Προσέξτε την πλαστοπροσωπία χρήστη σε εφαρμογές χαμηλού κώδικα/χωρίς κώδικα

Τον περασμένο μήνα έγραψα ένα άρθρο σχετικά με τον τρόπο με τον οποίο οι πλατφόρμες χαμηλού κώδικα/χωρίς κώδικα προσφέρουν κοινή χρήση διαπιστευτηρίων ως υπηρεσία, γιατί το κάνουν και πώς φαίνεται αυτό από προοπτική ενός επιτιθέμενου. Σε αυτό το άρθρο, θα επικεντρωθώ στις επιπτώσεις αυτού του συμβιβασμού και στο πώς επηρεάζει τις επιχειρήσεις σήμερα.

Να γιατί η κοινή χρήση των διαπιστευτηρίων της επιχείρησής σας με κάποιον άλλο είναι κακή πρακτική. Ας πούμε ότι θέλω να δώσω τα διαπιστευτήριά μου σε έναν συνάδελφο για να υποβάλω ερωτήματα στα αρχεία καταγραφής παραγωγής για κάποια μεμονωμένη ανάλυση συμπεριφοράς χρήστη. Σε μια τυπική επιχείρηση, η παραχώρηση αδειών σε κάποιον να αναζητήσει μια νέα πηγή δεδομένων θα μπορούσε να σημαίνει μια μακρά διαδικασία ελέγχου πρόσβασης, ειδικά όταν πρόκειται για παραγωγή ή ευαίσθητα δεδομένα. Ο συνάδελφός μου θα μπορούσε εύκολα να απογοητευτεί. "Το μόνο που ήθελα είναι να κάνω αυτό το μικροσκοπικό μεμονωμένο ερώτημα και περίμενα ήδη έναν μήνα!" θα μπορούσαν να πουν. Θα μπορούσα απλώς να εκτελέσω το ερώτημα για αυτούς, αλλά έχω κατακλυστεί από τις δικές μου καθημερινές εργασίες και τα μεμονωμένα ερωτήματα τείνουν να γίνονται πολύπλοκα.

Έχω μείνει με μια γρήγορη λύση: θα μπορούσα απλώς να μοιραστώ το όνομα χρήστη/κωδικό μου με τον συνάδελφό μου. Εάν λάβουν μια πρόκληση MFA, θα το εγκρίνω ευχαρίστως. Δεν χρειάζεται να αφιερώσω χρόνο στην εκτέλεση του ερωτήματος και ο συνάδελφός μου ξεμπλοκάρεται. Όλοι κερδίζουν! Σωστά?

Λοιπόν, θα είχες δίκιο στην ανάλυσή σου, αλλά σου λείπει η ευρύτερη εικόνα. Αν και είναι σημαντικό για την επιχείρηση ο συνάδελφός σας να κάνει την ανάλυση της συμπεριφοράς των χρηστών του, είναι εξίσου, αν όχι περισσότερο, σημαντικό η επιχείρησή σας να παραμένει συμβατή με μια σειρά προτύπων απορρήτου και ασφάλειας και να διατηρεί την εμπιστοσύνη των πελατών διατηρώντας τη δέσμευση της εταιρείας για ασφάλεια .

Εάν οι επιχειρηματικοί στόχοι υψηλού επιπέδου δεν σας πείθουν, σκεφτείτε τις ομάδες κεντρικής διαχείρισης στον τομέα της πληροφορικής ή της ασφάλειας. Αυτές οι ομάδες βασίζουν τις λειτουργίες και τις στρατηγικές ασφαλείας τους στο γεγονός ότι κάθε χρήστης έχει τη δική του μοναδική ταυτότητα. Οι ομάδες πληροφορικής διαμορφώνουν πολιτικές δικτύωσης και πρόσβασης που υποθέτουν ότι κάθε χρήστης θα συνδεόταν από μια εταιρική IP ή έναν εταιρικό φορητό υπολογιστή ταυτόχρονα. Οι ομάδες ασφαλείας συσχετίζουν συμβάντα με βάση το αναγνωριστικό χρήστη. Οι ομάδες χρηματοδότησης θα μπορούσαν να συγκεντρώνουν αναφορές κόστους ανά χρήστη και το προσωπικό τους περιβάλλον cloud. Η κοινή χρήση διαπιστευτηρίων υπονομεύει όλες αυτές τις υποθέσεις, μεταξύ άλλων. Αφαιρεί το βασικό νόημα μιας διαδικτυακής ταυτότητας.

