Sicurezza Slack: come proteggere i suoi dati sensibili?

Slack offre molte funzioni di sicurezza native che le aziende possono utilizzare per proteggere i loro dati e i loro utenti. Tuttavia, per sfruttare al meglio queste funzioni spesso è necessaria una configurazione avanzata e Slack Enterprise Grid. Anche in questo caso, possono rimanere delle lacune, in particolare per le organizzazioni coperte da normative come l'HIPAA o il GDPR. Questo post illustra le caratteristiche e i rischi della sicurezza di Slack ed esplora come può implementare una sicurezza di livello aziendale in Slack.

Slack è sicuro? 

Essendo uno strumento di collaborazione aziendale, i dipendenti possono essere perdonati se pensano che tutto ciò che digitano in Slack sia protetto e sicuro. Slack offre una serie di misure di sicurezza dei dati che proteggono le informazioni degli utenti dall'infiltrazione. Tuttavia, queste misure potrebbero non essere così complete come gli utenti pensano, e molte richiedono che gli amministratori di Slack le impostino in modo proattivo.

Quali dati ospita Slack?

Aware, l'analisi di milioni di messaggi reali su Slack ha dato vita a un quadro preoccupante. La nostra ricerca mostra che l'ambiente Slack medio è un groviglio di punti ciechi, rischi nascosti e dati sensibili. 

Quali settori devono prestare particolare attenzione a Slack per motivi di sicurezza?

Alcune organizzazioni hanno requisiti di sicurezza dei dati più severi di altre. Ad esempio, chi opera in settori altamente regolamentati come quello finanziario o sanitario deve considerare i propri obblighi ai sensi di leggi come la HIPAA e la SEC 17a-4 per preservare le certificazioni di conformità.

Inoltre, il National Counterintelligence and Security Center (NCSC) degli Stati Uniti, l'Office of Economic Security and Emerging Technology (OESET) e le unità speciali dell'Aeronautica e della Marina hanno recentemente avvertito le aziende tecnologiche che si trovano ad affrontare rischi di sicurezza delle informazioni più elevati da parte di attori statali stranieri, che possono utilizzare strumenti aziendali come Slack per esfiltrare informazioni proprietarie.

Per queste organizzazioni, potrebbe essere una best practice limitare l'accesso a Slack agli indirizzi e-mail e ai dispositivi mobili di proprietà dell'azienda. In tutti i casi, la gestione dei dispositivi dovrebbe essere una parte regolare della revisione della sicurezza di Slack.

Tipi di dati sensibili condivisi su Slack

I messaggi di collaborazione contengono una quantità significativa di dati sensibili che le aziende devono proteggere. Questo include informazioni regolamentate come PII/PHI/PCI e proprietà intellettuale non regolamentata - ma preziosa - e altre comunicazioni riservate.

• Informazioni di identificazione personale (PII)
• Informazioni sanitarie personali (PHI)
• Dati dell'Industria delle carte di pagamento (PCI)
• Proprietà intellettuale (IP)
• Fusioni e acquisizioni
• Tossicità, bullismo e parole d'odio 

La proliferazione di queste informazioni nell'ambiente Slack potrebbe portare a un intenso controllo normativo e a multe e sanzioni costose. Gli attori delle minacce possono anche utilizzare informazioni riservate per mettere in imbarazzo l'azienda o farle perdere un vantaggio commerciale. Le ultime ricerche mostrano che il 12% dei dipendenti porta con sé l'IP quando lascia il lavoro. 

Il motivo per cui molti dati sensibili vengono archiviati in Slack è semplice: i dipendenti credono erroneamente che uno strumento approvato dall'azienda sia un archivio sicuro per tutti i dati relativi al lavoro. Il primo punto di fallimento della sicurezza di Slack consiste nel non aver istruito i dipendenti su ciò che costituisce la condivisione di informazioni appropriate e inappropriate in Slack. 

