01企業 IM 開啟安全新挑戰
(資料圖片僅供參考)
曾幾何時�����,甲方企業內部的 IT 部門�、運維部門或者安全部門,在關于企業內部的信息安全工作的建設上�����,是有過一段簡單而純粹的幸福時光����。搭個局域網���,電腦上裝上殺毒軟件���,選裝個DLP���、上網行為管理����、桌面管家,剩下的就是時不時看看后臺日志���,或者出了事之后回溯下日志,工作大致就交待了。
直到 2013 年���,以 IM 形式為切入的國外企業級超級聚合辦公平臺 Slack 橫空出世。國內類似平臺阿里巴巴的釘釘,也于 2015 年 1 月份正式上線���,后面跟隨著騰訊的企業微信(企微),字節跳動的飛書。
(Slack 劇照)
從此以后�,國內企業在享受新型溝通協作軟件帶來的便捷與效率快感的同時��,信息安全的夢魘也就此展開,至今仍未得到緩解。安全的影響都在哪些地方呢:
A | 公私融合 | 互聯網屬性過強����,公司與個人賬號和數據混雜在一起��,數據外泄變得容易 |
| B | 突破內網 | 基于公有云的模式(私有化部署版本除外),打破企業局域網模式 |
| C | 在線文檔 | 在線文檔癱瘓了文檔 DLP 的防御(DLP 確實應該轉型了) |
| D | 移動端威脅 | 移動端的安全防護,一直算是企業的真空地帶�,企業的安全能力還沒有從 PC 時代轉變過來,IM 移動端甚至是最重要的一側�����,企業在安全管控上難以招架 |
當然了��,這些新的辦公模式是時代的必然�����,也給企業帶來了極大的效率和體驗升級。只不過企業的安全建設跟進速度和轉型還遲遲無法跟上����,于是企業的安全團隊就變得極其難過���。
02企業 IM 侵入私人空間
企業內外部需要溝通��,IM 并不是新鮮事,國內企業在使用以釘釘為代表的聊天溝通工具之前也有不少其它選擇�����,光是微軟就有OC(Office Communicator)�、MSN、Skype 等幾代產品�,國內至少還有個 QQ(適用于中小團隊內部���,或者一般企業對外溝通場景)��。有一定規模和經濟實力的企業,還有不少其它商業 IM 的選擇���。
以釘釘、企微����、飛書為代表的新一代辦公 IM,開啟了信息安全的潘多拉魔盒����,而上一代 IM 產品倒還沒這些問題��。核心點個人認為在于先行者釘釘早期產品定位的搖擺���。企業 IM���,本是非常明確的定位����,上一代產品重點在“企業”一詞���,但早期的國內版本��,重點撲向了 IM����,幻想著再造出第二個微信�����。于是開始在產品設計上�,模糊了個人和企業的邊界����,比如下面列舉的部分場景。一個新的產品形態開了這個頭��,很難不讓后來者產生印隨的行為���。
1���、任意添加外部好友:通過個人手機號碼搜索�,就能任意添加企業外部人士為好友��,成為好友后企業內部信息也能在好友之間幾乎無礙的流通了��,因為可以毫無限制的聊天。
2���、添加好友暴露個人隱私:好事者可以親自嘗試一下,通過這些 IM 以及其它任何可以通過手機號添加好友的軟件去檢索�����,幾乎可以拼湊出人名��、大致郵箱�、工作單位�����、性別等個人隱私信息���。
3����、個人手機號為賬號:不用搭配專用的企業賬號��,個人手機號動態驗證碼任意登錄����。
4��、私人網盤方便數據備份:自動把群文檔歸檔到搭配的網盤,還貼心地讓企業網盤和個人網盤共存。
5、離職員工數據回收不全:員工離職后�,殘留在個人網盤�����,外部聊天記錄的數據無法回收(比如和客戶的聊天記錄)或者回收不全(沒有這個功能或者歷史版本差異問題),導致數據直接流失��。
國內目前主流的企業 IM�,均出自互聯網巨頭���,互聯網的基因決定了其產品互聯網的屬性��,靈活、便捷,安全很多時候反而是一種自我限制����,產品在安全設計上的缺位就顯得明顯了��。
不過剛說完這句話我就后悔了,因為對標國外的類似產品,其出身無不也是出自科技巨頭(微軟�,谷歌)或者年輕的互聯網基因團隊�����。而國外產品在安全的考慮上要明顯優于國內產品。
03國外企業 IM Slack 的安全設計
以 Slack 為代表的國外 IM��,對于企業信息安全的沖擊并未因為其新式的產品形態而帶來額外沖擊��,甚至并沒有沖擊��。
單從賬號層面的管理原則就可見差異。Slack 一如既往以郵箱為個人賬號�,在企業角度郵箱是較為友好的信息化管理手段(公司一般都會給員工配置專屬的工作郵箱賬號�����,而非個人郵箱賬號)����,同時在添加好友方面,有較為完整的管理手段���,如下圖,通過管理員審核的形式�,避免了任意添加外部人士為好友的可能�����。