Παράδειγμα πραγματικού κόσμου

Ας στραφούμε στον κόσμο του low-code/no-code και ας εξετάσουμε ένα πραγματικό σενάριο. Σε μια μεγάλη επιχείρηση, η Jane, ένας εμπνευσμένος υπάλληλος από την ομάδα εξυπηρέτησης πελατών, συνειδητοποίησε ότι όταν οι υπάλληλοι σε ολόκληρο τον οργανισμό συμμετέχουν σε μια υπόθεση πελάτη, συνήθως τους λείπουν βασικές πληροφορίες για τον πελάτη, όπως το ιστορικό υποστήριξής του και οι τελευταίες αγορές. Αυτό υποβαθμίζει την εμπειρία του πελάτη, καθώς πρέπει να εξηγεί το πρόβλημά του ξανά και ξανά, ενώ η υπόθεση δρομολογείται στον κατάλληλο υπάλληλο που μπορεί να αντιμετωπίσει το ζήτημα.

Για να το βελτιώσει αυτό, η Jane δημιούργησε μια εφαρμογή που επιτρέπει στους υπαλλήλους της εταιρείας να βλέπουν αυτές τις βασικές πληροφορίες σχετικά με τους πελάτες όταν αυτοί οι υπάλληλοι αποτελούν μέρος της ομάδας που είναι υπεύθυνη για την αντιμετώπιση της υπόθεσης υποστήριξης του πελάτη. Αρχικά, ας αφιερώσουμε λίγο χρόνο για να αναγνωρίσουμε τη δύναμη του low-code/no-code, που επιτρέπει στην Jane να εντοπίσει μια ανάγκη και να την αντιμετωπίσει μόνη της, χωρίς να ζητήσει προϋπολογισμό ή να περιμένει για κατανομές πόρων πληροφορικής.

Κατά την κατασκευή της εφαρμογής, η Jane έπρεπε να επιλύσει πολλά ζητήματα, με το μεγαλύτερο να είναι τα δικαιώματα. Οι εργαζόμενοι σε ολόκληρο τον οργανισμό δεν έχουν άμεση πρόσβαση για να ρωτήσουν τη βάση δεδομένων των πελατών για να λάβουν τις πληροφορίες που χρειάζονται. Αν το έκαναν, τότε η Jane δεν θα χρειαζόταν να δημιουργήσει αυτήν την εφαρμογή. Για να ξεπεράσει αυτό το ζήτημα, η Jane συνδέθηκε στη βάση δεδομένων και ενσωμάτωσε την επαληθευμένη συνεδρία απευθείας στην εφαρμογή. Όταν η εφαρμογή λάβει ένα αίτημα από έναν χρήστη, θα χρησιμοποιήσει την ταυτότητα της Jane για να εκτελέσει αυτό το ερώτημα και στη συνέχεια θα επιστρέψει τα αποτελέσματα στον χρήστη. Αυτή η δυνατότητα ενσωμάτωσης διαπιστευτηρίων, όπως εξερευνήσαμε τον περασμένο μήνα, είναι ένα βασικό χαρακτηριστικό των πλατφορμών χαμηλού κώδικα/χωρίς κώδικα. Η Jane φρόντισε να ρυθμίσει τον έλεγχο πρόσβασης βάσει ρόλων (RBAC) στην εφαρμογή έτσι ώστε κάθε χρήστης να έχει πρόσβαση μόνο σε περιπτώσεις πελατών στις οποίες έχει ανατεθεί.

Η εφαρμογή έλυσε ένα σημαντικό επιχειρηματικό πρόβλημα και έτσι κέρδισε γρήγορα την υιοθέτηση των χρηστών σε όλη την επιχείρηση. Οι άνθρωποι ήταν χαρούμενοι που μπορούσαν να παρέχουν καλύτερες υπηρεσίες στους πελάτες τους έχοντας το σωστό πλαίσιο για τη συνομιλία. Οι πελάτες ήταν επίσης ευχαριστημένοι. Ένα μήνα αφότου η Jane δημιούργησε την εφαρμογή, χρησιμοποιήθηκε ήδη από εκατοντάδες χρήστες σε ολόκληρο τον οργανισμό, με τα ποσοστά ικανοποίησης των πελατών να αυξάνονται.

