如今，在線協(xié)作應(yīng)用程序?qū)ζ髽I(yè)來(lái)說(shuō)已經(jīng)變得至關(guān)重要，但許多企業(yè)在新冠疫情開始爆發(fā)之后急于實(shí)施這些工具，并沒有糾正他們?cè)诎踩矫嫠傅腻e(cuò)誤。

在新冠疫情爆發(fā)之前，很多人理所當(dāng)然地認(rèn)為，大多數(shù)員工大部分時(shí)間都在企業(yè)辦公室工作。然而，在后疫情時(shí)代，許多員工可以在任何地方、任何時(shí)間、任何有互聯(lián)網(wǎng)連接的設(shè)備上工作。

2020年初，當(dāng)新冠疫情在全球蔓延時(shí)，很多企業(yè)紛紛采用在線協(xié)作工具。這些工具具有從語(yǔ)音和視頻會(huì)議到文檔共同創(chuàng)作和項(xiàng)目跟蹤的各種功能，可以幫助員工在家中或其他任何地方就各種項(xiàng)目和計(jì)劃進(jìn)行溝通、協(xié)同工作和共享更新。

雖然一些企業(yè)現(xiàn)在鼓勵(lì)甚至強(qiáng)制許多員工回到辦公室工作，但協(xié)作工具對(duì)業(yè)務(wù)運(yùn)營(yíng)仍然至關(guān)重要。技術(shù)研究和咨詢機(jī)構(gòu)ISG公司的網(wǎng)絡(luò)安全主管Doug Glair表示，這些協(xié)作工具已經(jīng)成為與在多個(gè)地點(diǎn)工作的員工開展業(yè)務(wù)的基本組成部分，無(wú)論是在企業(yè)內(nèi)部，還是在外部與客戶、供應(yīng)商和其他第三方打交道。因此，考慮到協(xié)作工具對(duì)業(yè)務(wù)的關(guān)鍵價(jià)值，企業(yè)需要確保其具有彈性、易用性和安全性。

行業(yè)專家表示，盡管企業(yè)已經(jīng)使用協(xié)作工具好幾年的時(shí)間，但他們?nèi)匀辉诜概c新冠疫情早期出現(xiàn)的安全錯(cuò)誤。

網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)Schellman公司的CEO Avani Desai表示，出現(xiàn)安全方面錯(cuò)誤的一個(gè)主要原因是，協(xié)作工具通常是在業(yè)務(wù)部門內(nèi)部啟用的，而不是在企業(yè)范圍內(nèi)。她說(shuō)，“也許我想用Asana，其他人想用SharePoint，還有人想用Jira，而執(zhí)行團(tuán)隊(duì)想用另一種工具——這樣用戶訪問(wèn)權(quán)限就不會(huì)在企業(yè)層面上被授予。多年來(lái)，用戶訪問(wèn)一直是一個(gè)問(wèn)題，而且這個(gè)問(wèn)題一直存在。”

調(diào)研機(jī)構(gòu)Gartner公司分析師Patrick Hevesi認(rèn)同Desai的評(píng)估。他說(shuō)：“假設(shè)企業(yè)要求采用的是微軟365或G Suite，或者其他什么協(xié)作工具，但企業(yè)中的其他人想用Slack。一些員工在沒有IT安全部門授權(quán)的情況下添加了更多的協(xié)作工具。”

此外，采用協(xié)作平臺(tái)(例如Microsoft Teams、Slack、Box、Dropbox、GitHub、Jira、Asana等)的企業(yè)通常關(guān)注的是生產(chǎn)力方面帶來(lái)的好處。管理服務(wù)商GreenPages Technology Solutions公司的安全實(shí)踐主管Jay Martin表示，保護(hù)這些平臺(tái)、通信和他們共享的數(shù)據(jù)通常是事后才想到的事情，如果有人考慮過(guò)的話。

他說(shuō):“提高它們的安全性對(duì)于保護(hù)企業(yè)免受尋求專有信息、財(cái)務(wù)數(shù)據(jù)、知識(shí)產(chǎn)權(quán)等入口的威脅至關(guān)重要?！?/p>

