首席信息安全官在云計算協作安全中的4個實踐

余粱

在遠程工作的新時代，基于云計算的團隊協作是必要的，但它也可能帶來風險。分析師和首席信息安全官對于如何確保組織的安全進行了分析和闡述。

自從新型冠狀病毒疫情發生以來，很多人在家遠程辦公，因此也進入了遠程工作的新時代。團隊協作SaaS的采用率因此迅速增長，云計算協作安全性面臨的問題也是如此。根據安全服務提供商McAfee公司的調查，在2020年1-4月，對企業云帳戶的外部攻擊增加了630%，威脅參與者主要針對協作服務進行攻擊。行業專家預計，遠程工作將在疫情結束之后的很長時間內持續進行，而寬松的政策以及協作平臺上的風險行為使組織面臨巨大的持續風險。

McAfee公司市場總監Nigel HaWthom在其博客上指出：“組織通常不會允許不明身份的人員走進辦公室查看辦公桌上的文件，需要通過安保人員和系統的檢查和批準。但是，根據McAfee公司研究人員的調查，使用Microsoft Teams的組織每隔幾分鐘就會添加一個新的訪客，例如第三方合作伙或客戶。而對于組織的私有數字空間來說，外部訪問的數量驚人。”Hawthorn補充說，作為主要供應商，微軟公司在產品的安全性方面進行了大量投資，但是其用戶仍然有責任確保以安全的方式使用協作軟件。

Metrigy公司的研究人員發現，擁有主動云計算協作安全計劃的組織更有可能從協作平臺中看到可以衡量的收益，例如節省成本、增加收入和提高生產力。專家認為，在這些環境中確保數據安全，需要首席信息安全官和其他安全領導者采用多管齊下的方法來解決技術、流程和人員問題。其策略應包括以下內容：

選擇團隊協作的供應商

總部位于新澤西州澤西市的數據管理和安全提供商AvePoint公司首席風險、隱私和信息安全官Dana Simberkoff表示，任何云協作套件都會帶來第三方風險。他說，“無論采用哪一個平臺，基本上都是將數據放在別人的服務器上，這意味著你的控制權降低了。”

Gartner公司分析師Patrick Hevesi表示，云計算服務的本質要求組織依靠其供應商來提供良好的基礎網絡安全性。因此，組織的首席信息安全官應該提出以下問題：

供應商如何監視和控制誰進入其服務器設施？

供應商是否有安全攝像頭？

供應商的網絡層是否安全？

Simberkoff建議：“對于那些匆忙部署團隊協作軟件作為疫情應對計劃一部分的組織來說，應該盡快完成全面的供應鏈風險評估，了解組織的數據、員工和供應商。”

Reiko Feaver是一家從事隱私、數據和網絡安全法律業務的云計算律師事務所的合作伙伴，她鼓勵客戶仔細審查提供商的安全認證，如果可能的話，獨立審計其內部運營。她說：“例如，讓IT顧問遠程訪問組織的系統，確保他們正在監控這種訪問，并在不再需要時將其切斷。”

Gartner公司的Hevesi表示，思科和微軟等頂級供應商擁有深厚而廣泛的安全和工程專業知識，會在用戶之間建立相對較高的信任度。而運行在主要云平臺上的小型SaaS產品（包括AWS Microsoft Azure等）也能從這些供應商的規模經濟和可觀的安全資源中獲益。

Hevesi表示，組織需要謹慎選擇中小數據中心SaaS提供商。他說：“例如，他們沒有為服務器打補丁或者在舊版TLS上運行，就更容易受到錯誤和漏洞的影響，或者他們的基礎設施中沒有認證或標準。這會讓我感到擔心。”

Hevesi指出，即便如此，組織的首席信息安全官也不必禁止使用新興的云協作工具，也不必重新審查它們。幾乎所有云訪問安全代理（CASB）都會主動評估大量第三方SaaS應用程序并編譯結果以供參考。云訪問安全代理的客戶通常還可以提交票證，要求代理審查尚未在其數據庫中使用的應用程序。

在最初的審核和采用之后，組織應該定期重新評估其提供商的安全性。Feaver說：“不要認為他們正在做正確的事。組織必須擁有自己的系統并進行檢查。”

權衡訪客訪問設置

專家建議，即使是最好的團隊協作套件，安全性也取決于其安全設置。在部署新的SaaS平臺時，IT領導者需要主動配置用戶訪問權限，以與組織風險偏好保持一致。

Metrigy公司的研究表明，向外部用戶開放協作平臺有助于提高投資回報率（ ROI）。但是過早開放新部署的協作應用程序可能會導致災難性的數據泄漏。考慮到這一點，Hevesi建議，首席信息安全官應該限制、甚至阻止用戶邀請外部參與者。他說：“組織首先建立協作平臺，然后將其鎖定，并確保安全團隊知道如何管理它。”隨著網絡安全團隊成功添加諸如多因素身份驗證（ MFA）和數據丟失防護（DLP）策略之類的控制層，他們可以逐步擴展用戶權限和第三方訪問權限。

