知識點|4個緩解Slack安全風險的技巧-創(chuàng)新互聯(lián)

“專業(yè)、務(wù)實、高效、創(chuàng)新、把客戶的事當成自己的事”是我們每一個人一直以來堅持追求的企業(yè)文化。 創(chuàng)新互聯(lián)是您可以信賴的網(wǎng)站建設(shè)服務(wù)商、專業(yè)的互聯(lián)網(wǎng)服務(wù)提供商! 專注于成都網(wǎng)站制作、網(wǎng)站建設(shè)、軟件開發(fā)、設(shè)計服務(wù)業(yè)務(wù)。我們始終堅持以客戶需求為導向，結(jié)合用戶體驗與視覺傳達，提供有針對性的項目解決方案，提供專業(yè)性的建議，創(chuàng)新互聯(lián)建站將不斷地超越自我，追逐市場，引領(lǐng)市場！

就暴露的敏感數(shù)據(jù)而言，Slack違規(guī)將是一場噩夢。以下是如何鎖定Slack工作區(qū)的方法。

作為流行的企業(yè)工作區(qū)協(xié)作工具和IRC克隆，Slack不提供端到端的加密，這使得任何對Slack服務(wù)器的破壞都可能給全球用戶帶來災難性后果。如果內(nèi)部Slack對話泄露，您或您的組織將遭受嚴重損害，那么是時候考慮加密的Slack替代方案，或者通過鎖定您的Slack工作區(qū)來降低風險。對此我們采訪了技術(shù)專家安德魯?福特?萊昂斯(Andrew Ford Lyons)，其在英國Internews為高危群體從事數(shù)字安全方面的工作。

雖然這些技巧都不能完全保護您免受Slack的漏洞或其他對您的Slack工作區(qū)機密性的威脅，但它們可以減少一些不可避免的災難。

1. 啟用雙因素身份驗證(2FA)

Slack能夠提供2FA，使用它，如果Slack被攻破，它不會保護你，但它會讓攻擊者很難攻擊你或你的組織。

Slack支持谷歌身份驗證器、Duo Mobile、Authy、1Password和(在極少數(shù)使用Windows Phone的情況下)Microsoft Authenticator，這取決于您使用的是哪種移動設(shè)備。Slack還支持SMS 2FA，如果不是必須盡量不要使用它。雖然任何2FA都比沒有強，但是SMS 2FA遠不如使用軟令牌安全。

目前還沒有硬令牌(比如Yubikey)支持Slack的跡象。領(lǐng)先的硬令牌制造商Yubico在1月份宣布支持移動設(shè)備。關(guān)注帳戶安全的大型組織可能會對Slack提供一個友好的說明，詢問何時需要Yubikey支持。

一個2FA問題：確保打開強制性2FA，因為Slack默認情況下是關(guān)閉此設(shè)置的。

即使在不包含網(wǎng)絡(luò)釣魚的組織中威脅模型也會發(fā)生事故。“有沒有人在沒有2FA的情況下和Slack一起走來走去，結(jié)果手機丟失了?” 萊昂斯 問道。

2. 對非關(guān)鍵的第三方集成說不

Slack提供了大量第三方應用程序集成。盡管Slack會檢查所有第三方應用程序的適當權(quán)限和數(shù)據(jù)訪問，但每一次額外的集成都會增加組織的整體攻擊面。除非你必須需要它，否則就把它們拿掉。

2016年，在GitHub上發(fā)現(xiàn)了1500多個被硬編碼到開源項目中的Slack訪問令牌?！斑@樣的令牌可以提供聊天、文件、私人信息以及Slack團隊內(nèi)部共享的其他敏感數(shù)據(jù)的訪問權(quán)限，這些開發(fā)人員或機器人都是Slack團隊的成員，”我們在PC World的同事當時表示。

“如果我和你談話，你卻進行瘋狂的整合，那就會影響我和你的談話，” 萊昂斯 說。

集成多個工作工具的網(wǎng)絡(luò)效應意味著它們中的任何一個缺陷都會影響所有工具的安全性。假設(shè)違反和劃分。那些選擇接受風險較高的Slack工作空間以獲得輕微生產(chǎn)力優(yōu)勢的組織應該睜大眼睛，意識到風險。

3.關(guān)閉Slack電子郵件通知

如果您擔心Slack工作區(qū)的機密性，請關(guān)閉Slack電子郵件通知。在Slack頻道中，每次提及用戶都會轉(zhuǎn)到用戶的電子郵件收件箱，或默認情況下顯示為推送通知。用戶可以關(guān)閉此默認值，管理員可以在更高的付費層中強制執(zhí)行此設(shè)置。

“即使完全關(guān)閉了Slack的電子郵件通知，電子郵件也是Slack安全性的一個弱點，因為這是密碼重置和賬戶恢復過程發(fā)生的地方，”萊昂斯說，并指出2FA應該部署在Slack和相應用戶的電子郵件賬戶上。

Slack大的優(yōu)勢之一是，它的可用性遠遠超過了在一封電子郵件中抄送幾十個人。盡可能地將Slack和電子郵件分開。

4.人為因素：明智地選擇Slack參與者

人類永遠是最薄弱的一環(huán)。選擇你允許誰加入Slack的渠道。在需要知道的基礎(chǔ)上這樣做。在一段時間后撤消非活動成員或員工。接觸敏感信息的人越少，泄露的可能性就越小。500名員工在內(nèi)部的Slack頻道上工作，就像在云端工作一樣，讓全世界都能看到。

設(shè)置自動會話注銷，而不是Slack允許的無限登錄會話，可以幫助清除不活躍的帳戶。不過，里昂警告說，不要把會話設(shè)置得太短，因為用戶會覺得這非常煩人，尤其是在移動設(shè)備上。

在較短的時間內(nèi)為需要有限訪問權(quán)限的承包商或用戶使用訪客帳戶?！叭绻闶俏业目蛻簦铱梢栽诮o你一個頻道的客人賬號，但你看不到其他任何東西，它會在一個月或兩個月內(nèi)到期，到時候設(shè)置的任何東西都會過期”萊昂斯說。

加密對于保護消息非常有用，但它不能修復人性。松弛的消息不是短暫的，想想你在輸入什么，在哪里輸入，以及你的單詞的永久性。畢竟，對Slack的一次攻擊，一個網(wǎng)絡(luò)釣魚的同事，或者內(nèi)部的一個流氓人士，不會因為你一開始就沒有輸入過的單詞而傷害到你。

網(wǎng)站名稱：知識點|4個緩解Slack安全風險的技巧-創(chuàng)新互聯(lián)
文章起源：http://bm7419.com/article48/igphp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、網(wǎng)站維護、網(wǎng)站改版、域名注冊、云服務(wù)器、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)