從這樣的設計原則不難看出,一個真正站在企業角度去設計的產品���,和一個站在個人角度去設計的產品,從一開始走向就不一樣了�。
為了同下面國內企業 IM 的安全能力有個直觀比較�,這里列舉一下 Slack 的安全能力�。
| 分類 | Slack | 應用場景 |
|---|
| 版本號 | 4.32.127 | 企業統一賬號單點登錄 |
賬號安全 | 企業SSO | 收費 | 企業統一賬號單點登錄 |
| 密碼規則 | 收費 | 密碼復雜度要求 |
| 二次驗證 | 免費 | 賬密之外的二次身份驗證,比如短信和MFA |
| 加密 | 數據加密 | 免費 | 加密聊天數據 |
| 開放生態 | 服務市場 | 收費 | 服務市場集成第三方安全應用����,與企業移動性管理 (EMM) ����、DLP 集成 |
| 合規支持 | 隱私合規 | 收費 | HIPAA 等隱私合規支持 |
04國內企業 IM 安全能力對比
根據公開的信息��,我整理了一份國內三大 IM 的安全能力盤點�,匯聚到下面的表格里����。需要特別說明的是,這里面并未完全包含各個產品所有的安全能力��,尤其是權限管控類的能力在下面表格未有列出���,因為關于設置成員能看什么�����,訪問什么的權限類能力過于細致,且各家未有太大差異�,就不單獨列出來了��。
排名不分先后,僅僅是按產品問世的時間線排序而已�����,請莫要過多聯想�����。
| 分類 | 釘釘 | 企微 | 飛書 | 應用場景 |
|---|
| 版本號 | 7.0.30 | 4.1.6 | 6.6.6 | |
賬號安全 | 企業SSO | - | - | 收費 | 企業統一賬號單點登錄 |
| 密碼規則 | - | - | 收費 | 密碼復雜度要求 |
| 二次驗證 | - | 免費 | 收費 | 賬密之外的二次身份驗證�,比如短信和MFA |
| 登錄有效期 | - | - | 收費 | 強制定期重新登錄 |
終端安全 | 設備管理 | 收費 | 收費 | 收費 | 設備盤點和強制下線 |
| 移動端加密 | 收費 | 收費 | 收費 | 緩存數據加密 |
| 粘貼保護 | - | - | 收費 | 特定辦公應用之間才能相互拷貝粘貼數據,不是簡單的禁止拷貝功能 |
| 錄屏防護 | 收費 | - | 收費 | 防止錄屏軟件記錄 IM 操作 |
| 文件安全檢測 | 收費 | 免費 | 收費 | 檢測 IM 內傳輸文件是否為病毒木馬����,或者含有敏感數據 |
| 可信設備 | - | 收費 | - | 文件僅能被下載到可信設備上 |
訪問權限 | 準入訪問 | - | 收費 | 收費 | 特定終端環境和網絡才允許登錄 |
| IP 限制 | - | 收費 | 收費 | 只能通過特定 IP 網段才能登錄 |
| 應用網關 | 收費 | - | - | 零信任訪問�����,辦公應用訪問安全 |
數據保護 | 分類分級 | - | - | 收費 | 針對記錄下來的文檔進行數據分類打標簽 |
| 數字水印 | 收費 | 免費 | 收費 | 聊天窗口水印,或者文檔水印 |
| 暗水印 | - | 收費 | - | 通過解析泄密圖片���,追蹤泄密人員信息及操作時間 |
| 敏感詞過濾 | - | 收費 | 收費 | 聊天內容是否含有敏感內容,如黃暴恐政治等話題 |
| DLP | - | 收費 | 收費 | 檢測文件外泄行為 |
加密 | 密鑰管理 | 收費 | - | 收費 | 數據加密密鑰管理 |
| 數據加密 | 收費 | 免費 | 收費 | 加密聊天記錄 |
| 高管保護 | 防打擾 | 收費 | - | - | 防打擾��,防ding���,防資料外泄 |
| 開放生態 | 服務市場 | 收費 | 收費 | - | 服務市場集成第三方安全應用 |
| 合規支持 | 隱私合規 | - | - | - | 各國家地域隱私合規支持 |
注:由于本人并無以上所有 IM 的各個收費版本權限����,所列內容恐有遺漏或不準確之處��,如若讀者有發現請務必告知更正���,不甚感謝����。
整理完該表格后�����,著實扭轉了本人之前關于三個產品的一些刻板影響�����,同時也加深了對三家企業不同特色文化的感受。
創新的飛書����,創新的字節跳動
北京字節跳動成立于2012年3月����,旗下活躍著今日頭條�����、抖音�����、TikTok、飛書等在各個領域極具代表性的產品。公司僅僅花了6年時間就成為了估值750億美元的獨角獸�,如此神話故事的背后���,離不開企業不斷追求卓越和創新的精神。
創新最簡單的解釋��,就是做別人沒做或者不愿意做的事�����。從上面的表格可以看得出來����,飛書在安全上的投入和開放出來的能力��,在三者前列����。
