01 企业 IM 开启安全新挑战
曾几何时,甲方企业内部的 IT 部门、运维部门或者安全部门,在关于企业内部的信息安全工作的建设上,是有过一段简单而纯粹的幸福时光。搭个局域网,电脑上装上杀毒软件,选装个DLP、上网行为管理、桌面管家,剩下的就是时不时看看后台日志,或者出了事之后回溯下日志,工作大致就交待了。
直到 2013 年,以 IM 形式为切入的国外企业级超级聚合办公平台 Slack 横空出世。国内类似平台阿里巴巴的钉钉,也于 2015 年 1 月份正式上线,后面跟随着腾讯的企业微信(企微),字节跳动的飞书。
(Slack 剧照)
从此以后,国内企业在享受新型沟通协作软件带来的便捷与效率快感的同时,信息安全的梦魇也就此展开,至今仍未得到缓解。安全的影响都在哪些地方呢:
A | 公私融合 | 互联网属性过强,公司与个人账号和数据混杂在一起,数据外泄变得容易 |
| B | 突破内网 | 基于公有云的模式(私有化部署版本除外),打破企业局域网模式 |
| C | 在线文档 | 在线文档瘫痪了文档 DLP 的防御(DLP 确实应该转型了) |
| D | 移动端威胁 | 移动端的安全防护,一直算是企业的真空地带,企业的安全能力还没有从 PC 时代转变过来,IM 移动端甚至是最重要的一侧,企业在安全管控上难以招架 |
当然了,这些新的办公模式是时代的必然,也给企业带来了极大的效率和体验升级。只不过企业的安全建设跟进速度和转型还迟迟无法跟上,于是企业的安全团队就变得极其难过。
02 企业 IM 侵入私人空间
企业内外部需要沟通,IM 并不是新鲜事,国内企业在使用以钉钉为代表的聊天沟通工具之前也有不少其它选择,光是微软就有OC(Office Communicator)、MSN、Skype 等几代产品,国内至少还有个 QQ(适用于中小团队内部,或者一般企业对外沟通场景)。有一定规模和经济实力的企业,还有不少其它商业 IM 的选择。
以钉钉、企微、飞书为代表的新一代办公 IM,开启了信息安全的潘多拉魔盒,而上一代 IM 产品倒还没这些问题。核心点个人认为在于先行者钉钉早期产品定位的摇摆。企业 IM,本是非常明确的定位,上一代产品重点在“企业”一词,但早期的国内版本,重点扑向了 IM,幻想着再造出第二个微信。于是开始在产品设计上,模糊了个人和企业的边界,比如下面列举的部分场景。一个新的产品形态开了这个头,很难不让后来者产生印随的行为。
1、任意添加外部好友:通过个人手机号码搜索,就能任意添加企业外部人士为好友,成为好友后企业内部信息也能在好友之间几乎无碍的流通了,因为可以毫无限制的聊天。
2、添加好友暴露个人隐私:好事者可以亲自尝试一下,通过这些 IM 以及其它任何可以通过手机号添加好友的软件去检索,几乎可以拼凑出人名、大致邮箱、工作单位、性别等个人隐私信息。
3、个人手机号为账号:不用搭配专用的企业账号,个人手机号动态验证码任意登录。
4、私人网盘方便数据备份:自动把群文档归档到搭配的网盘,还贴心地让企业网盘和个人网盘共存。
5、离职员工数据回收不全:员工离职后,残留在个人网盘,外部聊天记录的数据无法回收(比如和客户的聊天记录)或者回收不全(没有这个功能或者历史版本差异问题),导致数据直接流失。
国内目前主流的企业 IM,均出自互联网巨头,互联网的基因决定了其产品互联网的属性,灵活、便捷,安全很多时候反而是一种自我限制,产品在安全设计上的缺位就显得明显了。
不过刚说完这句话我就后悔了,因为对标国外的类似产品,其出身无不也是出自科技巨头(微软,谷歌)或者年轻的互联网基因团队。而国外产品在安全的考虑上要明显优于国内产品。
03 国外企业 IM Slack 的安全设计
以 Slack 为代表的国外 IM,对于企业信息安全的冲击并未因为其新式的产品形态而带来额外冲击,甚至并没有冲击。
单从账号层面的管理原则就可见差异。Slack 一如既往以邮箱为个人账号,在企业角度邮箱是较为友好的信息化管理手段(公司一般都会给员工配置专属的工作邮箱账号,而非个人邮箱账号),同时在添加好友方面,有较为完整的管理手段,如下图,通过管理员审核的形式,避免了任意添加外部人士为好友的可能。
从这样的设计原则不难看出,一个真正站在企业角度去设计的产品,和一个站在个人角度去设计的产品,从一开始走向就不一样了。
为了同下面国内企业 IM 的安全能力有个直观比较,这里列举一下 Slack 的安全能力。
