完美世界官网,欢乐颂小说结局

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

知識(shí)點(diǎn)|4個(gè)緩解Slack安全風(fēng)險(xiǎn)的技巧

知識(shí)點(diǎn) | 4個(gè)緩解Slack安全風(fēng)險(xiǎn)的技巧

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、網(wǎng)頁(yè)空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、臨漳網(wǎng)站維護(hù)、網(wǎng)站推廣。

就暴露的敏感數(shù)據(jù)而言，Slack違規(guī)將是一場(chǎng)噩夢(mèng)。以下是如何鎖定Slack工作區(qū)的方法。

作為流行的企業(yè)工作區(qū)協(xié)作工具和IRC克隆，Slack不提供端到端的加密，這使得任何對(duì)Slack服務(wù)器的破壞都可能給全球用戶帶來(lái)災(zāi)難性后果。如果內(nèi)部Slack對(duì)話泄露，您或您的組織將遭受嚴(yán)重?fù)p害，那么是時(shí)候考慮加密的Slack替代方案，或者通過(guò)鎖定您的Slack工作區(qū)來(lái)降低風(fēng)險(xiǎn)。對(duì)此我們采訪了技術(shù)專家安德魯?福特?萊昂斯(Andrew Ford Lyons)，其在英國(guó)Internews為高危群體從事數(shù)字安全方面的工作。

雖然這些技巧都不能完全保護(hù)您免受Slack的漏洞或其他對(duì)您的Slack工作區(qū)機(jī)密性的威脅，但它們可以減少一些不可避免的災(zāi)難。

1. 啟用雙因素身份驗(yàn)證(2FA)

Slack能夠提供2FA，使用它，如果Slack被攻破，它不會(huì)保護(hù)你，但它會(huì)讓攻擊者很難攻擊你或你的組織。

Slack支持谷歌身份驗(yàn)證器、Duo Mobile、Authy、1Password和(在極少數(shù)使用Windows Phone的情況下)Microsoft Authenticator，這取決于您使用的是哪種移動(dòng)設(shè)備。Slack還支持SMS 2FA，如果不是必須盡量不要使用它。雖然任何2FA都比沒(méi)有強(qiáng)，但是SMS 2FA遠(yuǎn)不如使用軟令牌安全。

目前還沒(méi)有硬令牌(比如Yubikey)支持Slack的跡象。領(lǐng)先的硬令牌制造商Yubico在1月份宣布支持移動(dòng)設(shè)備。關(guān)注帳戶安全的大型組織可能會(huì)對(duì)Slack提供一個(gè)友好的說(shuō)明，詢問(wèn)何時(shí)需要Yubikey支持。

一個(gè)2FA問(wèn)題：確保打開(kāi)強(qiáng)制性2FA，因?yàn)镾lack默認(rèn)情況下是關(guān)閉此設(shè)置的。

即使在不包含網(wǎng)絡(luò)釣魚的組織中威脅模型也會(huì)發(fā)生事故?！坝袥](méi)有人在沒(méi)有2FA的情況下和Slack一起走來(lái)走去，結(jié)果手機(jī)丟失了?” 萊昂斯問(wèn)道。

2. 對(duì)非關(guān)鍵的第三方集成說(shuō)不

Slack提供了大量第三方應(yīng)用程序集成。盡管Slack會(huì)檢查所有第三方應(yīng)用程序的適當(dāng)權(quán)限和數(shù)據(jù)訪問(wèn)，但每一次額外的集成都會(huì)增加組織的整體攻擊面。除非你必須需要它，否則就把它們拿掉。

2016年，在GitHub上發(fā)現(xiàn)了1500多個(gè)被硬編碼到開(kāi)源項(xiàng)目中的Slack訪問(wèn)令牌?！斑@樣的令牌可以提供聊天、文件、私人信息以及Slack團(tuán)隊(duì)內(nèi)部共享的其他敏感數(shù)據(jù)的訪問(wèn)權(quán)限，這些開(kāi)發(fā)人員或機(jī)器人都是Slack團(tuán)隊(duì)的成員，”我們?cè)赑C World的同事當(dāng)時(shí)表示。

