Teams、Slack和GitHub等協作工具帶來的安全噩夢
快速高效的協作對當今的業務至關重要,但我們用于與同事、供應商、客戶和客戶溝通的平臺也會帶來嚴重的風險。看看一些最常見的協作工具:Microsoft Teams, GitHub, Slack和OAuth,很明顯,信息共享帶來了危險,就像它對商業戰略一樣有價值。
如果不加以保護或使用不當,其中任何一個都可能成為攻擊者訪問你的網絡的工具,最好的保護是確保你意識到這些風險,并對你的企業應用適當的修改和策略,以幫助防止攻擊者在你的企業中站穩腳跟,這也意味著承認和了解內部風險和數據提取的威脅。
攻擊者通常比你更了解你的網絡,很有可能,他們也知道你的數據共享平臺,并將目標對準了這些平臺。一些簡單的事情,比如不適當的密碼共享,就可能讓壞人通過網絡釣魚進入公司的網絡,而協作工具可以提供一個千載難逢的機會。
以下是一些最受歡迎的協作平臺,以及如何更好地了解和幫助緩解可能影響它們的威脅。
Microsoft Teams
根據微軟的定義,Teams “是Office 365中基于聊天的工作區,它集成了你的團隊提高參與度和效率所需的所有人員、內容和工具。”由于它被廣泛使用,攻擊者也將其視為一個有利可圖的攻擊平臺 - 2023年8月,微軟警告稱,網絡犯罪組織Midnight Blizzard使用了Teams進行有針對性的攻擊。
攻擊者在Teams聊天中發送文件,最終成為憑據釣魚誘餌,偽裝成技術支持實體危及微軟租戶的安全。正如微軟所指出的,“Midnight Blizzard利用Teams消息發送誘餌,試圖通過吸引用戶并引發對多因素身份驗證提示的批準來竊取目標組織的憑據。”攻擊者引誘Teams用戶通過Microsoft驗證器應用程序提交他們的批準。
在構建Teams安全性時,首先確定你的企業愿意接受的風險級別,例如,你希望Teams對匿名用戶開放還是僅對內部用戶開放?
要調整此設置,請執行以下步驟:
- 登錄到Microsoft Teams管理中心。
- 選擇用戶>用戶訪問。
- 根據你的安全級別,將用戶訪問設置為打開或關閉。
如果你決定在你的網絡上允許訪客訪問,你需要意識到Teams可能被用作攻擊手段。你可以通過部署更多防網絡釣魚的身份驗證方法(如號碼匹配)來提高安全性,而不僅僅是允許自動批準提示。
接下來,考慮實施條件訪問規則,這需要額外的許可才能實現,但這可能是明智的,因為攻擊者越來越多地將云作為攻擊的起點。
有條件的訪問規則將允許你通過使用更強大的身份驗證技術以及增加內置身份驗證的各種優勢來限制Microsoft 365登錄:多因素身份驗證強度、無密碼MFA強度和防網絡釣魚MFA強度。
你可以決定將你的Teams交互限制在批準的域中,而不是向新用戶和匿名用戶開放。當然,教育最終用戶只接受來自可信合作伙伴的文件是至關重要的。
Slack
Slack是一種最初由開發人員社區使用的通信平臺,后來得到了廣泛使用。Slack帶來的風險是,在假設它是一個值得信賴和安全的場所的情況下,它被濫用了,而事實往往并非如此。
像任何其他流行的平臺一樣,Slack可能會受到本地漏洞的影響,以及來自提供集成的第三方應用程序的風險。當該站點用于開發人員時,它通常被用來以不適當的方式存儲憑據或其他敏感信息。與Teams一樣,該平臺隨后被用來共享這些敏感信息,而不考慮其安全性。
要確保你的Slack實例保持安全,請啟用雙因素身份驗證(2FA)以增加額外的安全層。考慮添加域白名單以限制訪問,并監控允許訪問的外部共享通道。
最后,確保避免授予過多權限,并嚴格管理訪客用戶的訪問和可見性。與任何共享平臺一樣,確保你審閱對訪客用戶的邀請并監控他們的訪問級別是一種良好的做法。
GitHub
軟件共享平臺Github的用戶范圍從普通公眾到私營行業。由于其開放性,它已成為惡意內容的存儲庫。雖然大多數人訪問是為了下載干凈的代碼,但他們可能會被壞行為者愚弄,這些行為者準備了似乎可以工作的代碼,然后引誘用戶下載實際包含惡意有效負載的文件。
正如研究人員指出的那樣,正在使用的多達10萬個GitHub存儲庫攜帶有可能感染用戶的惡意代碼。
在構建和重用代碼庫時,必須審查你使用的代碼。確保你的開發人員和信息技術團隊意識到危險,并擁有必要的工具和培訓來檢測任何惡意代碼。
風險可能很高,感染的影響可能需要幾個月或幾年的時間才能浮出水面——不良行為者往往會想方設法將自己注入第三方工具的供應鏈,意圖潛伏等待,直到他們確定發動更大規模攻擊的合適時機。
OAuth
應用程序通常使用OAuth的身份驗證平臺來共享憑據和訪問其他服務。OAuth權限是永久的,在某些情況下,可能會允許你的用戶無意中授權他們不知道的應用程序。
即使你進入啟用了OAuth權限的應用程序,也可能無法完全刪除授權,因此,請提前查看你的Microsoft 365郵箱授權,并確保將設置設置為管理員必須授權任何OAuth訪問。
如果你已經允許用戶批準他們自己的第三方應用程序,請轉到https://security.microsoft.com,向下滾動到云應用程序,然后選擇OAuth應用程序。確保你的域中只存在并接受你知道和信任的那些應用程序。
查看權限及其上次授權的時間,此外,請考慮是否需要添加其他策略來分析與這些云應用程序相關的風險,并相應地設置通知。