曾經看到過國外咨詢機構對于企業數據安全建設的建議是���,“不要比競爭對手做得少�,但也不要比競爭對手做得多”。大部分產品也是遵循這樣的原則��,都在賬號、權限、審計上強調自身在數據安全建設上的合格性��,可見飛書還是愿意打破常規�,真的愿意站在客戶角度,去思考創新,并為之投入。不足之處在于�����,所有額外的安全能力都是收費功能�����。
開放的企微�����,坦然的騰訊
表格中綠色的“免費”字樣����,只落在了企業微信的身上。在所有那些除了權限和審計以外的基本安全能力之外�����,只有企微免費開放了不少的安全功能給企業客戶使用���。如同二次驗證��、數字水印��、數據加密,都是企業無比需要且務實的安全功能����。
不僅有免費的安全能力�,企微還開放了一定的數據接口���,供企業或者第三方安全公司用于進行定制化的安全能力自主建設�,比如下面的文件泄露檢測開放接口。
企業微信雖然晚于釘釘����,但其應用服務市場亦有安全廠商入?。?/p>
無論從投資生態���,產品開放程度上都可見到騰訊早已不是那個 3Q 大戰之前的封閉大哥了�。
占得先機的釘釘,服務市場的探索者
原本刻板以為釘釘作為國內最早��,用戶最廣泛的 IM��,在安全能力上應該也不少,但如同表格所列在三家中并不占有優勢。最為有特色的還是釘釘構建了非常豐富和活躍的服務商生態,通過釘釘開放出去的 API 接口�,由第三方服務商來為企業打造更多的服務�,這是釘釘一大優勢��,其中涉及到安全的有下面這幾種產品�。
05創新的安全功能
釘釘的應用安全網關
釘釘自身提供的安全功能����,比較有特色的就是這個應用網關,扮演的角色就是近年來比較為安全津津樂道的零信任 SASE����,用以安全訪問內網應用�。
但是這樣的產品構建在釘釘之上�����,會有些許的別扭����。如果是第三方應用����,比如企業使用的是釘釘應用市場的某個 CRM 應用,這樣的安全能力讓企業買單是無論如何也說不過去的,如果發生任何應用本身的網絡安全問題��,責任一定是第三方應用或者釘釘本身,企業沒有理由去關心這個問題�����。
如果是針對企業內部的辦公系統���,要在外網訪問��,但這些系統又沒接入釘釘,那企業直接采用第三方更為專業的 VPN 產品就好了�����,從釘釘這去繞一道����,會顯得多此一舉。
企業微信的可信設備
可信設備管理����,是個說起來簡單����,但是做好卻極不容易的事情�����,做好了能發揮的實用價值亦是極其大���。企業依托于可信設備的功能���,能非常有效地規避很多數據泄露的風險�����。
好的設備管理能力,依賴于對設備唯一性的鑒別。程序如何唯一識別一臺機器并不簡單,隨著終端設備數量的增長��,必然遇到不同設備被鑒別為同一設備���,同一設備 ID 變換為新的 ID 的問題��。這樣的情況給員工帶來的是體驗問題,企業運維成本的上升,安全產品客服和技術支持壓力的增長。
飛書的數據粘貼保護
這是一個極具創新的能力��,目前除了在一些安全辦公空間類產品可見外(比如我自家的 數影星球 - 下一代數字辦公空間����,幫助企業降本增效、安全辦公)�����,這是第一個出現在 IM 里的能力����。可限制成員將飛書內的信息粘貼到飛書以外的應用�,保護企業數據�����,防止信息泄露。尤其是現在企業內部系統幾乎都是 Web 應用�,數據可以直接被 Ctrl+V 出去���,防護效果顯著��。
有人會質疑這功能可能會比較雞肋。會這么想的還是思維還停留在 PC 辦公時代����,以終端文檔管控為主的時代����。殊不知移動互聯網之后,企業的辦公應用大多都已經轉變為 SaaS 化的應用或者說 Web 化的應用,尤其在科技型的企業內�����,數據都以結構化的形式存在應用內��,而不是躺在電腦磁盤上的文件里。數據泄露更常見的場景不再是文檔外發���,而是數據從內網站點直接復制拷貝到外網站點,如各類外部的云筆記���、云文檔產品。
粘貼復制管控的功能���,極具實用價值。
06辦公應用的數據安全責任���,并不用完全落在應用自身肩上
俗話說術業有專攻,隔行如隔山����。應用開發者最擅長的還是為用戶提供好用的業務功能����,用于提升客戶效率和體驗����。安全相對專業,應用型的開發者和產品經理很難具備專業安全的素養�����,作為平臺類的構建者或許參考國外同行的經驗���,盡量開放接口��,扶植第三方安全產品,于客戶和平臺自身的投入產出比來說才是最為劃算的����。
07對國內企業 IM 的安全建議
除了建議如同企微的開放心態之外����,較為實用一點有助于企業信息安全訴求的就提一點吧�����。
作為一個企業級的應用�����,能不能首先支持企業郵箱注冊與登錄?
關鍵詞:
