让我猜猜。你迁移到 Google Workspace 是因为它应该能让工作更轻松。也许出乎意料的是,它确实做到了!谷歌真棒!然而,也许有一天,有人在离职当天把 3,000 封客户邮件转发到了自己的私人邮箱,导致这种便利性大打折扣。哎!这真是让人痛心疾首。
事情是这样的。Google Workspace 具备强大的安全能力。但是,你的 Google Workspace 可能缺失 大多数核心安全功能。区别在于大约需要 20 分钟的设置时间。 几乎没有人这么做所以,让我们来改变这种情况。好消息是,这很简单也很直接。本文的其余部分将概述 Google Workspace 中最常见的安全漏洞以及如何弥补这些漏洞。
许多组织启用多因素身份验证 (MFA) 后就认为安全无虞。然而,仔细审查往往会发现漏洞。一些用户被排除在 MFA 之外,旧账户仍然处于活动状态,或者管理员为了方便而创建例外(还记得周末高管打电话来说手机丢了——所以他们没有 MFA,而你却把它禁用了吗?)。
为什么这件事
一个未启用多因素身份验证 (MFA) 的账户就可能泄露电子邮件、文件,并成为内部可信用户进行网络钓鱼攻击(这是最成功的网络钓鱼攻击类型!)的温床。这是现实事件中最常见的问题之一。
如何修复
要求所有用户都进行多因素身份验证 (MFA) 毫无例外彻底禁用旧式身份验证。对管理员帐户强制执行更严格的多因素身份验证 (MFA) 要求。如果任何地方 MFA 是可选的,攻击者就会找到漏洞。
OAuth 允许用户将第三方应用程序连接到 Google Workspace。虽然这很方便,但也带来了风险。只需单击“允许”,应用程序即可在无需密码或触发多因素身份验证 (MFA) 的情况下访问电子邮件、文件、联系人和日历。
为什么这件事
恶意 OAuth 应用程序可以悄无声息地访问敏感数据数月之久而不被发现。这种风险往往在数据泄露事件发生后,而非发生之前,让管理员们措手不及。
如何修复
默认阻止第三方应用程序. 仅批准已知、可信且已获批准的应用程序。每季度审核应用程序权限,并为新连接的应用程序配置警报。
如果 OAuth 访问权限未经过审核, 您的团队可能会授予他们曾在 2023 年团队建设活动中使用过一次的应用程序的完整电子邮件访问权限。
“上帝模式”管理员(好吧,它实际上叫超级管理员,但“上帝模式”就是它的全部含义)权限赋予用户对 Google Workspace 的广泛而强大的控制权。尽管如此,许多环境仍然将管理权限分配给了过多的用户。请记住,每增加一位管理员,攻击面就会扩大,审计工作也会更加耗时。
为什么这件事
如果管理员帐户被盗用,攻击者可以重置密码、添加超级管理员、禁用安全控制并访问您的所有数据。此时,遏制攻击将变得极其困难。
如何修复
将超级管理员权限限制在少数受信任的帐户中。 尽可能使用基于角色的管理权限。将管理帐户与日常使用的电子邮件帐户分开,并定期查看管理活动日志。 最小特权或许并不令人兴奋,但它非常有效。
Gmail 提供强大的基础保护,但攻击者不断变换攻击手段。常见的配置漏洞仍然普遍存在,例如 DMARC 策略仅设置为监控、缺少外部发件人警告,以及用户培训仅进行一次且之后从未强化。
为什么这件事
对于中小型企业而言,电子邮件仍然是绝大多数网络攻击的主要入口点。这种情况在过去20多年里从未改变。
如何修复
强制执行 SPF、DKIM 和 DMARC,并设置拒绝策略。为外部发件人添加清晰简洁但值得注意的标签。提供每月一次的安全意识培训(视频和 HootPhish),而不是一次性培训。
科技固然有所帮助,但训练有素的用户往往才是最有效的防御手段。一年一次的马拉松式训练只会让你的团队疲惫不堪、一头雾水,而且安全状况并不会比以前更好。 每月一次的训练可以形成肌肉记忆,防止人们在查看/思考/确认之前就点击。
Google Workspace 会生成详细的审核日志,但许多组织从未查看过这些日志。这就造成了信息透明度方面的差距。
为什么这件事
可疑活动往往难以察觉,例如从不可能的地点登录、大规模文件下载以及隐藏的收件箱转发规则。等到这些活动被发现时,往往已经造成了重大损失。
如何修复
启用详细审计日志记录。监控登录异常情况。审查邮箱规则变更并配置高风险行为警报。
如果没有人查看日志, 袭击者像窃贼一样作案,他们知道房子里没人,主人正在度假两周。 他们并不着急,他们是在自救。
Google Workspace 让文件共享变得简单便捷。它会在向外部人员发送电子邮件之前提示用户授予访问权限,但这些警告信息要么过于简单,要么被忽略,导致大量敏感文件在没有任何后续跟进或监督的情况下被对外共享。
为什么这件事
数据可能在不触发警报的情况下悄无声息地离开组织。这种情况通常并非出于恶意,但其影响却是一样的。
如何修复
默认限制外部文件共享。外部访问需经批准。定期审核共享链接,并强制公共链接设置过期日期。
便利绝不能凌驾于控制之上。 将文件对“任何拥有链接的人”开放,就像把家门钥匙放在门垫下,希望只有合适的人才能找到它一样。
这或许是最大的差距。许多组织在使用 Google Workspace 时,既没有制定书面的安全标准,也没有定期进行访问权限审查,更没有明确指定安全责任人。
缺乏治理,安全配置会逐渐失效。这就是混沌理论的精髓所在。
为什么这件事
如果无人负责维护和审查安全设置,这些设置自然会随着时间的推移而发生变化。攻击者正是利用了这种变化。
如何修复
制定 Google Workspace 安全基准标准。每季度进行访问权限审查。使配置符合公认的安全标准,并明确指定维护责任人。
每个人都应该注意安全,但必须有人为此负责。 攻击者会寻找与窃贼相同的迹象:没有安全灯、没有报警公司贴纸、没有看门狗。 这是无人看管的房子的典型特征。
大多数 Google Workspace 安全漏洞并非由使用最新零日漏洞的复杂国家级攻击所致,而是由于用户默认设置、遗忘的配置以及信任偏差等简单原因造成的。
袭击者的思维方式与窃贼无异。他们并非在寻找不可能完成的盗窃任务,而是在寻找那种没有警报标志、没有定时开关灯、门口堆积着邮件的房子。
弥合这些差距。你的目标不是完美。 你的目标是看起来比隔壁的机构更难对付。
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
