CISO们应该如何管理好协作安全问题？

当我们谈论通信和协作安全时，企业的焦点常常会在收费欺诈（toll fraud）上，他们会担心针对通讯系统的攻击，或在他们的通讯系统注册并发出呼叫的攻击，这些攻击甚至会导致通话记录等数据被泄露。大部分这样的收费欺诈（toll fraud）可使通话被路由到恶意运营商或恶意点，这些恶意点会根据所生成的通话量来收取大量的费用。

我们可以看到，近年来这种情况发生了变化，通讯、呼叫对企业来说仍然十分重要，但其他的协作方式也已经进入到了这一领域，并且变得同样重要，甚至更为重要，首当其冲的就是视频。

很多企业在开视频会议的时候，发现会议里常会出现一些未经授权的人员，这些“陌生人”可能会破坏会议或窥探会议的内容，幸运的是，大多数供应商都解决了此问题。但另一个来自于安全性的问题给企业带来了很大的困扰，那就是合规。公司视频会议会产生大量的内容，同时大多数视频平台供应商都允许企业录制会议，他们允许企业下载各种数据报告，另外还有很多弹幕信息，包括会议之外可能会发布一些笔记等。

因此企业需要思考，所有这些数据信息都该存在哪里，以及需要思考该如何在监管环境、合规性并整体安全策略之间将数据治理安排妥当。

国外咨询公司在2021年第三季度对大约 400 家公司进行了调查，他们从协作的角度研究了企业都将钱花在了哪儿，他们在哪些领域里的预算正在增长，而哪些领域又在缩减，从这之中国外咨询公司确定了优质企业和其他企业间的差异。

从调查报告来看，所谓的优质公司，往往都是些协作支出投资回报率最高的公司，这些公司在协作应用程序上投入了较多的资金，同时还会对收入、成本、生产率等方面进行改善。在这项研究中，根据所给出的指标，400 家公司里大约有 68 家是优质的。

国外咨询公司表示，对协作安全的重视度是这些公司之间最大的差别。与其他公司相比，优质公司在协作安全上花钱的可能性要高出大约 20%，而且优质公司更有可能为此制定战略。

通过和这些优质公司之间的沟通，国外咨询公司得出了五个协作安全的最佳实践，这些最佳实践是优质公司之所以成功的关键。

首先是安全平台。有许多不同的供应商会提供协作安全平台，协作供应商本身也提供了许多控件，但是在跨供应商环境中，如果能够使用单一平台来执行不同应用程序的策略，比如可以监控这些应用程序，可以从这些应用程序中查找或应对漏洞威胁或实际攻击，那对安全的提升将会是巨大的。

安全平台问题在国内同样如此。当下基础的安全产品比较多，比如防火墙、防病毒等，但这些都是相对独立的存在，因此平台化的发展将是一种必要趋势。虽然各个安全厂商都宣称提供了标准接口或一体化方案，但没有足够的成熟度，想要形成真正的联动分析太难了。

难点一在于与原有安全产品的信息对接。由于原来就已部署好的安全产品出自不同厂家，而每个厂家拥有不同的接口、不同的逻辑、不同的规范，因此平台化的方案很难去对不同的产品提取有用的信息。而如果都是一个厂家提供的安全产品，又会存在规则库不全或是逻辑有漏洞之类的问题。

难点二在于场景定制。当下的平台化基本上都用定制开发的方法，即基于自己的场景来部署。而对安全管理者来说，很难拥有一个比较方便、快捷的方式来定制他想要的场景。

另一方面，当下国内的安全厂商大多还是较为封闭，都不太愿意把自己的能力和其他公司的能力结合起来，哪怕当下的部分厂商已经在开放API接口了，但和外国的公司相比，依旧差之甚远。

安全之下有几十个不同的细分领域，不可能要求每一个公司都能把所有的安全领域都做好，因此当下行业内面临的困境就是，一些细分领域里的小公司很难有生存空间，如果业内的大型安全厂商愿意开放自己的接口，愿意和这些小公司联合起来，那整个行业才会蓬勃发展，否则总是“大鱼吃小鱼”的垄断模式，不但生态环境会被破坏，安全上的产品质量也难以得到突破。

综上所述，安全平台对企业而言不可或缺，而其价值不仅仅体现在了协作安全。

作为CSO，一定对协作安全负有最终责任。但在企业运营的过程中，CSO可以与协作团队进行合作，将管理日常安全操作的所有权委托给这些合作伙伴，或者通过他们了解风险趋势或各种先进技术。