| 分类 | Slack | 应用场景 | |
|---|---|---|---|
| 版本号 | 4.32.127 | 企业统一账号单点登录 | |
账号安全 | 企业SSO | 收费 | 企业统一账号单点登录 |
| 密码规则 | 收费 | 密码复杂度要求 | |
| 二次验证 | 免费 | 账密之外的二次身份验证,比如短信和MFA | |
| 加密 | 数据加密 | 免费 | 加密聊天数据 |
| 开放生态 | 服务市场 | 收费 | 服务市场集成第三方安全应用,与企业移动性管理 (EMM) 、DLP 集成 |
| 合规支持 | 隐私合规 | 收费 | HIPAA 等隐私合规支持 |
04 国内企业 IM 安全能力对比
根据公开的信息,我整理了一份国内三大 IM 的安全能力盘点,汇聚到下面的表格里。需要特别说明的是,这里面并未完全包含各个产品所有的安全能力,尤其是权限管控类的能力在下面表格未有列出,因为关于设置成员能看什么,访问什么的权限类能力过于细致,且各家未有太大差异,就不单独列出来了。
排名不分先后,仅仅是按产品问世的时间线排序而已,请莫要过多联想。
| 分类 | 钉钉 | 企微 | 飞书 | 应用场景 | |
|---|---|---|---|---|---|
| 版本号 | 7.0.30 | 4.1.6 | 6.6.6 | ||
账号安全 | 企业SSO | - | - | 收费 | 企业统一账号单点登录 |
| 密码规则 | - | - | 收费 | 密码复杂度要求 | |
| 二次验证 | - | 免费 | 收费 | 账密之外的二次身份验证,比如短信和MFA | |
| 登录有效期 | - | - | 收费 | 强制定期重新登录 | |
终端安全 | 设备管理 | 收费 | 收费 | 收费 | 设备盘点和强制下线 |
| 移动端加密 | 收费 | 收费 | 收费 | 缓存数据加密 | |
| 粘贴保护 | - | - | 收费 | 特定办公应用之间才能相互拷贝粘贴数据,不是简单的禁止拷贝功能 | |
| 录屏防护 | 收费 | - | 收费 | 防止录屏软件记录 IM 操作 | |
| 文件安全检测 | 收费 | 免费 | 收费 | 检测 IM 内传输文件是否为病毒木马,或者含有敏感数据 | |
| 可信设备 | - | 收费 | - | 文件仅能被下载到可信设备上 | |
访问权限 | 准入访问 | - | 收费 | 收费 | 特定终端环境和网络才允许登录 |
| IP 限制 | - | 收费 | 收费 | 只能通过特定 IP 网段才能登录 | |
| 应用网关 | 收费 | - | - | 零信任访问,办公应用访问安全 | |
数据保护 | 分类分级 | - | - | 收费 | 针对记录下来的文档进行数据分类打标签 |
| 数字水印 | 收费 | 免费 | 收费 | 聊天窗口水印,或者文档水印 | |
| 暗水印 | - | 收费 | - | 通过解析泄密图片,追踪泄密人员信息及操作时间 | |
| 敏感词过滤 | - | 收费 | 收费 | 聊天内容是否含有敏感内容,如黄暴恐政治等话题 | |
| DLP | - | 收费 | 收费 | 检测文件外泄行为 | |
加密 | 密钥管理 | 收费 | - | 收费 | 数据加密密钥管理 |
| 数据加密 | 收费 | 免费 | 收费 | 加密聊天记录 | |
| 高管保护 | 防打扰 | 收费 | - | - | 防打扰,防ding,防资料外泄 |
| 开放生态 | 服务市场 | 收费 | 收费 | - | 服务市场集成第三方安全应用 |
| 合规支持 | 隐私合规 | - | - | - | 各国家地域隐私合规支持 |
注:由于本人并无以上所有 IM 的各个收费版本权限,所列内容恐有遗漏或不准确之处,如若读者有发现请务必告知更正,不甚感谢。
整理完该表格后,着实扭转了本人之前关于三个产品的一些刻板影响,同时也加深了对三家企业不同特色文化的感受。
创新的飞书,创新的字节跳动
北京字节跳动成立于2012年3月,旗下活跃着今日头条、抖音、TikTok、飞书等在各个领域极具代表性的产品。公司仅仅花了6年时间就成为了估值750亿美元的独角兽,如此神话故事的背后,离不开企业不断追求卓越和创新的精神。
