雲端式通訊平台 Slack 已成為許多團隊日常工作和互動不可或缺的一項工具,但隨著許許多多的企業資料以及可能包含機密的資訊經由 Slack 平台分享,您是否曾停下來思考過它的安全性?
2020 年發生的許多事件已衝擊到我們生活的所有層面,同時也影響了我們的工作方式。但要讓遠距員工有效地完成自己的工作,須滿足他們的各種不同需求。由於員工無法直接到會議室開會,或是透過隔板直接跟鄰座的同事溝通,因此有時候很難像過去那樣迅速搞定一些事情。
這時候就需要 Slack。
這個最近才剛被併購的雲端式通訊平台,已成為許多團隊日常工作和互動不可或缺的一項工具。事實上,根據 Slack 宣稱,他們每天都有超過 1,200 萬名活躍用戶,其中《財星 100 大》(Fortune 100) 企業就包含了 65 家。
目前 Salesforce 正在併購 Slack,也許未來在交易完成並且被徹底整合之後,該平台會有新的發展,但這應該還要一段時間。
撇開併購不談,目前已有許許多多的企業資料以及可能包含機密的資訊經由 Slack 平台分享,但您是否曾停下來思考過它的安全性?
假如您不曾想過也沒關係,我們已針對 Slack 的安全性做了一番深入研究,這篇文章就是要跟大家分享 Slack 為了確保企業資訊安全而做了哪些重大更新,並提醒您企業在使用 Slack時該注意的三大安全考量。
Slack 安全性在 2020 年的狀況
若您也曾在 Google 上搜尋過有關 Slack 的安全性,那麼您應該會查到許多結果。看到這麼多有關 Slack 安全問題的搜尋結果,您應該會有點嚇到。
不過先別驚慌,Slack 已進行多項重大修正來改善其平台的整體安全性。
目前,Slack 的安全更新已經解決了之前一些資料外洩事件的根本原因,其中關於平台整體安全性的修正主要有兩點:
- 身分與裝置管理
- 儲存中與傳輸中的資料加密
存取記錄檔可讓系統管理員確認工作空間 (Workspace) 內是否有不肖或惡意使用者亂入。此外,也可確認工作空間內的使用者行為是否正常。
單一簽入整合可確保唯有您的企業員工才能存取工作空間,且必須使用已核准的裝置。此外也可防範員工在離職之後還繼續存取企業的資料。
還有,加密也是所有通訊平台最近相當關心的一項議題,在這方面,Slack 大動作地宣布他們會將所有儲存中與傳輸中的資料都加密。此外,也提供了 Slack Enterprise Key Management (EKM) 選項來讓企業加密更上層樓。它透過 AWS Key Management System (KMS) 來讓系統管理員控制工作空間內的資料存取權限。所有加密的訊息與檔案,甚至是搜尋記錄,系統管理員都能精細地控管其存取權限的核准與撤銷,而且使用的是您自己的金鑰,完全不影響易用性,也不須停機。
以上這些安全更新與新增功能皆已陸續推出,本文截稿時,Slack 的 (Windows 及 Mac) 最新版本是 4.11.1,不過前一次的重大更新 (4.4.0) 則是三月份所發表,大家至少要使用三月份這個版本,因為絕大多數的重大安全更新都是在 2020 年 3 月份之前推出。
以下是 Slack 幾次最重要的安全更新與其發布日期。
- 2020 年 4 月:此次安全更新讓應用程式開發人員在 Slack App Directory (https://slack.com/apps) 中的應用程式頁面上加入一個「Security & Compliance」(安全性與法規遵循) 標籤頁,讓您更容易檢查應用程式是否符合您工作空間的要求。
- 2020 年 2 月:此次更新不再支援 TLS 1.0 與 1.1,所以任何尚未更新至 TLS 1.2 的服務在發送請求給 Slack 時都會失敗。
- 2020 年 1 月:此次更新增加了一個從遠端將成員登出 Slack 的功能,以避免員工裝置在遺失或失竊時遭歹徒利用。
- 2019 年 10 月:此次更新將應用程式的所有權限彙整到同一檢視內,更方便查看應用程式所擁有的權限。
- 2019 年 7 月:此次更新增加了專為企業行動使用設計的多重認證 (MFA) 選項。此外,也將 Enterprise Grid 方案的單一簽入權限限制在工作空間 (Workspace) 和組織 (Org) 擁有者。
- 2019 年 3 月:此次更新增加了 Slack Enterprise Key Management 工具。
2020 年,幾乎每月更新都會加入安全相關功能。例如,2020 年 9 月更新在 Slack Connect (https://slack.com/connect) 加入了 EKM 加密選項 ,Slack Connect 是一個讓企業與其他機構建立溝通頻道的功能。
隨著在家上班熱潮持續發酵,再加上局勢的動盪,我們預料大家對安全性的關注將延續到 2021 年。
您該注意哪些問題才能確保 Slack 工作空間的安全?
大家對 Slack 的安全性如此關注絕對是件好事,但沒有任何軟體可以做到百分之百的安全。以下是一些您企業在使用 Slack 時該注意的要點以及如何盡可能降低相關風險。
- 您的工作空間整合了什麼?