在当下这样的办公模式中，每个团队都需要实现远程协作，企业需要将各种数据、威胁情报和用户融合在一起，因此和协作团队的配合就显得尤为重要，协作团队可将其工作所需的情报作为工作流的一部分，主动和企业共享经验以加深对威胁和活动的了解。

而各安全团队的人员可以直接相互交流，而不是独自进行调查，避免走近死胡同或错失各种关键信息。合作伙伴之间可以查看彼此的工作，了解其过程、结果和影响并从中受益，这样，CSO就可以看到整个运营的展开，这使他们可以在需要的时间和方式采取行动，并能协调团队之间的任务，以更好的为结果负责。

许多针对于电子邮件和传统即时通信的法规、安全理念和治理方法都需要不断改进，因为现实情况是企业需要不止一个团队协作应用程序，企业可能正在使用各种新兴渠道，比如他们的联合功能或网关功能正将这些团队协作应用程序扩展至客户、合作伙伴和供应商，等等。

收费欺诈（toll fraud）对组织来说仍然是一个巨大的风险，它不仅是在未经授权的网络上被截获或生成呼叫的成本风险，而且如果这呼叫不是企业发出的但又来自于这企业，则很可能还存在声誉欺诈的风险。

就像很多诈骗短信会用到企业的名号、企业的形象，企业因此就会平白无故地背黑锅，比如2019年下半年，全国多地发生了冒充美团进行诈骗的短信，造成全国很多美团商家都被骗了；再比如疫情期间，不法分子趁着学生们都在上网课，便冒充腾讯课堂向部分腾讯课堂的家长用户发送诈骗短信，短信中称学生存在课堂违纪行为，需要支付罚款并提供个人信息，这对家长和孩子都产生了重大的影响。而被骗的用户则很可能将事故怪罪于企业，这对品牌形象、公司声誉都会造成极大的损失。

关于协作安全性，还有几个需要注意的层面。一是希望企业能管理好他们的远程工作者，以确保远程工作者通过互联网访问应用程序时不会出现差错，企业应该明确远程工作者手中计算机的VPN是什么状况，企业得知道远程工作者是如何访问企业内部系统的，或甚至控制远程工作者可以访问哪些应用程序。其次是关于零信任，可以看到公司开始将其应用于合作伙伴，因此，企业可将提供商视为不受信任。

在此介绍，传统的网络安全以边界为核心，网络安全构建防火墙体系，并对防火墙内互联网之下所有的这些PC用户都默认为信任，主要是防御来自外部的攻击行为，因此所有的策略也都是静态的授权策略。

但是随着业务的发展，很多业务包括用户可能都不在办公区域内。比如疫情之下，许多人居家办公，还有很多业务并不是执行在企业的业务中心，而是在云上，这时候网络边界就被打破了，因此需要新的体系。

零信任策略因此诞生，它的特点是无论是在边界内外都能够实时地调整安全策略，并且保持以身份为中心的验证和认证模式，做到永不信任，持续认证，这就是零信任的理念。

零信任的理念在目前的远程办公场景，或者说第三方协作场景以及混合办公场景都有很大的应用。在远程办公环境中，接入的地点和时间是复杂的，员工采用的是自己的ID设备，存在数据泄露的风险，远程分支机构接入场景时的线路，传统使用的是VPN，但是VPN设备非常昂贵，同时在性能扩展、兼容性方面和运维的复杂度方面存在问题。

所以基于零信任的理念，首先要假定风险点都是不安全的，其次风险点的风险是持续变化的，一旦有变化，访问策略也要及时做变化，这就是零信任所提倡的“never trust always Verify”，其最终目标是为了降低在各种混合办公环境下企业整体的安全风险可控。

对于协作安全容易在哪些环节出现问题，对此又应该采取怎样的措施，国内安全专家如此建议。

安信证券安全专家李维春认为，协作安全是一个很新的提法，但实际上其中的场景却再也熟悉不过了：一个财务人员收到“领导”的电话或邮件，要求其加入QQ群处理某项工作，在QQ群里各色人等一应俱全，各种套路层出不穷，通过社会工程学手段，诈骗钱财。