“如果我和你談話，你卻進(jìn)行瘋狂的整合，那就會(huì)影響我和你的談話，” 萊昂斯說(shuō)。

集成多個(gè)工作工具的網(wǎng)絡(luò)效應(yīng)意味著它們中的任何一個(gè)缺陷都會(huì)影響所有工具的安全性。假設(shè)違反和劃分。那些選擇接受風(fēng)險(xiǎn)較高的Slack工作空間以獲得輕微生產(chǎn)力優(yōu)勢(shì)的組織應(yīng)該睜大眼睛，意識(shí)到風(fēng)險(xiǎn)。

3.關(guān)閉Slack電子郵件通知

如果您擔(dān)心Slack工作區(qū)的機(jī)密性，請(qǐng)關(guān)閉Slack電子郵件通知。在Slack頻道中，每次提及用戶都會(huì)轉(zhuǎn)到用戶的電子郵件收件箱，或默認(rèn)情況下顯示為推送通知。用戶可以關(guān)閉此默認(rèn)值，管理員可以在更高的付費(fèi)層中強(qiáng)制執(zhí)行此設(shè)置。

“即使完全關(guān)閉了Slack的電子郵件通知，電子郵件也是Slack安全性的一個(gè)弱點(diǎn)，因?yàn)檫@是密碼重置和賬戶恢復(fù)過(guò)程發(fā)生的地方，”萊昂斯說(shuō)，并指出2FA應(yīng)該部署在Slack和相應(yīng)用戶的電子郵件賬戶上。

Slack最大的優(yōu)勢(shì)之一是，它的可用性遠(yuǎn)遠(yuǎn)超過(guò)了在一封電子郵件中抄送幾十個(gè)人。盡可能地將Slack和電子郵件分開(kāi)。

4.人為因素：明智地選擇Slack參與者

人類永遠(yuǎn)是最薄弱的一環(huán)。選擇你允許誰(shuí)加入Slack的渠道。在需要知道的基礎(chǔ)上這樣做。在一段時(shí)間后撤消非活動(dòng)成員或員工。接觸敏感信息的人越少，泄露的可能性就越小。500名員工在內(nèi)部的Slack頻道上工作，就像在云端工作一樣，讓全世界都能看到。

設(shè)置自動(dòng)會(huì)話注銷，而不是Slack允許的無(wú)限登錄會(huì)話，可以幫助清除不活躍的帳戶。不過(guò)，里昂警告說(shuō)，不要把會(huì)話設(shè)置得太短，因?yàn)橛脩魰?huì)覺(jué)得這非常煩人，尤其是在移動(dòng)設(shè)備上。

在較短的時(shí)間內(nèi)為需要有限訪問(wèn)權(quán)限的承包商或用戶使用訪客帳戶?！叭绻闶俏业目蛻?，我可以在給你一個(gè)頻道的客人賬號(hào)，但你看不到其他任何東西，它會(huì)在一個(gè)月或兩個(gè)月內(nèi)到期，到時(shí)候設(shè)置的任何東西都會(huì)過(guò)期”萊昂斯說(shuō)。

加密對(duì)于保護(hù)消息非常有用，但它不能修復(fù)人性。松弛的消息不是短暫的，想想你在輸入什么，在哪里輸入，以及你的單詞的永久性。畢竟，對(duì)Slack的一次攻擊，一個(gè)網(wǎng)絡(luò)釣魚的同事，或者內(nèi)部的一個(gè)流氓人士，不會(huì)因?yàn)槟阋婚_(kāi)始就沒(méi)有輸入過(guò)的單詞而傷害到你。

網(wǎng)站名稱：知識(shí)點(diǎn)|4個(gè)緩解Slack安全風(fēng)險(xiǎn)的技巧
文章路徑：http://fisionsoft.com.cn/article/pdpjdi.html

新聞中心

其他資訊