具体需求,为他们提供有限的特权。最重要的是,企业应该与他们建立清晰的沟通渠道,以便及时报告任何安全事件或漏洞。
协作安全错误#4:没有确保员工使用安全的互联网连接
NCC集团的Biswas表示,在世界任何地方通过互联网连接进行协作的能力,为员工连接到咖啡馆和机场等公共场所的不安全无线接入点提供了可能性,从而危及通过连接流过的任何数据。他表示,虚拟专用网络、安全访问服务边缘和零信任网络访问工具解决了这一问题。
领导外包IT服务团队的Eisner Amper公司的合伙人Rahul Mahna对此表示赞同。他说:“现在大家都开始旅行或出差,他们开始使用Acela、酒店房间和会议中心提供的免费Wi-Fi连接他们的协作工具。这些都充满了安全问题。我总是告诉人们,最安全的连接是绑定自己的手机,因为通信运营商的安全性比从免费Wi-Fi获得的安全性要好得多。”
不能浪费时间
IT基础设施服务提供商Kyndryl公司的全球安全与弹性业务主管Kris Lovejoy表示,协作是推动当今工作场所发展的驱动力。新冠疫情改变了企业的工作方式,数字化程度的提高推动了企业业务的发展,但这也扩大了潜在网络攻击可能发生的范围。
她说:“如今,现在的问题不是会不会发生,而是什么时候会发生。从安全的角度来看,采用协作工具增加了威胁。这一日益严峻的挑战为企业可以采用新的方式来思考威胁提供了一个机会。这就是为什么重新调整以适应网络弹性未来至关重要的原因。”