创新最简单的解释,就是做别人没做或者不愿意做的事。从上面的表格可以看得出来,飞书在安全上的投入和开放出来的能力,在三者前列。
曾经看到过国外咨询机构对于企业数据安全建设的建议是,“不要比竞争对手做得少,但也不要比竞争对手做得多”。大部分产品也是遵循这样的原则,都在账号、权限、审计上强调自身在数据安全建设上的合格性,可见飞书还是愿意打破常规,真的愿意站在客户角度,去思考创新,并为之投入。不足之处在于,所有额外的安全能力都是收费功能。
开放的企微,坦然的腾讯
表格中绿色的“免费”字样,只落在了企业微信的身上。在所有那些除了权限和审计以外的基本安全能力之外,只有企微免费开放了不少的安全功能给企业客户使用。如同二次验证、数字水印、数据加密,都是企业无比需要且务实的安全功能。
不仅有免费的安全能力,企微还开放了一定的数据接口,供企业或者第三方安全公司用于进行定制化的安全能力自主建设,比如下面的文件泄露检测开放接口。
企业微信虽然晚于钉钉,但其应用服务市场亦有安全厂商入住:
无论从投资生态,产品开放程度上都可见到腾讯早已不是那个 3Q 大战之前的封闭大哥了。
占得先机的钉钉,服务市场的探索者
原本刻板以为钉钉作为国内最早,用户最广泛的 IM,在安全能力上应该也不少,但如同表格所列在三家中并不占有优势。最为有特色的还是钉钉构建了非常丰富和活跃的服务商生态,通过钉钉开放出去的 API 接口,由第三方服务商来为企业打造更多的服务,这是钉钉一大优势,其中涉及到安全的有下面这几种产品。
05 创新的安全功能
钉钉的应用安全网关
钉钉自身提供的安全功能,比较有特色的就是这个应用网关,扮演的角色就是近年来比较为安全津津乐道的零信任 SASE,用以安全访问内网应用。
但是这样的产品构建在钉钉之上,会有些许的别扭。如果是第三方应用,比如企业使用的是钉钉应用市场的某个 CRM 应用,这样的安全能力让企业买单是无论如何也说不过去的,如果发生任何应用本身的网络安全问题,责任一定是第三方应用或者钉钉本身,企业没有理由去关心这个问题。
如果是针对企业内部的办公系统,要在外网访问,但这些系统又没接入钉钉,那企业直接采用第三方更为专业的 VPN 产品就好了,从钉钉这去绕一道,会显得多此一举。
企业微信的可信设备
可信设备管理,是个说起来简单,但是做好却极不容易的事情,做好了能发挥的实用价值亦是极其大。企业依托于可信设备的功能,能非常有效地规避很多数据泄露的风险。
好的设备管理能力,依赖于对设备唯一性的鉴别。程序如何唯一识别一台机器并不简单,随着终端设备数量的增长,必然遇到不同设备被鉴别为同一设备,同一设备 ID 变换为新的 ID 的问题。这样的情况给员工带来的是体验问题,企业运维成本的上升,安全产品客服和技术支持压力的增长。
飞书的数据粘贴保护
这是一个极具创新的能力,目前除了在一些安全办公空间类产品可见外(比如我自家的 数影星球 - 下一代数字办公空间,帮助企业降本增效、安全办公),这是第一个出现在 IM 里的能力。可限制成员将飞书内的信息粘贴到飞书以外的应用,保护企业数据,防止信息泄露。尤其是现在企业内部系统几乎都是 Web 应用,数据可以直接被 Ctrl+V 出去,防护效果显著。
有人会质疑这功能可能会比较鸡肋。会这么想的还是思维还停留在 PC 办公时代,以终端文档管控为主的时代。殊不知移动互联网之后,企业的办公应用大多都已经转变为 SaaS 化的应用或者说 Web 化的应用,尤其在科技型的企业内,数据都以结构化的形式存在应用内,而不是躺在电脑磁盘上的文件里。数据泄露更常见的场景不再是文档外发,而是数据从内网站点直接复制拷贝到外网站点,如各类外部的云笔记、云文档产品。
粘贴复制管控的功能,极具实用价值。
06 办公应用的数据安全责任,并不用完全落在应用自身肩上
俗话说术业有专攻,隔行如隔山。应用开发者最擅长的还是为用户提供好用的业务功能,用于提升客户效率和体验。安全相对专业,应用型的开发者和产品经理很难具备专业安全的素养,作为平台类的构建者或许参考国外同行的经验,尽量开放接口,扶植第三方安全产品,于客户和平台自身的投入产出比来说才是最为划算的。
07 对国内企业 IM 的安全建议
除了建议如同企微的开放心态之外,较为实用一点有助于企业信息安全诉求的就提一点吧。
作为一个企业级的应用,能不能首先支持企业邮箱注册与登录?
声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