行業(yè)媒體詢問(wèn)了科技行業(yè)分析師、IT服務(wù)提供商和安全顧問(wèn)，請(qǐng)他們列出了當(dāng)今企業(yè)所犯的最大的協(xié)作安全錯(cuò)誤，以及如何改正這些錯(cuò)誤。以下是他們提供的建議。

協(xié)作安全錯(cuò)誤#1：沒有為協(xié)作工具提供集中治理

安全咨詢機(jī)構(gòu)NCC集團(tuán)風(fēng)險(xiǎn)管理和治理技術(shù)總監(jiān)Sourya Biswas表示，如果企業(yè)不提供經(jīng)過(guò)審查的協(xié)作工具，員工可能會(huì)自己尋找并使用不安全的解決方案。他說(shuō)，“因此，雖然企業(yè)接受數(shù)字協(xié)作很重要，但同時(shí)他們應(yīng)該通過(guò)限制本地管理員訪問(wèn)和托管瀏覽器解決方案等機(jī)制來(lái)防止安裝和使用未經(jīng)批準(zhǔn)的工具?！?/p>

技術(shù)產(chǎn)品和服務(wù)經(jīng)銷商SHI International公司的終端用戶解決方案高級(jí)主管Michael McCracken表示，即使協(xié)作工具得到審查和批準(zhǔn)，企業(yè)也必須認(rèn)識(shí)到每個(gè)員工允許訪問(wèn)的不同協(xié)作平臺(tái)，以防止敏感數(shù)據(jù)被泄露，并避免采用為不良行為者提供新的攻擊載體，技術(shù)產(chǎn)品和服務(wù)的經(jīng)銷商。

此外，IT部門需要保持對(duì)這些工具的集中控制，獨(dú)立會(huì)計(jì)和商業(yè)咨詢機(jī)構(gòu)Armanino公司的風(fēng)險(xiǎn)保證顧問(wèn)合伙人AJ Yawn表示，“如果有人被解雇，負(fù)責(zé)解雇的人是否知道要?jiǎng)h除這些工具的訪問(wèn)權(quán)限，或者那些被解雇的員工是否仍然可以訪問(wèn)企業(yè)的敏感數(shù)據(jù)?”

協(xié)作安全錯(cuò)誤#2：使用不安全的文件共享方法

Schellman公司的Desai表示，許多企業(yè)使用不安全的方法進(jìn)行文件共享。其中兩個(gè)例子是未加密的電子郵件附件和使用未內(nèi)置加密的協(xié)作工具進(jìn)行的公共文件共享。

她說(shuō)?！笆褂貌话踩奈募蚕矸椒ㄊ且粋€(gè)安全問(wèn)題，因?yàn)樗赡軐?dǎo)致數(shù)據(jù)泄露?！彼ㄗh企業(yè)只使用帶有加密功能的安全文件共享平臺(tái)。

Desai表示，企業(yè)還應(yīng)該實(shí)施安全的文件傳輸協(xié)議。他說(shuō)，“所以電子郵件應(yīng)該具有我們所說(shuō)的傳輸層安全，就像在傳輸過(guò)程中加密一樣。”

協(xié)作安全錯(cuò)誤#3：未對(duì)顧問(wèn)和服務(wù)提供商進(jìn)行盡職調(diào)查

雖然行業(yè)領(lǐng)先的協(xié)作供應(yīng)商提供了強(qiáng)大的安全功能，但通常取決于部署和管理軟件的人員，以確保將其配置為最大的安全性。在許多情況下，特別是在小型企業(yè)中，企業(yè)會(huì)向IT顧問(wèn)或服務(wù)提供商尋求這些服務(wù)。IT服務(wù)和咨詢商TechMahindra公司的首席數(shù)字服務(wù)官Kunal Purohit表示，盡管人們對(duì)協(xié)作安全的意識(shí)越來(lái)越高，但咨詢師和服務(wù)提供商最終還是會(huì)犯錯(cuò)誤，使客戶的數(shù)據(jù)處于危險(xiǎn)之中。