La ricerca di Aware lo conferma. Un cliente di Aware ha scoperto 32.000 casi di archiviazione di dati PCI/PII nei canali Slack da parte di dipendenti che stavano semplicemente cercando di fare il loro lavoro. 

Il semplice coaching dei dipendenti non è sufficiente. Per proteggere i dati aziendali dall'esfiltrazione in Slack, le aziende devono adottare un approccio proattivo alla gestione delle minacce. Purtroppo, Slack non distribuisce strumenti proattivi di sicurezza dei dati come standard. Invece, le aziende devono implementare i propri controlli di sicurezza attraverso l'uso di integrazioni di sicurezza dei dati di livello aziendale e di app di terze parti. 

Quali sono le funzioni di sicurezza integrate di Slack?

Crittografia dei dati in Slack

Per impostazione predefinita, Slack cripta i dati in transito e a riposo. Ciò significa che le informazioni di Slack contenute nei database o trasmesse sono protette da una facile esfiltrazione. Tuttavia, a differenza di altre app di messaggistica, Slack non offre la crittografia end-to-end dei suoi dati. Ciò significa che qualsiasi attore minaccioso con accesso al server Slack può accedere o esfiltrare tutte le informazioni in esso contenute. Questo potrebbe anche aumentare la vulnerabilità di Slack al malware e ad altre forme di attacco. 

La crittografia end-to-end è considerata il gold standard delle politiche di sicurezza dei dati, perché le uniche persone che possono accedere ai dati sono il mittente e il destinatario (o i destinatari), di solito memorizzando le chiavi di crittografia sui singoli dispositivi piuttosto che a livello di server. 

✅ Crittografia dei dati in transito (alias crittografia dei dati in movimento) 

✅ Crittografia dei dati a riposo (DARE) 

❌ Crittografia end-to-end 

Gestione delle chiavi aziendali di Slack 

Oltre alla crittografia dei dati, Slack offre anche altri strumenti di sicurezza dei dati. Slack Enterprise Key Management (Slack EKM) consente alle aziende di inserire le proprie chiavi di crittografia nel proprio ambiente Slack. In questo modo le aziende hanno un maggiore controllo sul modo in cui i loro dati vengono crittografati e su chi può accedervi attraverso controlli di autorizzazione granulari. Queste funzioni di verifica aggiuntive possono aiutare a combattere gli attacchi esterni più comuni, come le truffe di phishing, e a bloccare un hacker nel momento in cui viene individuato. 

Registri di audit di Slack 

Se un'azienda ha bisogno di eseguire indagini forensi in Slack, i registri di audit forniscono un utile punto di partenza. Questi registri registrano tutte le azioni che gli utenti compiono all'interno di Slack e creano strumenti di monitoraggio personalizzati utilizzando l'API Audit Logs. Tuttavia, le aziende non possono vedere i messaggi che i dipendenti inviano in Slack e i registri di audit non consentono la caccia proattiva alle minacce. Questa funzionalità richiede l'aggiunta di un'applicazione Slack di terze parti per la prevenzione della perdita di dati (DLP) e/o l'eDiscovery. 

Altre caratteristiche di sicurezza dei dati di Slack 

Slack può dare agli utenti un maggiore controllo su chi accede all'ambiente e per quanto tempo, attraverso strumenti di sicurezza come i limiti di sessione, l'autenticazione a due fattori, l' autenticazione a più fattori e il single sign-on (SSO). Queste impostazioni possono rendere più difficile per gli attori delle minacce l'accesso a un account Slack aziendale e ridurre il tempo a disposizione di un hacker per agire. 

In sintesi, Slack offre uno spazio di lavoro sicuro per le aziende, utilizzando la crittografia dei dati standard del settore in transito e a riposo. Tuttavia, per ottenere un quadro completo di ciò che accade all'interno di un ambiente Slack aziendale, le aziende devono abbinare le funzionalità di sicurezza Slack native a piattaforme di cybersecurity più potenti. 

Quali sono i diversi problemi di sicurezza con Slack? 