Feaver表示，Culhane Meadows律師事務所對云協作安全性采取了類似的衡量方法。該公司在很大程度上依賴Microsoft團隊進行內部通信，并計劃在不久的將來向該平臺添加外部客戶端，但其前提是安全團隊必須完成各種身份驅動控件的實施。Feaver說：“其在可以邀請誰、共享什么資源、誰可以訪問哪些資源，以及訪問多長時間方面將具有更高的安全性。”

Gartner公司分析師Patrick Hevesi表示，組織通常不會在沒有防火墻的情況下部署數據中心設備，也不會在沒有云訪問安全代理（CASB）的情況下部署SaaS應用程序，尤其是協作應用程序。

Metrigy公司的分析師Irwin Lazar建議，希望實現組織之間協作的組織可以考慮使用Federation，該聯盟可橋接2個組織的協作空間，并將其系統和數據保持獨立性。他補充說，應用程序之間的聯盟和第三方聯盟都涉及到代理2個協作平臺之間連接的獨立軟件，它們往往比更常見的訪客訪問選項更安全。后者使首席信息安全官對用戶和數據的控制相對較少。

Lazar警告說，需要注意的是，供應商的默認設置有時會發生變化。例如，在2021年2月，Microsoft Teams開始自動支持第三方訪客訪問，除非管理員人工禁用該功能。 思科公司安全工程師Jeremy Laurenson發推文聲稱，“微軟為什么要這么做？這一做法是數據所有權和安全性的災難。這一更改說明需要定期檢查設置。”

多層云協作安全控制

Hevesi表示，強大的云協作安全計劃需要從多因素身份驗證開始。他說：“如果用戶沒有在防火墻的保護下，就需要驗證是否像供應商所說的那樣安全。”

數據丟失防護（ DLP）和數據分類也應具有較高的優先級。AvePoint公司的Simberkoff說：“由于員工分散在各地遠程工作，很難跟蹤數據。首席信息安全官應該始終知道數據在哪里、誰可以訪問、他們是否共享了數據以及何時刪除了數據。”

協作SaaS提供商Box公司全球首席安全官LakshmiHanspal說，“數據分類技術使安全管理人員可以將資源標記為敏感資源，從而使數據能夠保持自身的安全性。”

Hanspal說：“安全領導者還可以基于用戶身份、設備信任、地理位置等來建立條件訪問和特權。也許在托管設備上，可以訪問收入報告，但是在非托管設備上只有查看的權限，而沒有下載或打印功能。或者從非典型地理位置訪問數據的受信任用戶可能必須采取其他步驟來證明其身份。”

Hevesi表示，團隊協作安全性的必需工作是云訪問安全代理，它可以作為企業端點和云計算服務之間的網關，并結合了數據丟失防護、多因素身份驗證以及威脅檢測等功能。他說：“沒有防火墻就無法保證數據中心的安全性，沒有云訪問安全代理也難以部署SaaS應用程序，尤其是協作應用程序。”

云訪問安全代理還可以幫助組織識別和跟蹤影子IT，從獨立的、未經批準的協作應用程序到經過批準的平臺中看似無害但有潛在風險的集成。例如，在2016年的美國國家總務管理局采用的Google Drive-Slack集成中，在5個月內向美國獨立政府機構的內部和訪客Slack用戶公開了100多個政府Google Drive帳戶。Hanspal補充說：“對于安全從業人員來說，定期進行檢查非常重要，這樣就可以在必要時停用并屏蔽某些應用程序。”

對員工進行云協作安全風險培訓

總部位于佛羅里達州坦帕市的獨立安全和隱私合規評估機構Schelhman&Company公司首席信息宮Jacob Ansari說：“數據泄露更可能源于用戶的無意失誤，而不是更復雜的、更具針對性的攻擊。培訓用戶正確使用這些會議工具以避免潛在問題非常重要，比如無意之間共享帶有機密信息的屏幕、沒有使用會議密碼，或者讓太多不受信任的參與者參加會議。”

在AvePoint公司，Simberkoff對員工進行的安全和隱私風險教育超出了協作平臺本身的虛擬邊界，例如與家庭成員共享物理工作區或數字設備。她說，“機密談話需要以書面形式進行，而不是視頻或者在周圍沒有其他人的時候進行。”共享設備的任何人（例如允許孩子使用筆記本電腦做功課的家長）都應該部署具有唯一登錄憑據的單獨用戶配置文件。

Simberkoff還強調了理解員工角色要求和員工多樣化工作條件的現實，并使員工了解“做正確的事比做錯事更容易”的重要性。組織的首席信息安全官應該就未經批準的應用程序使用風險對員工進行培訓，同時還應促進安全性與業務之間的開放式溝通。例如，影子IT最終可能成為一個危險信號，其表明組織批準的協作套件中缺少重要功能。

Simberkoff說：“對于安全人員來說，需要將自己視為促進業務發展的力量，而不是阻止人們做事，這一點非常重要。安全性應該像高速公路護欄一樣，讓協作平臺用戶在保持相對安全的同時盡可能高效地工作。”