Læs nogle cybersikkerhedsoverskrifter, og du vil bemærke en tendens: De involverer i stigende grad forretningsapplikationer.
For eksempel e-mail-værktøjet MailChimp siger, at ubudne gæster brød ind på deres kundekonti via et "internt værktøj." Marketing automation software HubSpot blev infiltreret. Corporate password wallet Okta blev kompromitteret. Projektstyringsværktøj Jira lavet en opdatering, der ved et uheld afslørede private oplysninger fra klienter som Google og NASA.
Dette er en af cybersikkerhedens nyeste fronter: dine interne værktøjer.
Det er kun logisk, at ondsindede aktører ville trænge sig på her næste gang, eller at medarbejdere ved et uheld ville lade døre stå åbne. Den gennemsnitlige organisation har nu 843 SaaS-applikationer og er i stigende grad afhængig af dem til at drive sine kerneaktiviteter. Jeg var nysgerrig efter, hvad administratorer kan gøre for at holde disse apps sikre, så jeg interviewede en gammel kollega, Misha Seltzer, en CTO og medstifter af Atmosec, som arbejder i dette område.
Hvorfor forretningsapplikationer er særligt sårbare
Brugerne af forretningsapplikationer har en tendens til ikke at tænke på sikkerhed og overholdelse. Dels fordi det ikke er deres job, siger Misha. De har allerede meget travlt. Og dels skyldes det, at disse teams forsøger at købe deres systemer uden for IT-området.
I mellemtiden er selve apps designet til at være nemme at starte og integrere. Du kan starte mange af dem uden et kreditkort. Og brugere kan ofte integrere denne software med nogle af deres mest vitale registreringssystemer som CRM, ERP, supportsystem og Human Capital Management (HCM) med så lidt som et klik.
Dette gælder for de fleste apps, der tilbydes i de store leverandørers app-butikker. Misha påpeger, at Salesforce-brugere kan "tilslut" en app fra Salesforce AppExchange uden egentlig at installere det. Det betyder, at der ikke er nogen kontrol, det kan få adgang til dine kundedata, og dets aktiviteter logges under brugerprofilen, hvilket gør det svært at spore.
Så det er det første problem. Det er meget nemt at forbinde nye, potentielt usikre apps til dine kerne-apps. Det andet problem er, at de fleste af disse systemer ikke er designet til, at administratorer kan observere, hvad der foregår i dem.
For eksempel:
- Salesforce tilbyder mange vidunderlige DevOps-værktøjer, men ingen indbygget måde at spore integrerede apps, udvide API-nøgler eller sammenligne organisationer for at opdage mistænkelige ændringer.
- NetSuites changelog giver ikke detaljer om, hvem der ændrede hvad - kun at noget ændrede sig, hvilket gjorde det vanskeligt at revidere.
- Jira's changelog er lige så sparsom, og Jira er ofte integreret med Zendesk, PagerDuty og Slack, som indeholder følsomme data.
Dette gør det svært at vide, hvad der er konfigureret, hvilke applikationer der har adgang til hvilke data, og hvem der har været i dine systemer.
Hvad du kan gøre ved det
Det bedste forsvar er et automatisk forsvar, siger Misha, så tal med dit cybersikkerhedsteam om, hvordan de kan rulle overvågning af dine forretningsapplikationer ind i deres eksisterende planer. Men for fuldstændig bevidsthed og dækning vil de også have brug for dybere indsigt i, hvad der sker inden for og mellem disse applikationer, end hvad disse værktøjer naturligt giver. Du skal bygge eller købe værktøjer, der kan hjælpe dig:
- Identificer dine risici: Du skal have mulighed for at se alt, hvad der er konfigureret i hver applikation, for at gemme snapshots i tide og sammenligne disse snapshots. Hvis et værktøj kan fortælle dig forskellen mellem gårsdagens konfiguration og dagens, kan du se, hvem der har gjort hvad - og opdage indtrængen eller potentialet for indtrængen.
- Undersøg, overvåg og analyser for sårbarheder: Du har brug for en måde at indstille advarsler for ændringer af dine mest følsomme konfigurationer. Disse bliver nødt til at gå ud over traditionelle SaaS Security Posture Management (SSPM) værktøjer, som har tendens til kun at overvåge én applikation ad gangen eller kun give rutinemæssige anbefalinger. Hvis noget forbinder til Salesforce eller Zendesk og ændrer en vigtig arbejdsgang, skal du vide det.
- Udarbejd en responsplan: Adopter et Git-lignende værktøj, der giver dig mulighed for at "udgave” dine forretningsapplikationer til at gemme tidligere tilstande, som du derefter kan vende tilbage til. Det vil ikke rette enhver indtrængen og kan forårsage, at du mister metadata, men det er en effektiv første linje af afhjælpning.
- Vedligehold din SaaS sikkerhedshygiejne: Overdrag en person på holdet med at holde dine organisationer opdaterede, deaktivere unødvendige brugere og integrationer og sikre, at sikkerhedsindstillinger, der var slået fra, slås til igen - f.eks. hvis nogen deaktiverer kryptering eller TLS for at konfigurere en webhook, skal du kontrollere, at det var genaktiveret.
Hvis du kan sætte alt det sammen, kan du begynde at identificere områder, som ondsindede aktører kan komme ind på - som f.eks gennem Slacks webhooks, som Misha påpeger.
Din rolle i Business System Security
Det er ikke op til administratorer alene at sikre disse systemer, men du kan spille en vigtig rolle i at låse nogle af de åbenlyse åbne døre. Og jo bedre du er i stand til at se ind i disse systemer - en opgave, som de ikke altid er bygget til at tillade - jo bedre vil du vide, hvis nogen hackede en forretningsapplikation.