而协作安全比较容易出问题的环节主要有两点：

（1）协作工具对人员身份的认证。协作工具一旦完成认证，公司员工往往不知道工具另一头的到底是不是那个真的TA，这就是所谓的会因为一个熟悉的账号给予其足够的信任。

（2）协作工作在系统架构、技术实现上存在安全漏洞，导致账号被盗用或数据被窃取。

为此李维春建议，如果协作工具是一个跨互联网和内网的应用，那么在选用工具的时候，应检查并验证其账号、身份的验证机制和强度，确保其符合安全要求。比如除了账号密码之外，是否可以对设备增加认证，或采取双因素认证。具体内容如下：

1、如果协作工具仅在内网使用，应确保其后台与其他应用保持隔离，避免一点突破、全盘皆失。

2、要么在协作工具上、要么在可使用协作工具的终端设备上，采取双因素认证的方式加强认证。

3、确保协作工具的传输通道上采取加密方式防范网络监听和信息窃取。

4、确保协作工具的用户端、服务端都经过安全检测或渗透测试，及时安装了补丁。

5、如果可以的话，对协作工具所在网络或协作工具本身也要部署安全监测工具，一旦发生安全事件，可以及时响应和处置。

而乐信信息安全中心总监刘志诚认为，协作安全不仅仅是远程办公的安全。疫情肆虐，远程办公成为很多企业必须面对的挑战，无论是传统的VPN解决方案还是零信任解决方案，只要在内部服务的网络层和应用层提供安全解决方案，解决关于用户、账号、终端设备、应用授权等一系列以内部应用为中心的安全风险问题，都可以归结为协作安全。此外，公有云SaaS类服务也在CASB和SASE的方案下，逐步提供了关于用户账号，以及资源保护和访问审计的能力。而协作安全在此的基础上需要关注的是业务与数据安全该如何进一步的提供安全保障。

另一方面，协作软件的发展在国内同样如火如荼，阿里的钉钉，腾讯的企业微信，字节的飞书，均在这个领域大举发力，在传统的电子邮件，即时通信的基础上，提供了移动办公，应用集成，企业文档等一系列企业协作应用服务。以企业微信为例，微信生态的打通，在内外部协作的生态环境下具有巨大的社会网络优势，钉钉在小企业的覆盖度也取得了相应的网络优势，但SAAS的IM和企业级应用模式，与企业内部应用打通的API应用集成与H5内嵌模式，在边界安全都给数据安全和业务安全方面带来了巨大的隐患。

1、数据安全：IM、邮件、文档、网盘等SAAS服务涉及到的数据安全问题，无论是2C服务的个人信息，企业内部业务相关的商业秘密，在内外部联系人之间的分享和传输，以及在SAAS服务的存储和访问环节，均存在潜在数据泄漏的风险。

2、应用安全：企业内部应用的发布，集成在协作软件客户端，通过协作软件暴露在公网的相关风险，内部应用的零信任方案在协作软件层面出现了相关资源暴露。

3、业务安全：为了解决身份，账户的用户侧可用性和便利性，实现的身份认证和SSO的相关身份集成，依赖于协同软件方的认证能力，存在账号管理的相关风险，内部系统的账号权限结合应用的互联网暴露会引起业务安全风险。

对此，刘志诚建议，针对协作安全，需要在网络和系统安全的基础上关注数据、应用、业务的安全，通过制定统一的安全战略目标，评估针对协作安全的安全策略与公司安全策略的一致性，避免增加资产暴露面，避免存在安全漏洞，避免策略的不一致带来安全事件的预警和响应，以及在追溯取证时的复杂性。

1、针对数据安全：需要考虑IM、邮件、文档、网盘的数据分类分级使用策略，避免非控制下的敏感机密数据的泄漏，确保数据在受控的环境下分享、传输、存储和使用，可以及时发现和阻断非授权的数据传输和应用。这涉及到协作应用环境的DLP能力集成。

2、针对应用安全：避免内部应用H5方式下的直接互联网暴露，需要在WAF、安全网关的机制下做到零信任级别的管控，风险暴露面收敛到零信任管控策略的范围内。

3、针对业务安全：身份、账号、访问控制的方案和策略得一致，需要做到协作应用的账号认证鉴权的可审计性、可追溯性，结合业务EDR的需求，实现对业务账号的风险预警和处置阻断能力。

此外，友邦资讯科技安全专家杜建荣指出，协作安全由于需要打通各个关节，所以如果不熟悉内部环境很容易出现盲点或者短板，需要对全局非常熟悉，另外目前的外购平台也很难做到100%的兼容性，在产品选型上也会陷入困境。因此杜建荣建议，最好有熟悉全局的岗位或部门通过自行开发接口的方式与外购平台做对接，在项目过程中才可以摸清真正的安全全貌。