63
世道越来越艰辛,觅食都要以“团伙”为单位。连恐怖分子搞暴恐袭击都玩多点协同。
从某业内段子手的吐槽来看,主打团队之间协作的企业聊天协作工具在2015年大火是有理可循的。钉钉、今目标、纷享销客、iWork365等等类似平台都在以各自的姿势强势插入这个领域。不过,有人的地方就有秘密;特别是人多的地方,秘密总是多到无处容身。
其实只要不在其中宣布出柜,这种“性冷淡”的内部协作平台是没有什么“你懂的”秘密的。不过换一个角度来看:身处组织,最重要的秘密大概就是满载真金白银的“组织机密”,泄露组织机密一向是为我党所不容的。
讲真,如果使用协作平台的大公司组织架构图和高管聊天内容这些敏感的信息全部被某黑客窃取,那么他发家致富一定不是梦,出任CEO,迎娶白富美,香艳的人生即将起航。各大平台的安全负责人的主要职责就是不让上述事件发生。那么这些知名的协作平台在“保密工作”方面都用上了哪些“黑科技”呢?
【iWork365中被打上水印的通知】
发出“宏愿”让员工365天都爱工作的“iWork365”是建立在微信企业号平台之上的,所以在安全方面天生标配了腾讯的诸多黑科技。iWork365的CTO杨明给了雷锋网展示了这张截图,员工无论是浏览本公司组织架构,还是查看聊天记录或公告,机主的用户名都会显眼地“乱入”在背景中。这样一来,“手痒”想截屏分享的童鞋就会心头一颤、若有所悟。这就是他们对付“截屏党”的杀手锏之一。阿里巴巴旗下钉钉团队的安全负责人迦卢告诉雷锋网,在最新版本的钉钉中,同样引入了人名水印功能。看来这个黑科技有成为行业标配的潜力。
当然,人心叵测。从科学的角度上讲,要想阻止一个人把他的所见分享给第三者,是不可能实现的。这种“把泄密者拉下水”的做法只是提高了泄密的成本。
【坊间流传阿里的童鞋用钉钉的“澡堂模式”出柜】
为了进一步防“猪队友”,今年早些时候,有来往团队背景的钉钉搞出了一个“脱光衣服”聊天的激进功能——澡堂模式。其实如此惊悚的名字背后,就是一个阅后即焚的功能。这个在约X软件中常用的功能为什么会被引入商务平台呢?迦卢阐述了一个逻辑:“比如投标报价、或者商务谈判的重要信息,往往不想让对方留下证据,这种情况下就可以在澡堂模式中沟通。”在澡堂模式中对话双方幻化为红蓝两方,周遭氤氲着各类马赛克。在澡堂模式中,信息不可复制而且是阅后即焚的。如果你说的话是重要机密,例如你的出柜宣言,那么对方很难把你说过这话的证据留存下来。当然,如果对方截图之后再用PS把马赛克“修复”成你的头像,或者对方直接拿一台摄像机对准自己的手机,那么。。。。他赢了。纷享销客CTO林松介绍,纷享销客也做了类似的功能,只不过没有阅后即焚这么激进,而是允许用户进行撤回、删除消息等操作。
无论如何,上述厂商的做法还是在一定程度上增大了泄密的难度,因为大部分聊天参与者的信息泄露是没有计划性的,而且很多敏感消息被扩散仅仅是无心之举。只不过在实际应用中有究竟有多少人会选择线上沟通如此敏感的信息,还没有具体的数据支持。杨明表示,iWork365的团队就觉得在企业内部平台上加载阅后即焚比较怪异。不过这显然是从产品格调的角度考量。而今目标副总裁霍文旌表示,他们在内部讨论,认为这项功能还是有必要的,只是目前还没有开发计划。
鉴于以上两种方法都没办法彻底杜绝信息的泄露,那么只能使出杀手锏了——根本不让无关的人看到“敏感”的信息。比如每个人的联系电话,在钉钉中就是可以被设置隐藏的。但是钉钉却仍然允许用户通过运营商网络给同事打电话。为了隐匿掉对方的电话号,这种通话请求采取了一种回拨的技术:
比如A想打电话给B,会接到一个回拨电话,通过接听这个回拨电话实现和对方的通话。在这样一个过程中,A的电话会暴露给B,而B的电话会向A隐藏。也就是说,即使你有权限给公司大BOSS打电话,你也是无法知道他的电话号码的。
同样,组织架构其实也是企业的重大“秘密”。比如研发部、董事会的人员设置。这样的情况,有一种比较简单的解,那就是组织架构可以设置对一般员工部分隐身。管理员可以通过设置实现,只有少数高管可以看到完整的企业架构。而一般的员工只能看到和自己有业务联系的部门。即使是使用搜索页无法搜到公司里的“隐身人”,除非有人介绍你和“隐身人”认识,并且通过钉钉把他的名片发送给你,才可以建立好友关系。
当然,偷窃企业信息最大的可能性来自于商业对手,或可以从商业对手那里获得好处的机构。他们需要盗取核心的数据,例如董事会讨论战略部署的内容、经理对下属部署投标报价,还有董事长叫美女秘书来办公室述职的命令。。。这些信息本来就是非常私密的交流,通过买通普通员工并没有办法获得这类聊天记录。于是利用黑客技术潜入服务器系统是一种最为理智的选择。所以,接下来的战场转移到了技术攻防。
