随着组织在大规模远程工作期间大幅度扩展协作平台的使用,了解和管理此类平台可能带来的风险至关重要。公司可以通过执行安全评估,正确实施最佳实践以及部署其他安全控制措施来解决这些问题。我们认为在使用协作工具时,必须保护个人隐私和组织的知识产权。
会议安全与隐私
实施以下最佳做法将有助于确保会议保持安全和私密:
会议访问控制和URL:请注意与谁共享会议链接以及谁可以加入会议。大多数平台都提供了密码保护您的会议或创建“虚拟大厅”的选项,该选项允许管理员控制授予对实际会议的访问权限(例如,您可以确保需要将组织外部的个人允许进入会议室)。我们强烈鼓励所有用户使用这些功能来保护他们的会议内容。
与会人员意识:在开始每个会议之前,组织者应仔细查看已联系的与会人员列表,以确保被认可。任何流氓电话号码或匿名参与者都应被要求证明自己的身份,如果他们没有回应,则应将其从会议中删除。
共享内容:未经会议组织者的明确许可,管理员应始终禁用其他人共享屏幕的功能。这样可以防止某人利用其他会议参与者不希望查看的内容劫持会议。
进入和退出提示音: 如果可用,此功能可防止某人在您不知情的情况下加入会议。
录制:会议组织者以外的任何人都不能开始录制会议。默认情况下,未经主持人明确批准,会议记录不应提供给所有参与者。
会议邀请转发:评估并商定阻止用户转发会议邀请的可用控件。
虚拟会议给交流带来了一组不同的复杂性,而面对面的对话通常不会遇到这种复杂性。与其他人参加远程会议之前,应考虑以下各项。
视频:启用视频时请注意周围环境。尽管在许多情况下为会议启用视频很重要,但用户应注意其周围环境,以防止意外泄露不打算公开的私人信息或细节。某些产品可能会在视频通话期间模糊背景。不使用视频时,请确保已将相机盖好或被禁用。
音频:不积极讲话时,请确保已为呼叫的音频部分启用了静音按钮。如果从容易被您窃听的位置参加会议,请谨慎地透露机密信息或移到更私人的位置。
保护协作平台的措施
认证方式
安全团队应确保已正确评估和配置以下各项:
✔️确认对协作平台的访问符合公司访问和密码管理惯例。
✔️确认已通过集中式身份管理解决方案(例如Active Directory(AD))管理对协作平台的访问。
✔️如果协作平台不属于公司IT生态系统的一部分(例如,由于Microsoft Teams是更大的Office 365套件的一部分,请考虑实施一个单一的登录解决方案,以将公司和云资源与一个通用的身份验证源绑定在一起)和托管的云)。
✔️通过多因素身份验证(MFA)保护协作平台访问。至少,管理帐户应保护通过MFA创建新用户帐户或更改安全设置。
✔️查看定期访问协作平台的人员。
✔️确保入职和离职流程涵盖对协作平台的访问。
访问管理
安全团队应确保:
✔️您的协作平台中的文件共享权限以及经认可的文件共享应用程序(例如Microsoft OneDrive,Google Drive或Dropbox)都被限制在特定的组中,具体取决于使用情况。
✔️数据丢失防护(DLP)解决方案涵盖了协作平台和认可的文件共享应用程序。
✔️协作平台已集成到公司数据生命周期管理(DLM)程序中,并且在平台中处理和存储的所有数据均符合公司数据分类,保留和备份策略。
✔️“非抵赖”技术(例如电子数据展示,法律保留或存档)已适当配置,以捕获企业协作平台中发生的所有通信。
✔️所有对话,共享文件以及音频和视频记录均在“传输中”和“休息时”被加密,并位于适用于您公司数据保护和隐私法规(例如通用数据保护法规(GDPR)或加州消费者隐私法(CCPA)。
✔️对协作平台的访问得到保护,并与移动设备管理(MDM)解决方案集成在一起。这些规则已到位,仅允许连接预定义或公司拥有的设备。如果未定义此类规则,请检查采用了哪些薪酬控制和政策来保护可通过协作平台获得的公司数据的机密性。
✔️外部访客对协作平台的访问已经过评估,并已适当配置或禁用。
✔️安全团队对协作平台生成的日志具有完全可见性。应当收集日志并将其提供给公司SIEM,并且应该使用相关的用例来检测未经授权的访问或已形成的异常用户行为。
✔️一个协作平台位于Cloud Access Security Broker(CASB)的后面,用于实施公司安全策略。
✔️合理使用政策(AUP)涵盖了协作平台的使用,所有员工都知道如何以及不能使用协作平台。
协作解决方案已成为实现远程工作的关键,如果采取正确的步骤来安全地配置和部署它们,则可以减轻引入的风险。随着这些平台在常规业务中的使用越来越广泛,越来越迫切的是,组织必须具备威胁情报源,并且必须迅速识别和解决影响这些平台的漏洞。