Jurang Keselamatan Google Workspace yang Biasa

Dan Cara Memperbaikinya

Biar saya buat tekaan yang bijak. Anda berpindah ke Google Workspace kerana ia sepatutnya memudahkan urusan. Mungkin secara mengejutkan, ia berjaya! Google menang satu! Walau bagaimanapun, mungkin utiliti itu terganggu pada suatu hari apabila seseorang menghantar 3,000 e-mel pelanggan ke e-mel peribadi mereka pada hari terakhir kerja mereka. Aduh! Itu menyakitkan hati dalam banyak cara.

Beginilah keadaannya. Google Workspace mampu memberikan keselamatan yang kukuh. Walau bagaimanapun, Google Workspace anda kemungkinan besar hilang kebanyakan ciri keselamatan teras. Perbezaannya adalah kira-kira 20 minit persediaan yang hampir tiada siapa yang melakukannyaJadi mari kita ubahnya. Berita baiknya ialah ia mudah dan ringkas. Selebihnya artikel ini menggariskan jurang keselamatan Google Workspace yang paling biasa dan cara untuk menutupnya.

1. MFA Didayakan, Tetapi Tidak Dikuatkuasakan (secara universal)

Banyak organisasi mendayakan pengesahan berbilang faktor dan menganggap mereka dilindungi. Walau bagaimanapun, semakan yang lebih teliti sering mendedahkan jurang. Sesetengah pengguna dikecualikan daripada MFA, akaun legasi kekal aktif atau pentadbir membuat pengecualian untuk kemudahan (ingat panggilan hujung minggu daripada C-Suite yang telefonnya hilang – jadi mereka tidak mempunyai MFA dan anda telah melumpuhkannya?).

Mengapa ini penting
Satu akaun tanpa MFA boleh menyediakan akses kepada e-mel, fail dan peluang pancingan data pengguna dalaman yang dipercayai (jenis serangan pancingan data yang paling berjaya di luar sana!). Ini adalah salah satu isu paling biasa yang diperhatikan dalam insiden dunia sebenar.

Cara memperbaikinya
Memerlukan MFA untuk setiap pengguna tanpa pengecualianLumpuhkan pengesahan legasi sepenuhnya. Kuatkuasakan keperluan MFA yang lebih kukuh untuk akaun pentadbiran. Jika MFA adalah pilihan di mana-mana sahaja, penyerang akan menemuinya.

2. Aplikasi OAuth Terlalu Mudah Dipercayai

OAuth membolehkan pengguna menyambungkan aplikasi pihak ketiga ke Google Workspace. Walaupun mudah, keupayaan ini menimbulkan risiko. Dengan satu klik pada "Benarkan", aplikasi boleh mendapat akses kepada e-mel, fail, kenalan dan kalendar tanpa memerlukan kata laluan atau mencetuskan MFA.

Mengapa ini penting
Aplikasi OAuth yang berniat jahat boleh mengakses data sensitif secara senyap selama berbulan-bulan tanpa pengesanan. Inilah risiko yang mengejutkan pentadbir apabila mereka membersihkan selepas pelanggaran, bukan sebelum pelanggaran.

Cara memperbaikinya
Sekat aplikasi pihak ketiga secara lalai. Luluskan hanya aplikasi yang diketahui, dipercayai dan diluluskan. Semak kebenaran aplikasi setiap suku tahun dan konfigurasikan makluman untuk aplikasi yang baru disambungkan.

Jika akses OAuth tidak disemak, Pasukan anda mungkin memberikan akses e-mel penuh kepada aplikasi yang mereka gunakan sekali untuk latihan pembinaan pasukan pada tahun 2023.

3. Terlalu Ramai Pentadbir Mempunyai Keistimewaan Mod Dewa

Akses Pentadbir Mod-God (okay, ia dipanggil Pentadbir Super, tetapi Mod-God itulah maksudnya) menyediakan kawalan yang luas dan berkuasa ke atas Google Workspace. Walaupun begitu, banyak persekitaran memberikan keistimewaan pentadbiran kepada terlalu ramai pengguna. Ingat, setiap pentadbir tambahan meningkatkan permukaan serangan dan menjadikan pengauditan lebih memakan masa.

Mengapa ini penting
Jika akaun pentadbir digodam, penyerang boleh menetapkan semula kata laluan, menambah pentadbir super, melumpuhkan kawalan keselamatan dan mengakses semua data anda. Pada ketika itu, pembendungan menjadi sangat sukar.

Cara memperbaikinya
Hadkan akses Pentadbir Super kepada sebilangan kecil akaun yang dipercayai. Gunakan kebenaran pentadbiran berasaskan peranan di mana sahaja yang mungkin. Asingkan akaun pentadbiran daripada akaun e-mel kegunaan harian dan semak log aktiviti pentadbiran secara berkala. Keistimewaan paling rendah mungkin tidak menarik, tetapi ia sangat berkesan.

4. Keselamatan E-mel Tidak Dikonfigurasikan Sepenuhnya

Gmail menyediakan perlindungan asas yang kukuh, tetapi penyerang sentiasa menyesuaikan diri. Jurang konfigurasi biasa masih berleluasa, termasuk dasar DMARC yang ditetapkan kepada pemantauan sahaja, amaran penghantar luaran yang tiada dan latihan pengguna yang berlaku sekali sahaja dan tidak pernah diperkukuhkan.

