快速高效的協(xié)作對(duì)當(dāng)今的業(yè)務(wù)至關(guān)重要，但我們用于與同事、供應(yīng)商、客戶和客戶溝通的平臺(tái)也會(huì)帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)?？纯匆恍┳畛Ｒ?jiàn)的協(xié)作工具：Microsoft Teams, GitHub, Slack和OAuth，很明顯，信息共享帶來(lái)了危險(xiǎn)，就像它對(duì)商業(yè)戰(zhàn)略一樣有價(jià)值。

如果不加以保護(hù)或使用不當(dāng)，其中任何一個(gè)都可能成為攻擊者訪問(wèn)你的網(wǎng)絡(luò)的工具，最好的保護(hù)是確保你意識(shí)到這些風(fēng)險(xiǎn)，并對(duì)你的企業(yè)應(yīng)用適當(dāng)?shù)男薷暮筒呗?，以幫助防止攻擊者在你的企業(yè)中站穩(wěn)腳跟，這也意味著承認(rèn)和了解內(nèi)部風(fēng)險(xiǎn)和數(shù)據(jù)提取的威脅。

攻擊者通常比你更了解你的網(wǎng)絡(luò)，很有可能，他們也知道你的數(shù)據(jù)共享平臺(tái)，并將目標(biāo)對(duì)準(zhǔn)了這些平臺(tái)。一些簡(jiǎn)單的事情，比如不適當(dāng)?shù)拿艽a共享，就可能讓壞人通過(guò)網(wǎng)絡(luò)釣魚(yú)進(jìn)入公司的網(wǎng)絡(luò)，而協(xié)作工具可以提供一個(gè)千載難逢的機(jī)會(huì)。

以下是一些最受歡迎的協(xié)作平臺(tái)，以及如何更好地了解和幫助緩解可能影響它們的威脅。

Microsoft Teams

根據(jù)微軟的定義，Teams “是Office 365中基于聊天的工作區(qū)，它集成了你的團(tuán)隊(duì)提高參與度和效率所需的所有人員、內(nèi)容和工具。”由于它被廣泛使用，攻擊者也將其視為一個(gè)有利可圖的攻擊平臺(tái) - 2023年8月，微軟警告稱，網(wǎng)絡(luò)犯罪組織Midnight Blizzard使用了Teams進(jìn)行有針對(duì)性的攻擊。

攻擊者在Teams聊天中發(fā)送文件，最終成為憑據(jù)釣魚(yú)誘餌，偽裝成技術(shù)支持實(shí)體危及微軟租戶的安全。正如微軟所指出的，“Midnight Blizzard利用Teams消息發(fā)送誘餌，試圖通過(guò)吸引用戶并引發(fā)對(duì)多因素身份驗(yàn)證提示的批準(zhǔn)來(lái)竊取目標(biāo)組織的憑據(jù)?！惫粽咭TTeams用戶通過(guò)Microsoft驗(yàn)證器應(yīng)用程序提交他們的批準(zhǔn)。

在構(gòu)建Teams安全性時(shí)，首先確定你的企業(yè)愿意接受的風(fēng)險(xiǎn)級(jí)別，例如，你希望Teams對(duì)匿名用戶開(kāi)放還是僅對(duì)內(nèi)部用戶開(kāi)放?

要調(diào)整此設(shè)置，請(qǐng)執(zhí)行以下步驟：

• 登錄到Microsoft Teams管理中心。
• 選擇用戶>用戶訪問(wèn)。
• 根據(jù)你的安全級(jí)別，將用戶訪問(wèn)設(shè)置為打開(kāi)或關(guān)閉。

如果你決定在你的網(wǎng)絡(luò)上允許訪客訪問(wèn)，你需要意識(shí)到Teams可能被用作攻擊手段。你可以通過(guò)部署更多防網(wǎng)絡(luò)釣魚(yú)的身份驗(yàn)證方法(如號(hào)碼匹配)來(lái)提高安全性，而不僅僅是允許自動(dòng)批準(zhǔn)提示。

接下來(lái)，考慮實(shí)施條件訪問(wèn)規(guī)則，這需要額外的許可才能實(shí)現(xiàn)，但這可能是明智的，因?yàn)楣粽咴絹?lái)越多地將云作為攻擊的起點(diǎn)。

有條件的訪問(wèn)規(guī)則將允許你通過(guò)使用更強(qiáng)大的身份驗(yàn)證技術(shù)以及增加內(nèi)置身份驗(yàn)證的各種優(yōu)勢(shì)來(lái)限制Microsoft 365登錄：多因素身份驗(yàn)證強(qiáng)度、無(wú)密碼MFA強(qiáng)度和防網(wǎng)絡(luò)釣魚(yú)MFA強(qiáng)度。