Slack 的主要安全疑慮之一就是其整合的應用程式。整合能力是 Slack 平台的一把雙面刃,Slack 能透過應用程式跟任何東西整合,且任何人都能為 Slack App Directory 或自己的工作空間撰寫一個應用程式。所幸,任何應用程式要在 Slack 上架都要先經過一道安全審查流程。但任何軟體都可能存在著錯誤,而且無可避免地,有些不安全的應用程式也可能通過審查。
目前一個正向的發展就是,Slack 應用程式現在運作起來跟機器人 (bot) 類似,包括系統管理員的控管措施,這讓系統管理員更有效掌控加到工作空間的應用程式,或是讓系統管理員管制使用者的加入。此外也可控制哪些應用程式具有存取權限,這一點是長久以來的資安問題。
如何降低風險?
如同在挑選行動應用程式一樣,請先查看 App Directory 上登記的應用程式開發者。舉例來說,如果您想在 Slack 當中與 Office 365 整合,但找到的應用程式卻不是 Microsoft 所開發,那這很可能不是您要的應用程式。
不論開發者是誰,請務必檢查應用程式所要求的權限。根據我們的分析,Slack 應用程式的權限非常豐富完整,甚至能授予使用者全域讀寫權限。但不論什麼權限,您都必須思考您的企業是否能接受該權限所衍生的風險。
- 使用者如何存取工作空間、如何與工作空間互動?
與 Slack 相關的網路釣魚手法有幾種不同類型,其中一種就是利用網路釣魚來取得登入憑證,如此便能直接登入 Slack 工作空間。駭客只需事先蒐集一些公開情報,就能得知某個 Slack 工作空間的管理員或 Enterprise Grid 帳號是誰,然後再透過網路釣魚取得這類高等級權限。
由於目前 Slack 已經比以往更加安全,所以對駭客來說,騙取使用者登入憑證反而是駭入 Slack平台最容易的方式。雖然,登入憑證也可以經由買賣或其他資料外洩事件取得,但網路釣魚的成功率還是比較高。
不但如此,網路釣魚攻擊還可能在 Slack 使用者之間造成連鎖效應,例如,如果某個感染惡意程式的檔案不小心被上傳到 Slack,那麼任何下載或開啟該檔案的人都會遭到感染。惡意網址的情況也是類似,或者使用者不小心分享了某項競賽的訊息或需要填寫的表格,卻不知道這是一項詐騙。
如何降低風險?
要阻擋網路釣魚並不容易,因為不管是何種類型的攻擊,社交工程都是一項很有效的手段。歹徒經常訴諸人類的原始本能,而這很難透過技術來加以防範。因此,企業務必加強員工的教育訓練來提升他們對網路釣魚的認識。如何制訂一套有效的員工教育訓練是一個很大的課題,不過,還是有一些方法可以有效防範這項常見的威脅。
多重認證 (MFA) 與單一簽入就有助於防止網路釣魚得逞。
- 分享的資訊有哪些?
首先,員工是否在 Slack 上分享企業關鍵的商業或機密資訊?包括:客戶資料、開發人員程式碼、員工資訊等等。萬一有駭客進入了工作空間,那麼這些資料就可能遭到危險。如果駭客取得了系統管理員的登入憑證,那麼他就能查看工作空間內的所有訊息和檔案,甚至是私密頻道 (視系統管理設定而定)。
其次,Slack 內的資訊是否對外分享?這方面的問題主要是 Webhook 和 API 金鑰,我們在 GitHub 上發現很多這類資料。AT&T Alien Labs 公布了一份概念驗證程式碼來示範駭客如何濫用 Webhook 發動攻擊。
如何降低風險?
開發人員必須知道:在發布的程式碼中包含密碼、金鑰與 Webhook 網址會招致哪些風險。而企業也應該掃描自己的程式碼中是否含有這些私密資訊,以免不小心經由公共的程式碼儲存庫洩漏這些資訊。
此時就是 Slack EKM 派上用場的好時機,系統管理員若能以更深入、更精細的方式控管機密資訊的存取,就能私密而安全地在 Slack 上分享敏感的資料。
請注意:如同 AWS 的任何服務一樣,KMS 在設計時一定有考量到安全性,但還是有可能因為組態設定的關係而使其安全機制破功。此外,我們也在 GitHub、甚至 Shodan 上發現了數以千計的 KMS 金鑰。
趨勢科技 Trend Micro Cloud One – Conformity 能確保 AWS 服務的設定安全並獲得妥善管理。該產品針對 AWS KMS 提供了 11 項檢查,當發現任何設定不當或可能濫用的情況時,都會發出警示來提醒您。
總而言之,Slack 公司對於安全問題的回應相當積極,同時也不斷釋出安全更新。雖然 Slack 很努力地確保其平台的技術與基礎架構安全,但系統管理員也有義務要了解這些安全機制,並知道有哪些資安選項可用。
登入憑證濫用、資料意外曝光以及資訊外洩的風險實在不容小覷,因為它們很可能衍生真正的問題。只要企業肯深入了解 Slack 的功能與安全機制,就能安心地使用該平台。
未來當 Slack 被 Salesforce 併購之後,其安全性將如何發展目前還有待觀察,我很期待看到內建 Slack 功能的 Salesforce 將如何處理安全性問題。
原文出處:How To Secure Slack for Remote Teams and Work from Home Employees 作者:Erin Johnson