IM系统的安全防护有简单的地方,是因为聊天记录以静态的形式存储。对于静态资料,国际上有一种通用的成熟解决方案,那就是密文存储。通过密码学的方式把数据加密,再把破译密文的密钥存储到安全的地方。理论上在得不到密钥的情况下, 对数据进行暴力破解,即使破解成功也是“山无棱天地合”的时代了。
【密文存储逻辑示意图】
密文存储、传输链路加密目前看来已经成为了主流企业办公平台的标配。但是整个系统仍然存在一个巨大的短板。以钉钉为例:对于密文,是没有办法实现搜索和好友推荐等功能的,所以钉钉对于存储在服务器上的企业通讯录和聊天记录是存在解密状态的。而这个解密状态,恰恰是数据最脆弱的时候。
这时数据面临的黑客威胁会陡然增加。由于钉钉身处阿里云之上,所以有关阿里云的所有安全防护固然是全部加身。这个时候,阿里云的安全性,就等同于钉钉的安全性了。为了超越阿里云的通用安全级别,迦卢在云盾等通用防护的基础上增加了专有防护。钉钉安全团队正是在维护这个专有防护体系。
我们根据用户的行为来分析请求是否合法。比如一个用户在短时间内进行了大量的访问通讯录的请求,那么这一定是异常的。
然而,迦卢说钉钉运行以来并没有发现恶意的进攻,他承认“关键是无利可图。”可以猜测:根据目前钉钉的发展状态,也许黑客还不认为上面的公司有被攻击的价值。对于迦卢来说,没人进攻也许不是好事。因为他得不到进攻的行为模式,进而改进自身的防护策略。不过,他表示针对正常的访问行为做研究,也是可以让防御策略进步的。况且团队内部经常玩一种自己对自己做攻击实验,除此之外阿里巴巴集团的安全部也会凶残地对钉钉进行不预先通知的攻击。“还好目前为止没有发现大的漏洞,小的问题是会出现的。”他说。
自证清白可能是世界上最烧脑的事情之一了。所有此类SaaS平台都要面对一个终极问题,那就是如何说服用户:“我们通过严格的内控制度,保证自身不会碰客户的数据资产”
【今目标的特色功能】
霍文旌向雷锋网介绍,今目标由于使用了分布式存储系统,因此理论上运维人员并不能直接从IDC机房获取到用户的原始数据。“而对于整合后的数据,工作人员需要得到授权,并且层层审批,才能得到指定的部分数据。”而钉钉采取了中规中矩,但是颇有成效的方法——第三方认证。这里的第三方认证就是ISO27001标准。这是国际认可的信息安全管理标准,大意是从人员管理流程和工作流程方面规范数据的利用。业内人士透露,腾讯企业号平台同样采用了第三方认证的方式,不过腾讯官方从未对外公布。iWork365能够拿下一些要求严苛的大企业,和第三方认证的背书是分不开的。
无论是否申请第三方认证,几大平台均向雷锋网拍胸脯保证他们拥有严格的内控制度。纷享销客的CTO林松说:
纷享销客对于线上用户数据的保密是非常看重的。普通研发人员是没有权限访问的。对线上数据的访问会根据原因,例如客户提出的需求,经过严格的审批由专人操作。
除此之外,还有一个让安全团队最为“头疼”的问题。那就是接入平台的第三方服务。
无论是今目标还是钉钉,都在以可以接入第三方的“财务系统”“办公系统”为卖点。这种三方服务以ISV(独立软件开发商)的形式接入平台,利用平台提供的接口进行数据交流。平台对于接入的服务有一些基本的安全策略,例如纷享销客会对应用调用的接口进行安全认证,对调用发起IP和频次进行限制等。并且提供了一个完整的开发平台,在很大程度上对开发者的开发流程做了规定。
不过对于钉钉来说,主打开放平台的初衷让他们并不想对第三方服务做出过多的限制。所以第三方服务本身的存储、传输、用户数据保护等一系列工作,平台是无法深度干预的。从这一点上来说,接口是容易失控的。迦卢的一番话反映出了钉钉在安全性上的究极痛点:
我不可能让所有的开发商都在我提供的构架上开发,那样的话就失去了开放的价值。但是同时,我还要尽可能地保证它们的安全。
他的话道尽了所有友商的辛酸。所有有关安全的策略最后都会面临同一个问题,那就是足够安全和足够方便。当然平台可以根据自身的经验给开发者提供建议,比如钉钉会建议开发者使用阿里云盾。但是,强势的“东家”一定会丧失好佃户。无论是店大欺客还是客大欺店,都是妥协,所有人都试图在其中找到精妙的平衡。用情怀者的话来说,每个好的产品本质上都是一个好的妥协。
虽说企业协作平台在幕后拼了命研发“黑科技”来提高安全防护水平,但同时这些大牛们也同时承认:这个世界上不存在绝对的安全。如果对方用巨大的能量来偷窥,那么防御的力量无疑也要增大。说到底,在大量真金白银的信息财富聚集到平台之前,一切攻防战争都是假想。目前来看,在通用安全的状况下,一个聊天App能做的也许只有这么多。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