Εν τω μεταξύ, στο SOC, ενεργοποιήθηκε μια ειδοποίηση υψηλής σοβαρότητας που έδειχνε μη φυσιολογική δραστηριότητα γύρω από τη βάση δεδομένων πελατών παραγωγής και ανατέθηκε στην Amy, μια έμπειρη αναλυτή ασφαλείας. Η αρχική έρευνα της Amy έδειξε ότι ένας εσωτερικός χρήστης προσπαθούσε να ξύσει ολόκληρη τη βάση δεδομένων, αναζητώντας πληροφορίες για πολλούς πελάτες από πολλές διευθύνσεις IP σε ολόκληρο τον οργανισμό. Το μοτίβο ερωτήματος ήταν πολύ περίπλοκο. Αντί για ένα απλό μοτίβο απαρίθμησης που θα περιμένατε να δείτε κατά την απόξεση μιας βάσης δεδομένων, τα δεδομένα του ίδιου πελάτη ερωτήθηκαν πολλές φορές, μερικές φορές μέσω διαφορετικών διευθύνσεων IP και σε διαφορετικές ημερομηνίες. Θα μπορούσε να είναι κάποιος εισβολέας που προσπαθεί να μπερδέψει τα συστήματα παρακολούθησης ασφαλείας;

Μετά από μια γρήγορη έρευνα, η Amy αποκάλυψε μια κρίσιμη πληροφορία: Όλα αυτά τα ερωτήματα σε όλες τις διευθύνσεις IP και τις ημερομηνίες χρησιμοποιούσαν μια ταυτότητα χρήστη, κάποιον που ονομαζόταν Jane από την ομάδα εξυπηρέτησης πελατών.

Η Έιμι άπλωσε το χέρι στην Τζέιν για να τη ρωτήσει τι συμβαίνει. Στην αρχή, η Τζέιν δεν ήξερε. Της έκλεψαν τα διαπιστευτήρια; Έκανε κλικ σε λάθος σύνδεσμο ή εμπιστεύτηκε το λάθος εισερχόμενο email; Αλλά όταν η Τζέιν είπε στην Έιμι για την εφαρμογή που κατασκεύασε πρόσφατα, συνειδητοποίησαν και οι δύο ότι μπορεί να υπήρχε σύνδεση. Η Amy, η αναλύτρια SOC, δεν ήταν εξοικειωμένη με το low-code/no-code, έτσι απευθύνθηκαν στην ομάδα AppSec. Με τη βοήθεια της Jane, η ομάδα κατάλαβε ότι η εφαρμογή της Jane είχε ενσωματωμένα τα διαπιστευτήρια της Jane. Από την οπτική γωνία της βάσης δεδομένων, δεν υπήρχε καμία εφαρμογή - υπήρχε απλώς η Jane, που εκτελούσε πάρα πολλά ερωτήματα.

Η Jane, η Amy και η ομάδα AppSec αποφάσισαν να κλείσουν την εφαρμογή μέχρι να βρεθεί μια λύση. Οι χρήστες εφαρμογών σε ολόκληρο τον οργανισμό ήταν απογοητευμένοι, καθώς είχαν αρχίσει να βασίζονται σε αυτήν, και οι πελάτες το ένιωθαν επίσης.

Ενώ η Amy έκλεισε το θέμα και κατέγραψε τα ευρήματά της, ο αντιπρόεδρος της εξυπηρέτησης πελατών δεν χάρηκε που είδε το ποσοστό ικανοποίησης των πελατών να μειώνεται, έτσι ζήτησαν από την Jane να αναζητήσει μια μόνιμη λύση. Με τη βοήθεια της τεκμηρίωσης της πλατφόρμας και της ομάδας του Κέντρου Αριστείας του οργανισμού, η Jane αφαίρεσε την ενσωματωμένη ταυτότητά της από την εφαρμογή, άλλαξε την εφαρμογή ώστε να χρησιμοποιεί την ταυτότητα κάθε χρήστη για να υποβάλει ερωτήματα στη βάση δεδομένων και διασφάλισε ότι οι χρήστες αποκτούν δικαιώματα μόνο για περιπτώσεις πελατών με τις οποίες σχετίζονται . Στη νέα και βελτιωμένη έκδοσή της, η εφαρμογή χρησιμοποίησε την ταυτότητα κάθε χρήστη για να ρωτήσει τη βάση δεδομένων πελατών. Η Jane και οι χρήστες της εφαρμογής ήταν χαρούμενοι που η εφαρμογή επέστρεψε στο διαδίκτυο, η Amy και η ομάδα του AppSec ήταν χαρούμενοι που η ταυτότητα της Jane δεν είναι πλέον κοινή και η επιχείρηση είδε το ποσοστό ικανοποίησης των πελατών να αρχίζει να αυξάνεται ξανά. Ολα ήταν καλά.