Quando si tratta di proteggere gli ambienti Slack aziendali dall'esfiltrazione dei dati, ci sono diversi tipi di minacce da considerare. Ciascuna richiede una propria strategia di gestione proattiva. 

Minacce alla sicurezza della piattaforma Slack 

I rischi di sicurezza all'interno di Slack stesso possono minacciare la sicurezza dei dati aziendali, consentendo agli hacker di violare l'ambiente Slack sul posto di lavoro. L'esfiltrazione di dati Slack da parte degli hacker ha fatto notizia grazie alla violazione di Uber, dove i messaggi Slack sono stati esplicitamente presi di mira e rubati dall'hacker. 

Perché gli hacker dovrebbero rubare i dati di Slack? Come ha scoperto la ricerca Aware, gli ecosistemi Slack possono essere pieni di informazioni riservate e segreti aziendali. Anche se l'hacker non usa mai quelle informazioni, può comunque costare all'azienda un importo significativo in multe e sanzioni. 

Il costo medio di un record violato è stato di 164 dollari, secondo una ricerca di IBM del 2022. Quando 1:166 messaggi in Slack contengono informazioni riservate, significa che ogni nuovo messaggio digitato nel suo ambiente Slack aggiunge un altro dollaro al costo totale della sua esposizione al rischio - e solo 5.000 dipendenti invieranno 30 milioni di messaggi Slack ogni anno. 

Minacce interne a Slack 

L'altra preoccupazione per le aziende moderne che utilizzano Slack, o qualsiasi altro strumento di collaborazione, è rappresentata dalle minacce interne. Il Ponemon Institute ha rilevato che le minacce interne continuano ad aumentare, con un costo per le aziende ai massimi storici. L'organizzazione media impiega 85 giorni per identificare e contenere una minaccia interna, con un costo di 15,38 milioni di dollari per incidente. 

Le minacce interne si verificano per negligenza o dolo. La maggior parte delle minacce non sono intenzionali. La negligenza rappresenta il 56% di tutti gli incidenti di minaccia insider, di solito perché i dipendenti hanno condiviso informazioni sensibili nei canali sbagliati. Le violazioni della conformità attraverso la condivisione di informazioni PII/PCI all'interno dei canali Slack sono un ottimo esempio di minaccia insider causata da negligenza. 

Gli insider malintenzionati sono più rari, ma danneggiano molto di più l'azienda. Poiché sono stati invitati nell'area di lavoro, possono essere più difficili da individuare e sapere dove cercare informazioni preziose. E poiché Slack consente canali privati e messaggi diretti e si sincronizza su più dispositivi, un insider malintenzionato può anche utilizzare Slack per inviare informazioni riservate a se stesso e accedervi successivamente da un dispositivo privato, eludendo i firewall e altri controlli di sicurezza dei dati. 

• L'insider malintenzionato medio si appropria di 80.000 dati aziendali. 
• Gli attacchi da parte di insider malintenzionati richiedono in media 284 giorni per essere identificati e arginati. 
• Il costo medio di una violazione di dati dolosa è di 4,18 milioni di dollari. 

Fonte: IBM: IBM 

Rischi con le integrazioni di terze parti

Una delle caratteristiche principali di Slack è la sua capacità di integrarsi con altre applicazioni, ma questo può anche aprire un varco nella sicurezza. Slack non garantisce la sicurezza delle app elencate nella sua directory, quindi le organizzazioni sono responsabili della valutazione delle app con cui si connettono. Le app mal configurate potrebbero causare una fuga di dati.

Molte app di terze parti richiedono anche la capacità di leggere/scrivere messaggi, accedere a file da condividere o creare nuovi canali. Queste autorizzazioni aprono Slack a vulnerabilità che possono portare all'esfiltrazione dei dati. C'è il rischio aggiuntivo di malware con le applicazioni di terze parti non verificate.

