The Great BizApp Hack: Cyber-Risks in your Everyday Business Applications

Διαβάστε μερικούς τίτλους για την ασφάλεια στον κυβερνοχώρο και θα παρατηρήσετε μια τάση: Περιλαμβάνουν όλο και περισσότερο επιχειρηματικές εφαρμογές.

Για παράδειγμα, το εργαλείο ηλεκτρονικού ταχυδρομείου MailChimp λέει ότι εισβολείς εισέβαλαν στους λογαριασμούς των πελατών της μέσω ενός «εσωτερικού εργαλείου». Λογισμικό αυτοματισμού μάρκετινγκ HubSpot διείσδυσε. Πορτοφόλι εταιρικού κωδικού πρόσβασης Η Okta συμβιβάστηκε. Εργαλείο διαχείρισης έργου JIRA έκανε μια ενημέρωση που αποκάλυψε κατά λάθος τα προσωπικά στοιχεία πελατών όπως η Google και η NASA.

Αυτό είναι ένα από τα νεότερα μέτωπα της κυβερνοασφάλειας: τα εσωτερικά σας εργαλεία.

Είναι λογικό να εισβάλουν εδώ στη συνέχεια κακόβουλοι ηθοποιοί ή οι υπάλληλοι να άφηναν κατά λάθος τις πόρτες ανοιχτές. Ο μέσος οργανισμός έχει πλέον 843 εφαρμογές SaaS και βασίζεται ολοένα και περισσότερο σε αυτούς για την εκτέλεση των βασικών λειτουργιών της. Ήμουν περίεργος για το τι μπορούν να κάνουν οι διαχειριστές για να διατηρήσουν αυτές τις εφαρμογές ασφαλείς, γι' αυτό πήρα συνέντευξη από έναν παλιό συνάδελφο, τον Misha Seltzer, CTO και συνιδρυτή της Atmosec, ο οποίος εργάζεται σε αυτόν τον χώρο.

Γιατί οι επιχειρηματικές εφαρμογές είναι ιδιαίτερα ευάλωτες

Οι χρήστες των επιχειρηματικών εφαρμογών τείνουν να μην σκέφτονται την ασφάλεια και συμμόρφωση. Εν μέρει, επειδή δεν είναι αυτή η δουλειά τους, λέει ο Misha. Είναι ήδη πολύ απασχολημένοι. Και εν μέρει, οφείλεται στο ότι αυτές οι ομάδες προσπαθούν να αγοράσουν τα συστήματά τους εκτός των αρμοδιοτήτων της πληροφορικής.

Εν τω μεταξύ, οι ίδιες οι εφαρμογές έχουν σχεδιαστεί για να είναι εύκολο να ξεκινήσουν και να ενσωματωθούν. Μπορείτε να ξεκινήσετε πολλά από αυτά χωρίς πιστωτική κάρτα. Και οι χρήστες μπορούν συχνά να ενσωματώσουν αυτό το λογισμικό με μερικά από τα πιο ζωτικά συστήματα εγγραφής τους, όπως το CRM, το ERP, το σύστημα υποστήριξης και τη διαχείριση ανθρώπινου κεφαλαίου (HCM) με μόλις ένα κλικ.

Αυτό ισχύει για τις περισσότερες εφαρμογές που προσφέρονται στα καταστήματα εφαρμογών αυτών των μεγάλων προμηθευτών. Ο Misha επισημαίνει ότι οι χρήστες του Salesforce μπορούν «Σύνδεση» μιας εφαρμογής από το Salesforce AppExchange χωρίς να το εγκαταστήσετε πραγματικά. Αυτό σημαίνει ότι δεν υπάρχει έλεγχος, μπορεί να έχει πρόσβαση στα δεδομένα των πελατών σας και οι δραστηριότητές του καταγράφονται στο προφίλ χρήστη, γεγονός που καθιστά δύσκολη την παρακολούθηση.

Λοιπόν, αυτό είναι το πρώτο θέμα. Είναι πολύ εύκολο να συνδέσετε νέες, δυνητικά ανασφαλείς εφαρμογές στις βασικές εφαρμογές σας. Το δεύτερο ζήτημα είναι ότι τα περισσότερα από αυτά τα συστήματα δεν έχουν σχεδιαστεί για να παρατηρούν οι διαχειριστές τι συμβαίνει μέσα τους.

Για παράδειγμα:

• Salesforce προσφέρει πολλά υπέροχα εργαλεία DevOps, αλλά όχι εγγενή τρόπο παρακολούθησης ενσωματωμένων εφαρμογών, επέκτασης κλειδιών API ή σύγκρισης οργανισμών για τον εντοπισμό ύποπτων αλλαγών.
• του NetSuite Το changelog δεν παρέχει λεπτομέρειες σχετικά με το ποιος άλλαξε τι — μόνο ότι κάτι άλλαξε, δυσκολεύοντας τον έλεγχο.
• του Jira Το changelog είναι εξίσου αραιό και το Jira συχνά ενσωματώνεται με τα Zendesk, PagerDuty και Slack, τα οποία περιέχουν ευαίσθητα δεδομένα.

