Wenn Sie einige Schlagzeilen zum Thema Cybersicherheit lesen, werden Sie einen Trend bemerken: Sie betreffen zunehmend Geschäftsanwendungen.
Zum Beispiel das E-Mail-Tool Mailchimp sagt, Eindringlinge seien über ein „internes Tool“ in seine Kundenkonten eingebrochen. Marketing-Automatisierungssoftware HubSpot wurde eingeschleust. Firmenpasswort-Wallet Okta wurde kompromittiert. Projektmanagement-Tool Jira hat ein Update durchgeführt, das versehentlich die privaten Informationen von Kunden wie Google und der NASA offengelegt hat.
Dies ist eine der neuesten Fronten der Cybersicherheit: Ihre internen Tools.
Es ist nur logisch, dass hier als nächstes böswillige Akteure eingreifen oder dass Mitarbeiter versehentlich Türen offen lassen. Die durchschnittliche Organisation hat jetzt 843 SaaS-Anwendungen und verlässt sich bei der Abwicklung seiner Kerngeschäfte zunehmend auf sie. Ich war neugierig, was Administratoren tun können, um diese Apps sicher zu halten, also habe ich einen alten Kollegen interviewt, Misha Seltzer, einen CTO und Mitbegründer von Atmosec, der in diesem Bereich arbeitet.
Warum Geschäftsanwendungen besonders anfällig sind
Die Benutzer von Geschäftsanwendungen neigen dazu, nicht an Sicherheit zu denken und Compliance. Teilweise, weil das nicht ihre Aufgabe sei, sagt Mischa. Sie sind schon sehr beschäftigt. Und das liegt zum Teil daran, dass diese Teams versuchen, ihre Systeme außerhalb des Zuständigkeitsbereichs der IT zu erwerben.
Die Apps selbst sind hingegen so konzipiert, dass sie einfach zu starten und zu integrieren sind. Viele davon können Sie ohne Kreditkarte starten. Und Benutzer können diese Software häufig mit nur einem Klick in einige ihrer wichtigsten Aufzeichnungssysteme wie CRM, ERP, Supportsystem und Human Capital Management (HCM) integrieren.
Dies gilt für die meisten Apps, die in den App-Stores dieser großen Anbieter angeboten werden. Misha weist darauf hin, dass Salesforce-Benutzer dies können Eine App „verbinden“. aus dem Salesforce AppExchange ohne es tatsächlich zu installieren. Das bedeutet, dass es keine Kontrolle gibt, auf Ihre Kundendaten zugreifen kann und seine Aktivitäten im Benutzerprofil protokolliert werden, was eine Nachverfolgung erschwert.
Das ist also das erste Problem. Es ist sehr einfach, neue, potenziell unsichere Apps mit Ihren Kern-Apps zu verbinden. Das zweite Problem besteht darin, dass die meisten dieser Systeme nicht dafür konzipiert sind, dass Administratoren beobachten können, was in ihnen vorgeht.
Beispielsweise:
- Salesforce bietet viele wunderbare DevOps-Tools, aber keine native Möglichkeit, integrierte Apps zu verfolgen, API-Schlüssel zu erweitern oder Organisationen zu vergleichen, um verdächtige Änderungen zu erkennen.
- NetSuites Changelog liefert keine Details darüber, wer was geändert hat – nur zur Verbesserung der Gesundheitsgerechtigkeit Etwas hat sich geändert, was die Prüfung erschwert.
- Jira's Changelog ist ebenso spärlich und Jira ist oft in Zendesk, PagerDuty und Slack integriert, die sensible Daten enthalten.
Dadurch ist es schwierig zu wissen, was konfiguriert ist, welche Anwendungen Zugriff auf welche Daten haben und wer sich in Ihren Systemen aufgehalten hat.
Was Sie dagegen tun können
Die beste Verteidigung ist eine automatische Verteidigung, sagt Misha. Sprechen Sie also mit Ihrem Cybersicherheitsteam darüber, wie es die Überwachung Ihrer Geschäftsanwendungen in seine bestehenden Pläne integrieren kann. Aber für eine umfassende Aufklärung und Abdeckung benötigen auch sie einen tieferen Einblick in das, was innerhalb und zwischen diesen Anwendungen geschieht, als diese Tools nativ bieten. Sie müssen Tools entwickeln oder kaufen, die Ihnen dabei helfen können:
- Identifizieren Sie Ihre Risiken: Sie benötigen die Möglichkeit, alles anzuzeigen, was in jeder Anwendung konfiguriert ist, Snapshots rechtzeitig zu speichern und diese Snapshots zu vergleichen. Wenn ein Tool Ihnen den Unterschied zwischen der gestrigen und der heutigen Konfiguration erkennen kann, können Sie sehen, wer was getan hat – und Eindringlinge oder das Potenzial für Eindringlinge erkennen.
- Untersuchen, überwachen und analysieren Sie auf Schwachstellen: Sie benötigen eine Möglichkeit, Benachrichtigungen für Änderungen an Ihren sensibelsten Konfigurationen einzurichten. Diese müssen über die herkömmlichen SSPM-Tools (SaaS Security Posture Management) hinausgehen, die in der Regel jeweils nur eine Anwendung überwachen oder nur Routineempfehlungen geben. Wenn etwas eine Verbindung zu Salesforce oder Zendesk herstellt und einen wichtigen Arbeitsablauf verändert, müssen Sie es wissen.
- Entwickeln Sie einen Reaktionsplan: Nutzen Sie ein Git-ähnliches Tool, mit dem Sie „Version” Ihre Geschäftsanwendungen, um frühere Zustände zu speichern, zu denen Sie dann zurückkehren können. Es behebt nicht jeden Einbruch und kann zum Verlust von Metadaten führen, aber es ist eine wirksame erste Abhilfemaßnahme.
- Halten Sie Ihre SaaS-Sicherheitshygiene aufrecht: Beauftragen Sie jemanden im Team damit, Ihre Organisationen auf dem neuesten Stand zu halten, unnötige Benutzer und Integrationen zu deaktivieren und sicherzustellen, dass deaktivierte Sicherheitseinstellungen wieder aktiviert werden. Wenn beispielsweise jemand die Verschlüsselung oder TLS deaktiviert, um einen Webhook zu konfigurieren, überprüfen Sie, ob dies der Fall war wieder aktiviert.
Wenn Sie das alles zusammenfassen, können Sie damit beginnen, Bereiche zu identifizieren, in die böswillige Akteure eindringen könnten – wie z über die Webhooks von Slack, wie Mischa betont.
Ihre Rolle bei der Sicherheit von Unternehmenssystemen
Es liegt nicht allein an den Administratoren, diese Systeme zu sichern, aber Sie können eine wichtige Rolle dabei spielen, einige der offensichtlich offenen Türen zu schließen. Und je besser Sie einen Einblick in diese Systeme haben – eine Aufgabe, für die sie nicht immer nativ ausgelegt sind –, desto besser wissen Sie, ob jemand eine Geschäftsanwendung gehackt hat.