Per mitigare questo rischio, le aziende devono adottare politiche rigorose per l'approvazione delle app di terze parti quando si integrano con Slack, che includono la limitazione dei permessi delle app al minimo richiesto e il monitoraggio delle app integrate per rilevare attività sospette.

Phishing

Le truffe di phishing prendono di mira strumenti di collaborazione popolari come Slack e Teams, perché queste piattaforme consentono a terzi di integrarsi nei loro canali. Gli aggressori si fingono utenti di Slack per inviare inviti a chat di gruppo e poi ingannano gli utenti per scaricare payload di malware nei sistemi delle aziende vittime.

È successo più volte attraverso Teams, che condivide questa vulnerabilità con Slack. Il problema delle truffe di phishing è formare i dipendenti a riconoscerle. Quando sembrano provenire dall'interno di piattaforme approvate dall'azienda, sono più difficili da individuare.

Consentire l'accesso agli utenti esterni

Slack Connect offre ai dipendenti la possibilità di lavorare in modo collaborativo con persone esterne all'organizzazione. Tuttavia, l'apertura della piattaforma a questi utenti rappresenta un rischio per la sicurezza delle aziende in diversi modi. Una è una semplice questione di accesso. Fornire agli appaltatori e ad altri utenti esterni i permessi minimi necessari per completare il progetto è una best practice. Il monitoraggio della loro attività è fondamentale anche perché gli utenti di Slack possono cambiare l'immagine del profilo e il nome per apparire come un altro utente dell'organizzazione. Gli attori malintenzionati possono infiltrarsi in un'organizzazione in questo modo, se hanno intenzione di fare del male.

Gli utenti esterni portano con sé i propri dispositivi e questi rappresentano un altro punto di vulnerabilità di Slack. L'implementazione di controlli rigorosi e il monitoraggio dell'uso delle loro app mentre lavorano al progetto sono fondamentali per mantenere la sicurezza dei dati. Una volta terminato un incarico, la deprovisioning tempestiva del loro accesso può ridurre ulteriormente la possibilità di una violazione dei dati.

Le migliori pratiche per migliorare la sicurezza di Slack

Quindi, cosa possono fare le aziende per mitigare i rischi di minacce alla sicurezza della piattaforma Slack? Per rilevare e contenere le PII e prevenire l'esfiltrazione dei dati da Slack, i team di sicurezza dovrebbero: 

• Introduca delle protezioni per l'accesso: Segua le best practice per assumere il controllo di chi può accedere all'area di lavoro di Slack, istituendo protezioni per il controllo degli accessi, come SSO o Slack EKM.
• Rimuovere i dati sensibili da Slack: Istituisca politiche di conservazione proattive per identificare e rimuovere le informazioni compromettenti da Slack, in modo che non siano mai disponibili per l'infiltrazione da parte di un hacker.
• Monitoraggio della conformità: Stabilisce politiche basate su regole che ricercano RegEx e parole chiave quasi in tempo reale, per una conformità 24 ore su 24.
• Creare una cultura della protezione dei dati: Istruisca frequentemente i dipendenti su quali sono le informazioni appropriate da condividere in Slack e rafforzi la formazione con un coaching automatico in tempo reale quando vengono rilevate violazioni delle policy.
• Creare un registro di audit con backup: Mantenere un archivio immutabile delle conversazioni degli utenti di Slack, comprese le revisioni e le eliminazioni, in modo da avere sempre una supervisione del quadro generale.
• Avere gli strumenti giusti per il lavoro: Impieghi un programma di ricerca federata in grado di far emergere rapidamente i messaggi Slack e di filtrare in base a più parametri per aumentare la rilevanza e accelerare l'eDiscovery.
• Comprendere le sue vulnerabilità: Utilizza l'analisi AI con l'elaborazione del linguaggio naturale per identificare la tossicità e il sentimento negativo che possono indicare aree di maggior rischio.
• Utilizzi l'identificazione a 2 fattori: La verifica del login da parte degli utenti garantisce che un hacker non possa accedere all'ambiente di lavoro, anche se la password dell'utente viene compromessa.
• Utilizzi la verifica dell'e-mail e del dominio: La verifica di e-mail e domini prima di concedere agli utenti l'accesso agli spazi di lavoro è un altro modo per confermare la loro identità. È particolarmente utile contro gli attacchi di phishing.
• Implementare la sicurezza del single sign-on: faccia in modo che gli utenti verifichino il loro login attraverso un identity provider centralizzato come Azure Active Directory o Okta. In questo modo si elimina la complicazione di destreggiarsi con le password, cosa che i dipendenti preferiscono.
• Fornisca account ospiti Slack: Quando lavora con appaltatori esterni o partner temporanei, l'accesso come ospite consente agli amministratori di controllare facilmente le autorizzazioni. È anche facile rimuovere l'accantonamento al termine del progetto.
• Limitare la durata delle sessioni: Disconnette automaticamente gli utenti Slack inattivi, in modo che le interfacce Slack non presidiate abbiano meno probabilità di essere disponibili per utenti non autorizzati.
• Disattivi i vecchi account: Esamini regolarmente gli account per assicurarsi che il registro degli utenti attuali sia aggiornato. La revoca dell'accesso agli account inattivi riduce il rischio di accesso non autorizzato a coloro che non dovrebbero più averlo.
• Limitare i bot e le app di Slack: controlli attentamente le terze parti che hanno accesso a Slack. Conceda l'accesso solo ai miglioramenti fidati e necessari, e riveda periodicamente le loro autorizzazioni. 