Mengapa ini penting
E-mel kekal sebagai titik masuk utama bagi sebahagian besar serangan dalam syarikat pasaran pertengahan dan kecil. Ini tidak berubah dalam tempoh lebih 20 tahun.

Cara memperbaikinya
Kuatkuasakan SPF, DKIM dan DMARC dengan dasar penolakan. Tambahkan pelabelan yang jelas dan ringkas tetapi penting untuk diberi perhatian untuk penghantar luaran. Sediakan latihan kesedaran keselamatan bulanan (video dan HootPhish) dan bukannya sesi sekali sahaja.

Teknologi membantu, tetapi pengguna yang terlatih selalunya merupakan pertahanan yang paling berkesan. Satu sesi latihan maraton setahun membuatkan pasukan anda sakit, keliru dan tidak lebih selamat daripada sebelumnya. Latihan bulanan membina memori otot yang menghalang seseorang daripada mengklik sebelum melihat/berfikir/mengesahkan.

5. Log Audit Tidak Dipantau Secara Aktif

Google Workspace menjana log audit terperinci, tetapi banyak organisasi tidak pernah menyemaknya. Ini mewujudkan jurang keterlihatan.

Mengapa ini penting
Aktiviti yang mencurigakan sering kali tidak disedari, termasuk log masuk dari lokasi yang mustahil, muat turun fail berskala besar dan peraturan penghantaran peti masuk tersembunyi. Apabila aktiviti tersebut ditemui, kerosakan yang ketara telah pun berlaku.

Cara memperbaikinya
Dayakan pembalakan audit terperinci. Pantau anomali log masuk. Semak perubahan pada peraturan peti mel dan konfigurasikan amaran untuk tingkah laku berisiko tinggi.

Jika tiada sesiapa yang memerhatikan log, Penyerang beroperasi seperti pencuri yang tahu rumah itu kosong dan pemiliknya sedang bercuti selama dua minggu. Mereka tidak tergesa-gesa. Mereka membantu diri mereka sendiri.

6. Fail Dikongsi Terlalu Luas

Google Workspace menjadikan perkongsian fail mudah dan senang. Ia meminta pengguna untuk memberikan akses sebelum menghantar e-mel kepada orang luar, tetapi mesej amaran tersebut sama ada terlalu tidak berbahaya atau diabaikan yang mengakibatkan banyak fail sensitif dikongsi secara luaran tanpa sebarang susulan atau pengawasan.

Mengapa ini penting
Data boleh meninggalkan organisasi secara senyap dan tanpa mencetuskan amaran. Ini sering berlaku tanpa niat jahat, tetapi kesannya tetap sama.

Cara memperbaikinya
Hadkan perkongsian fail luaran secara lalai. Memerlukan kelulusan untuk akses luaran. Semak pautan kongsi secara berkala dan kuatkuasakan tarikh luput untuk pautan awam.

Kemudahan tidak boleh mengatasi kawalan. Membiarkan fail terbuka kepada 'sesiapa sahaja yang mempunyai pautan' adalah seperti meletakkan kunci rumah anda di bawah alas kaki dan berharap hanya orang yang betul yang menemuinya.

7. Tiada Buku Panduan Keselamatan yang Ditakrifkan

Ini mungkin jurang yang paling ketara. Banyak organisasi menggunakan Google Workspace tanpa piawaian keselamatan bertulis, semakan akses berkala atau pemilikan keselamatan yang diberikan dengan jelas.

Tanpa tadbir urus, konfigurasi keselamatan akan merosot secara beransur-ansur. Itulah teori huru-hara yang mudah difahami.

Mengapa ini penting
Tetapan keselamatan secara semula jadi akan berubah mengikut masa jika tiada sesiapa yang bertanggungjawab untuk menyelenggara dan menyemaknya. Penyerang bergantung pada perubahan ini.

Cara memperbaikinya
Tentukan piawaian keselamatan asas Google Workspace. Jalankan semakan akses suku tahunan. Selaraskan konfigurasi dengan penanda aras keselamatan yang diiktiraf dan tetapkan pemilikan yang jelas untuk menyelenggaranya.

Setiap orang harus mengamalkan keselamatan, tetapi seseorang mesti bertanggungjawab untuknya. Penyerang mengimbas tanda yang sama seperti pencuri: tiada lampu keselamatan, tiada pelekat syarikat penggera, tiada anjing pengawal. Inilah ciri-ciri rumah tanpa sesiapa yang memerhati.

Kesimpulannya: buat ia kelihatan seperti seseorang sentiasa di rumah dan memerhati

Kebanyakan pelanggaran Google Workspace bukanlah serangan negara-negara yang canggih dengan eksploitasi hari sifar terkini. Ia adalah eksploitasi mudah tetapan lalai, konfigurasi yang terlupa dan kepercayaan yang salah tempat.

Penyerang berfikir seperti pencuri. Mereka tidak mencari rompakan yang mustahil. Mereka mencari rumah yang tiada tanda penggera, tiada lampu menyala pemasa, dan surat yang bertimbun di pintu.

Tutup jurang ini. Matlamat anda bukanlah kesempurnaan. Matlamat anda adalah untuk kelihatan kurang mudah berbanding organisasi di sebelah.

---

Sumber tambahan

• Berita Penggodam: Mengisi Jurang Paling Biasa dalam Keselamatan Google Workspace

---

Lindungi perniagaan anda dengan CyberHoot Today!