Δύο εβδομάδες αργότερα, η SOC έλαβε άλλη ειδοποίηση σχετικά με μη φυσιολογική πρόσβαση στη βάση δεδομένων πελατών παραγωγής. Έμοιαζε ύποπτα παρόμοια με την προηγούμενη ειδοποίηση στην ίδια βάση δεδομένων. Και πάλι, οι διευθύνσεις IP από όλο τον οργανισμό χρησιμοποιούσαν την ταυτότητα ενός χρήστη για να ρωτήσουν τη βάση δεδομένων. Και πάλι, αυτός ο χρήστης ήταν η Jane. Αλλά αυτή τη φορά, η ομάδα ασφαλείας και η Jane γνώριζαν ότι η εφαρμογή χρησιμοποιεί τις ταυτότητες των χρηστών της. Τι συμβαίνει?

Η έρευνα αποκάλυψε ότι η αρχική εφαρμογή είχε σιωπηρά κοινοποιημένο Η συνεδρία ελέγχου ταυτότητας της Jane με τους χρήστες της εφαρμογής. Με την κοινή χρήση της εφαρμογής με έναν χρήστη, αυτός ο χρήστης είχε άμεση πρόσβαση στο σύνδεση, ένα περιτύλιγμα γύρω από μια επαληθευμένη περίοδο λειτουργίας βάσης δεδομένων που παρέχεται από την πλατφόρμα χαμηλού κώδικα/χωρίς κώδικα. Χρησιμοποιώντας αυτήν τη σύνδεση, οι χρήστες μπορούσαν να αξιοποιήσουν απευθείας την επαληθευμένη περίοδο σύνδεσης — δεν χρειαζόταν πλέον να περάσουν από την εφαρμογή. Αποδεικνύεται ότι αρκετοί χρήστες το είχαν ανακαλύψει και, νομίζοντας ότι αυτή ήταν η επιδιωκόμενη συμπεριφορά, χρησιμοποιούσαν την επαληθευμένη περίοδο λειτουργίας της βάσης δεδομένων της Jane για να εκτελέσουν τα ερωτήματά τους. Τους άρεσε αυτή η λύση, καθώς η χρήση της σύνδεσης τους έδωσε απευθείας πλήρη πρόσβαση στη βάση δεδομένων, όχι μόνο για περιπτώσεις πελατών στις οποίες έχουν ανατεθεί.

Η σύνδεση διαγράφηκε και το περιστατικό τελείωσε. Ο αναλυτής SOC επικοινώνησε με χρήστες που είχαν χρησιμοποιήσει τη σύνδεση της Jane για να διασφαλίσει ότι απέρριψαν τυχόν δεδομένα πελατών που έχουν αποθηκεύσει.

Αντιμετώπιση της πρόκλησης ασφάλειας χαμηλού κώδικα/χωρίς κώδικα

Η παραπάνω ιστορία είναι ένα πραγματικό σενάριο από μια πολυεθνική εταιρεία B2C. Ορισμένες λεπτομέρειες παραλείφθηκαν ή προσαρμόστηκαν για την προστασία του απορρήτου. Είδαμε πώς ένας καλοπροαίρετος υπάλληλος θα μπορούσε άθελά του να μοιράζεται την ταυτότητά του με άλλους χρήστες, προκαλώντας μια ολόκληρη σειρά προβλημάτων στον τομέα της πληροφορικής, της ασφάλειας και της επιχείρησης. Όπως εξερευνήσαμε τον περασμένο μήνα, η κοινή χρήση διαπιστευτηρίων είναι ένα βασικό χαρακτηριστικό του low-code/no-code. Είναι ο κανόνας, όχι η εξαίρεση.

As Το low-code/no-code συνεχίζει να ανθίζει στην επιχείρηση, συνειδητά ή όχι, είναι ζωτικής σημασίας για τις ομάδες ασφάλειας και πληροφορικής να συμμετάσχουν στη συζήτηση για την επιχειρηματική ανάπτυξη. Οι εφαρμογές χαμηλού κώδικα/χωρίς κώδικα συνοδεύονται από α μοναδικό σύνολο προκλήσεων ασφάλειας, και η παραγωγική τους φύση σημαίνει ότι αυτές οι προκλήσεις γίνονται πιο έντονες από ποτέ.