你可以決定將你的Teams交互限制在批準(zhǔn)的域中，而不是向新用戶和匿名用戶開(kāi)放。當(dāng)然，教育最終用戶只接受來(lái)自可信合作伙伴的文件是至關(guān)重要的。

Slack

Slack是一種最初由開(kāi)發(fā)人員社區(qū)使用的通信平臺(tái)，后來(lái)得到了廣泛使用。Slack帶來(lái)的風(fēng)險(xiǎn)是，在假設(shè)它是一個(gè)值得信賴和安全的場(chǎng)所的情況下，它被濫用了，而事實(shí)往往并非如此。

像任何其他流行的平臺(tái)一樣，Slack可能會(huì)受到本地漏洞的影響，以及來(lái)自提供集成的第三方應(yīng)用程序的風(fēng)險(xiǎn)。當(dāng)該站點(diǎn)用于開(kāi)發(fā)人員時(shí)，它通常被用來(lái)以不適當(dāng)?shù)姆绞酱鎯?chǔ)憑據(jù)或其他敏感信息。與Teams一樣，該平臺(tái)隨后被用來(lái)共享這些敏感信息，而不考慮其安全性。

要確保你的Slack實(shí)例保持安全，請(qǐng)啟用雙因素身份驗(yàn)證(2FA)以增加額外的安全層?？紤]添加域白名單以限制訪問(wèn)，并監(jiān)控允許訪問(wèn)的外部共享通道。

最后，確保避免授予過(guò)多權(quán)限，并嚴(yán)格管理訪客用戶的訪問(wèn)和可見(jiàn)性。與任何共享平臺(tái)一樣，確保你審閱對(duì)訪客用戶的邀請(qǐng)并監(jiān)控他們的訪問(wèn)級(jí)別是一種良好的做法。

GitHub

軟件共享平臺(tái)Github的用戶范圍從普通公眾到私營(yíng)行業(yè)。由于其開(kāi)放性，它已成為惡意內(nèi)容的存儲(chǔ)庫(kù)。雖然大多數(shù)人訪問(wèn)是為了下載干凈的代碼，但他們可能會(huì)被壞行為者愚弄，這些行為者準(zhǔn)備了似乎可以工作的代碼，然后引誘用戶下載實(shí)際包含惡意有效負(fù)載的文件。

正如研究人員指出的那樣，正在使用的多達(dá)10萬(wàn)個(gè)GitHub存儲(chǔ)庫(kù)攜帶有可能感染用戶的惡意代碼。

在構(gòu)建和重用代碼庫(kù)時(shí)，必須審查你使用的代碼。確保你的開(kāi)發(fā)人員和信息技術(shù)團(tuán)隊(duì)意識(shí)到危險(xiǎn)，并擁有必要的工具和培訓(xùn)來(lái)檢測(cè)任何惡意代碼。

風(fēng)險(xiǎn)可能很高，感染的影響可能需要幾個(gè)月或幾年的時(shí)間才能浮出水面——不良行為者往往會(huì)想方設(shè)法將自己注入第三方工具的供應(yīng)鏈，意圖潛伏等待，直到他們確定發(fā)動(dòng)更大規(guī)模攻擊的合適時(shí)機(jī)。

OAuth

應(yīng)用程序通常使用OAuth的身份驗(yàn)證平臺(tái)來(lái)共享憑據(jù)和訪問(wèn)其他服務(wù)。OAuth權(quán)限是永久的，在某些情況下，可能會(huì)允許你的用戶無(wú)意中授權(quán)他們不知道的應(yīng)用程序。

即使你進(jìn)入啟用了OAuth權(quán)限的應(yīng)用程序，也可能無(wú)法完全刪除授權(quán)，因此，請(qǐng)?zhí)崆安榭茨愕腗icrosoft 365郵箱授權(quán)，并確保將設(shè)置設(shè)置為管理員必須授權(quán)任何OAuth訪問(wèn)。

如果你已經(jīng)允許用戶批準(zhǔn)他們自己的第三方應(yīng)用程序，請(qǐng)轉(zhuǎn)到https://security.microsoft.com，向下滾動(dòng)到云應(yīng)用程序，然后選擇OAuth應(yīng)用程序。確保你的域中只存在并接受你知道和信任的那些應(yīng)用程序。

查看權(quán)限及其上次授權(quán)的時(shí)間，此外，請(qǐng)考慮是否需要添加其他策略來(lái)分析與這些云應(yīng)用程序相關(guān)的風(fēng)險(xiǎn)，并相應(yīng)地設(shè)置通知。