這些錯(cuò)誤包括不充分的訪問(wèn)控制，例如允許密碼共享或授予過(guò)多的特權(quán)。忽視實(shí)施強(qiáng)認(rèn)證措施，例如雙因素身份驗(yàn)證。他表示，沒有定期更新軟件和系統(tǒng)，這可能會(huì)形成漏洞。顧問(wèn)和服務(wù)提供商犯的另一個(gè)錯(cuò)誤是在傳輸或存儲(chǔ)過(guò)程中沒有對(duì)敏感信息進(jìn)行加密。Purohit說(shuō)，“此外，未能進(jìn)行定期安全審計(jì)和評(píng)估進(jìn)一步使企業(yè)面臨風(fēng)險(xiǎn)?！?/p>

Purohit建議，在聘請(qǐng)任何顧問(wèn)或服務(wù)提供商之前，企業(yè)應(yīng)該進(jìn)行徹底的盡職調(diào)查。這包括驗(yàn)證這些第三方是否具有實(shí)現(xiàn)健壯安全措施的可靠歷史。

他說(shuō):“企業(yè)應(yīng)該清楚地定義他們的安全需求和期望，并將其包括在與顧問(wèn)或服務(wù)提供商的合同協(xié)議中。此外，企業(yè)應(yīng)該定期進(jìn)行安全審計(jì)和評(píng)估，以識(shí)別任何漏洞或違規(guī)行為?！?/p>

此外，企業(yè)應(yīng)該執(zhí)行嚴(yán)格的訪問(wèn)控制。根據(jù)顧問(wèn)和服務(wù)提供商的具體需求，為他們提供有限的特權(quán)。最重要的是，企業(yè)應(yīng)該與他們建立清晰的溝通渠道，以便及時(shí)報(bào)告任何安全事件或漏洞。

協(xié)作安全錯(cuò)誤#4：沒有確保員工使用安全的互聯(lián)網(wǎng)連接

NCC集團(tuán)的Biswas表示，在世界任何地方通過(guò)互聯(lián)網(wǎng)連接進(jìn)行協(xié)作的能力，為員工連接到咖啡館和機(jī)場(chǎng)等公共場(chǎng)所的不安全無(wú)線接入點(diǎn)提供了可能性，從而危及通過(guò)連接流過(guò)的任何數(shù)據(jù)。他表示，虛擬專用網(wǎng)絡(luò)、安全訪問(wèn)服務(wù)邊緣和零信任網(wǎng)絡(luò)訪問(wèn)工具解決了這一問(wèn)題。

領(lǐng)導(dǎo)外包IT服務(wù)團(tuán)隊(duì)的Eisner Amper公司的合伙人Rahul Mahna對(duì)此表示贊同。他說(shuō)：“現(xiàn)在大家都開始旅行或出差，他們開始使用Acela、酒店房間和會(huì)議中心提供的免費(fèi)Wi-Fi連接他們的協(xié)作工具。這些都充滿了安全問(wèn)題。我總是告訴人們，最安全的連接是綁定自己的手機(jī)，因?yàn)橥ㄐ胚\(yùn)營(yíng)商的安全性比從免費(fèi)Wi-Fi獲得的安全性要好得多?！?/p>

不能浪費(fèi)時(shí)間

IT基礎(chǔ)設(shè)施服務(wù)提供商Kyndryl公司的全球安全與彈性業(yè)務(wù)主管Kris Lovejoy表示，協(xié)作是推動(dòng)當(dāng)今工作場(chǎng)所發(fā)展的驅(qū)動(dòng)力。新冠疫情改變了企業(yè)的工作方式，數(shù)字化程度的提高推動(dòng)了企業(yè)業(yè)務(wù)的發(fā)展，但這也擴(kuò)大了潛在網(wǎng)絡(luò)攻擊可能發(fā)生的范圍。

她說(shuō):“如今，現(xiàn)在的問(wèn)題不是會(huì)不會(huì)發(fā)生，而是什么時(shí)候會(huì)發(fā)生。從安全的角度來(lái)看，采用協(xié)作工具增加了威脅。這一日益嚴(yán)峻的挑戰(zhàn)為企業(yè)可以采用新的方式來(lái)思考威脅提供了一個(gè)機(jī)會(huì)。這就是為什么重新調(diào)整以適應(yīng)網(wǎng)絡(luò)彈性未來(lái)至關(guān)重要的原因?！?/p>