风险已超越邮箱:协作平台成为黑客新战场

本文探讨了网络安全威胁从传统电子邮件向Slack、Teams等协作平台的转移,分析了攻击面变化、Slack安全漏洞案例,并提出了跨平台AI监控等防御策略,帮助企业应对新型网络威胁。

风险已超越邮箱

多年来,电子邮件一直是主要的安全战场。网络钓鱼、诈骗和账户劫持是企业理论上知道如何应对的问题。安全电子邮件网关、AI驱动的检测、持续的用户培训——我们围绕阻止恶意邮件进入收件箱构建了整个行业。

但现在呢?攻击者甚至不需要你的收件箱。他们已经转向企业日常依赖的通信和协作平台。在这些平台上,用户过于信任,而安全团队考虑得太少。

事实是:人们的工作方式已经改变。协作是实时、流动和去中心化的。但安全防护没有跟上。大多数组织仍然像2015年一样进行防御,专注于以电子邮件为首的安全策略。与此同时,攻击者已经适应了——在Slack中进行网络钓鱼,劫持Teams凭证,在LinkedIn上运行诈骗。

结果如何?防御存在巨大差距,而且正在被利用。

攻击面已转移——但防御没有

我们过去常说电子邮件是第一大攻击载体——在很长一段时间内,这是真的。但在2024年,网络犯罪分子不再需要从电子邮件开始。他们直接进入人们工作的地方。

数据证明了这一点:

  • Proofpoint报告称,通过SMS传递的基于URL的威胁增加了2,524%,其中许多针对Slack、Teams和LinkedIn(Proofpoint)
  • SlashNext发现,2024年下半年凭证钓鱼攻击激增了703%(SlashNext)

问题不仅在于攻击正在转移,还在于公司没有相应地调整防御策略。

网络安全在过去二十年中一直在强化电子邮件。安全电子邮件网关(SEGs)、防钓鱼认证、AI驱动的异常检测——电子邮件安全已经经过实战检验。

Slack安全?还差得远。

为什么Slack成为黑客的游乐场

Slack不是为安全团队构建的。它是为速度而构建的。整个平台围绕快速、无摩擦的通信设计——实时消息、开放频道、即时文件共享。

2024年8月,研究人员发现Slack的AI功能存在漏洞,允许攻击者通过提示注入从私人频道窃取数据(PromptArmor博客)。

Slack的设计理念使其非常适合提高生产力——但对攻击者来说也是一个梦想。

用户认为Slack是"安全空间"

员工将Slack视为内部聊天室,而不是安全风险。他们不会像对待电子邮件那样仔细检查消息。

这是一个问题,因为Slack实际上并不是内部的。

  • 访客账户:外部承包商、供应商甚至客户可以被邀请进入频道
  • OAuth集成:第三方机器人和应用程序通常可以访问消息历史和文件
  • 跨工作区消息:Slack Connect允许员工与不同组织的用户聊天——为安全团队创造了巨大的盲点

安全团队没有监控谁被邀请进入哪些频道。他们没有对文件在工作区之间的移动进行行为分析。攻击者知道这一点。

Disney泄露事件:Slack利用案例研究

Disney被黑客攻击不是因为复杂的零日漏洞利用。他们被黑客攻击是因为一名员工无意中下载了伪装成AI工具的恶意软件,该软件泄露了凭证并让攻击者访问了Slack。结果如何?超过4400万条内部消息被窃取并公开泄露(华尔街日报)。

被盗数据不仅仅是随意的Slack对话——包括未发布的项目细节、源代码、登录凭证和内部API。Slack的结构让攻击者无需进一步升级就能获得访问权限。

Disney的回应?他们完全关闭了Slack(商业内幕)。

大多数公司不会做到这种程度。但教训很明确:像对待电子邮件一样紧急对待Slack——因为攻击者已经这样做了。

Slack内部的横向移动

如果攻击者进入你的电子邮件,他们可以钓鱼其他员工——但大多数钓鱼过滤器会捕获它。

如果攻击者进入Slack?他们可以实时冒充员工,加入敏感频道,并传播恶意软件而不会触发传统安全警报。

Slack在设计时没有考虑入侵检测。这就是为什么横向移动对攻击者来说如此容易——一旦进入,他们就隐形了。

为什么员工信任这些平台(以及为什么他们不应该)

安全培训已经让员工对电子邮件产生了怀疑。悬停查看链接。验证发件人。假设危险。

但在协作工具内部?同样的 scrutiny 消失了。

想想看——如果同事在Slack中给你发消息说:“嘿,我需要你帮忙快速处理这笔付款”,你可能会毫不犹豫地去做。在电子邮件中,你可能会再次确认。在Slack中,这感觉像是内部请求。这就是这些攻击起作用的原因。

攻击者正在武器化信任——而且正在取得成效。

安全团队如何迎头赶上

旧的策略——阻止恶意电子邮件、过滤垃圾邮件、部署安全电子邮件网关——已经不够了。组织需要一个超越电子邮件、延伸到实际工作发生地的安全模型。

这就是为什么安全的未来是跨平台保护。

公司正在转向:

  • AI驱动的行为监控,检测Slack、Teams和LinkedIn内部的异常
  • 持续访问监控,标记异常登录模式和未经授权的数据移动
  • 跨协作平台的主动威胁狩猎——不仅仅是电子邮件

安全行业正在快速发展,许多组织在2025年将适应性韧性作为首要任务。因为那些领先于这一转变的公司?他们将在攻击开始之前就阻止它们。那些没有这样做的公司?他们将忙于清理漏洞。

关于作者

Jeremy Ventura目前担任全球系统集成商Myriad360的现场CISO,是一位经验丰富的网络安全专业人士和顾问,专注于信息安全最佳实践、推动防御策略和保护组织免受不断演变的威胁。他在漏洞管理、API安全、电子邮件安全、事件响应和安全中心运营方面拥有丰富经验,通过在顶级安全供应商和内部安全团队的角色磨练了自己的专业知识。在LinkedIn上关注Jeremy。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次