词条信息

admin
admin
超级管理员
最近编辑者 发短消息   

相关词条

热门词条

更多>>
什么是端口?到底是做什么的呢?
端口一般指两种,一种是硬件比如路由器或者交换机的插网线的端口,一种是软件的逻辑的概念,比如http的80端口!...
7种进阶方法让你快速测试端口连通性
Ping是Windows、Linux和Unix系统下的一个检查网络连通性的命令工具,对于大部分互联网用户来说很...
电脑开机,总需要按F1,是什么原因造成的?
一.主板掉电这个说法是行业内的叫法了,一般是主板的CMOS电池没电了导致的。也是最常见的一种提示你按F1的提示...
社保降费对个人有什么影响?
下调城镇职工基本养老保险单位缴费比例是政府给企业发的一个大红包,特别是对于企业来说是一个利好,但是对个人来说有...
车辆“出险”对下年保费的影响,到底有多大?
【出险对交强险的影响】【出险对商业险的影响】车辆“出险”对下年保费的影响,到底有多大?这里有必要先提下车险第三...
解决网 >>所属分类 >> 安全防护    数据安全   

4个缓解Slack安全风险的技巧

标签: Slack

顶[0] 发表评论(0) 编辑词条

就暴露的敏感数据而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。

作为流行的企业工作区协作工具和IRC克隆,Slack不提供端到端的加密,这使得任何对Slack服务器的破坏都可能给全球用户带来灾难性后果。如果内部Slack对话泄露,您或您的组织将遭受严重损害,那么是时候考虑加密的Slack替代方案,或者通过锁定您的Slack工作区来降低风险。对此我们采访了技术专家安德鲁•福特•莱昂斯(Andrew Ford Lyons),其在英国Internews为高危群体从事数字安全方面的工作。


虽然这些技巧都不能完全保护您免受Slack的漏洞或其他对您的Slack工作区机密性的威胁,但它们可以减少一些不可避免的灾难。


1. 启用双因素身份验证(2FA)


Slack能够提供2FA,使用它,如果Slack被攻破,它不会保护你,但它会让攻击者很难攻击你或你的组织。


Slack支持谷歌身份验证器、Duo Mobile、Authy、1Password和(在极少数使用Windows Phone的情况下)Microsoft Authenticator,这取决于您使用的是哪种移动设备。Slack还支持SMS 2FA,如果不是必须尽量不要使用它。虽然任何2FA都比没有强,但是SMS 2FA远不如使用软令牌安全。


目前还没有硬令牌(比如Yubikey)支持Slack的迹象。领先的硬令牌制造商Yubico在1月份宣布支持移动设备。关注帐户安全的大型组织可能会对Slack提供一个友好的说明,询问何时需要Yubikey支持。


一个2FA问题:确保打开强制性2FA,因为Slack默认情况下是关闭此设置的。


即使在不包含网络钓鱼的组织中威胁模型也会发生事故。“有没有人在没有2FA的情况下和Slack一起走来走去,结果手机丢失了?” 莱昂斯 问道。


2. 对非关键的第三方集成说不


Slack提供了大量第三方应用程序集成。尽管Slack会检查所有第三方应用程序的适当权限和数据访问,但每一次额外的集成都会增加组织的整体攻击面。除非你必须需要它,否则就把它们拿掉。


2016年,在GitHub上发现了1500多个被硬编码到开源项目中的Slack访问令牌。“这样的令牌可以提供聊天、文件、私人信息以及Slack团队内部共享的其他敏感数据的访问权限,这些开发人员或机器人都是Slack团队的成员,”我们在PC World的同事当时表示。


“如果我和你谈话,你却进行疯狂的整合,那就会影响我和你的谈话,” 莱昂斯 说。


集成多个工作工具的网络效应意味着它们中的任何一个缺陷都会影响所有工具的安全性。假设违反和划分。那些选择接受风险较高的Slack工作空间以获得轻微生产力优势的组织应该睁大眼睛,意识到风险。


3.关闭Slack电子邮件通知


如果您担心Slack工作区的机密性,请关闭Slack电子邮件通知。在Slack频道中,每次提及用户都会转到用户的电子邮件收件箱,或默认情况下显示为推送通知。用户可以关闭此默认值,管理员可以在更高的付费层中强制执行此设置。


“即使完全关闭了Slack的电子邮件通知,电子邮件也是Slack安全性的一个弱点,因为这是密码重置和账户恢复过程发生的地方,”莱昂斯说,并指出2FA应该部署在Slack和相应用户的电子邮件账户上。


Slack最大的优势之一是,它的可用性远远超过了在一封电子邮件中抄送几十个人。尽可能地将Slack和电子邮件分开。


4.人为因素:明智地选择Slack参与者


人类永远是最薄弱的一环。选择你允许谁加入Slack的渠道。在需要知道的基础上这样做。在一段时间后撤消非活动成员或员工。接触敏感信息的人越少,泄露的可能性就越小。500名员工在内部的Slack频道上工作,就像在云端工作一样,让全世界都能看到。


设置自动会话注销,而不是Slack允许的无限登录会话,可以帮助清除不活跃的帐户。不过,里昂警告说,不要把会话设置得太短,因为用户会觉得这非常烦人,尤其是在移动设备上。


在较短的时间内为需要有限访问权限的承包商或用户使用访客帐户。“如果你是我的客户,我可以在给你一个频道的客人账号,但你看不到其他任何东西,它会在一个月或两个月内到期,到时候设置的任何东西都会过期”莱昂斯说。


加密对于保护消息非常有用,但它不能修复人性。松弛的消息不是短暂的,想想你在输入什么,在哪里输入,以及你的单词的永久性。毕竟,对Slack的一次攻击,一个网络钓鱼的同事,或者内部的一个流氓人士,不会因为你一开始就没有输入过的单词而伤害到你。

 

 

附件列表


按字母顺序浏览:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

→我们致力于为广大网民解决所遇到的各种电脑技术问题
 如果您认为本词条还有待完善,请 编辑词条

上一篇暴力破解及其流行工具研究
下一篇WinRAR被曝存严重代码执行漏洞

0
1. 本站部分内容来自互联网,如有任何版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
2. 本站内容仅供参考,如果您需要解决具体问题,建议您咨询相关领域专业人士。
3. 如果您没有找到需要的百科词条,您可以到百科问答提问或创建词条,等待高手解答。

关于本词条的提问

查看全部/我要提问>>