In tutti gli spazi di lavoro Slack, gli amministratori dovrebbero implementare una solida formazione dei dipendenti sulle pratiche di sicurezza, per applicare gli standard di sicurezza dell'organizzazione. I dipendenti sono sia il rischio maggiore che la risorsa più importante di qualsiasi programma di sicurezza e sono in prima linea nella protezione dei dati in Slack.

Come Mimecast Aware rafforza la sicurezza di Slack per salvaguardare i suoi dati

• Controlli di privacy e conformità integrati per Slack
• Potente ricerca federata dei dati di conversazione nel contesto
• Controllo granulare dei dati in base al ruolo, al gruppo, al canale, alla posizione e altro ancora.
• Aderenza alla compliance e analisi comportamentale in tempo reale 

La piattaforma di business intelligence di Mimecast è una soluzione di conformità e sicurezza leader del settore per Slack e GovSlack. Mimecast Aware consente alle aziende di proteggere i dati sensibili e riservati in Slack e di mitigare i rischi principali nei dataset di collaborazione. 

Utilizzando l'integrazione Mimecast Aware per Slack, le organizzazioni possono evitare multe e sanzioni costose, implementando l'aderenza alla conformità in tempo reale e la moderazione che protegge i dati nell'ambiente Slack.

Questo cliente Aware ha fatto proprio questo. Con le assunzioni stagionali che hanno meno dimestichezza con le violazioni del Fair Credit Reporting Act, questa azienda tecnologica aveva bisogno di una soluzione che coprisse Slack insieme alla conformità delle e-mail esistenti. Aware li ha aiutati a sviluppare politiche e avvisi in tempo reale per le condivisioni di PII all'interno di Slack. Gli avvisi automatici fanno risparmiare tempo e riducono il rischio di multe e azioni normative.

Utilizza l'intelligenza artificiale e l'apprendimento automatico, insieme all'elaborazione del linguaggio naturale migliore della categoria, per rilevare le violazioni delle politiche in tempo quasi reale. Affronta i problemi di sicurezza da ogni punto di vista, automatizzando la rimozione della condivisione di informazioni non autorizzate, notificando le parti interessate e istruendo i dipendenti nel momento in cui viene rilevata una violazione. E diventare proattivi per quanto riguarda il rilevamento delle minacce e la conformità dei dati, implementando le rivoluzionarie analisi del sentiment che identificano le sacche di negatività o di tossicità all'interno dell'azienda.