Αυτό καθιστά δύσκολο να γνωρίζετε τι έχει ρυθμιστεί, ποιες εφαρμογές έχουν πρόσβαση σε ποια δεδομένα και ποιος ήταν στα συστήματά σας.

Τι μπορείτε να κάνετε για αυτό

Η καλύτερη άμυνα είναι η αυτόματη άμυνα, λέει ο Misha, οπότε μιλήστε με την ομάδα κυβερνοασφάλειας σχετικά με το πώς μπορούν να εντάξουν την παρακολούθηση των εφαρμογών της επιχείρησής σας στα υπάρχοντα σχέδιά τους. Αλλά για πλήρη επίγνωση και κάλυψη, θα χρειαστούν επίσης βαθύτερη γνώση για το τι συμβαίνει εντός και μεταξύ αυτών των εφαρμογών από ό,τι αυτά τα εργαλεία παρέχουν εγγενώς. Θα χρειαστεί να κατασκευάσετε ή να αγοράσετε εργαλεία που μπορούν να σας βοηθήσουν:

• Προσδιορίστε τους κινδύνους σας: Θα χρειαστείτε τη δυνατότητα να προβάλλετε όλα όσα έχουν ρυθμιστεί σε κάθε εφαρμογή, να αποθηκεύετε έγκαιρα στιγμιότυπα και να συγκρίνετε αυτά τα στιγμιότυπα. Εάν ένα εργαλείο μπορεί να σας πει τη διαφορά μεταξύ της χθεσινής διαμόρφωσης και της σημερινής, μπορείτε να δείτε ποιος έκανε τι — και να εντοπίσετε εισβολές ή την πιθανότητα εισβολών.
• Εξετάστε, παρακολουθήστε και αναλύστε για τρωτά σημεία: Χρειάζεστε έναν τρόπο για να ορίσετε ειδοποιήσεις για αλλαγές στις πιο ευαίσθητες διαμορφώσεις σας. Αυτά θα πρέπει να υπερβαίνουν τα παραδοσιακά εργαλεία διαχείρισης στάσης ασφαλείας SaaS (SSPM), τα οποία τείνουν να παρακολουθούν μόνο μία εφαρμογή κάθε φορά ή να παρέχουν μόνο συστάσεις ρουτίνας. Εάν κάτι συνδέεται με το Salesforce ή το Zendesk και αλλάζει μια σημαντική ροή εργασίας, πρέπει να το μάθετε.
• Αναπτύξτε ένα σχέδιο απόκρισης: Υιοθετήστε ένα εργαλείο που μοιάζει με Git που σας επιτρέπει να "εκδοχή” τις εφαρμογές της επιχείρησής σας για αποθήκευση προηγούμενων καταστάσεων στις οποίες μπορείτε στη συνέχεια να επιστρέψετε. Δεν θα διορθώσει κάθε εισβολή και μπορεί να σας κάνει να χάσετε μεταδεδομένα, αλλά είναι μια αποτελεσματική πρώτη γραμμή αποκατάστασης.
• Διατηρήστε την υγιεινή ασφαλείας SaaS σας: Αντικαταστήστε κάποιον στην ομάδα με την ενημέρωση των οργάνων σας, την απενεργοποίηση των περιττών χρηστών και των ενσωματώσεων και τη διασφάλιση ότι οι ρυθμίσεις ασφαλείας που απενεργοποιήθηκαν ενεργοποιούνται ξανά — π.χ. εάν κάποιος απενεργοποιήσει την κρυπτογράφηση ή το TLS για να διαμορφώσει ένα webhook, ελέγξτε ότι ήταν επανενεργοποιήθηκε.

Εάν μπορείτε να τα συνδυάσετε όλα αυτά μαζί, μπορείτε να αρχίσετε να εντοπίζετε τομείς στους οποίους θα μπορούσαν να εισέλθουν κακόβουλοι παράγοντες — όπως π.χ μέσω των webhook του Slack, όπως επισημαίνει ο Misha.

Ο ρόλος σας στην ασφάλεια του επιχειρηματικού συστήματος

Δεν εξαρτάται μόνο από τους διαχειριστές να ασφαλίσουν αυτά τα συστήματα, αλλά μπορείτε να παίξετε σημαντικό ρόλο στο κλείδωμα ορισμένων από τις προφανείς ανοιχτές πόρτες. Και όσο καλύτερα μπορείτε να δείτε αυτά τα συστήματα - μια αγγαρεία που δεν είναι πάντα εγγενώς κατασκευασμένα για να επιτρέπουν - τόσο καλύτερα θα ξέρετε αν κάποιος παραβίασε μια επιχειρηματική εφαρμογή.