هیچ کس دوست ندارد کلمه B را بشنود: شکاف. قطعاً توسعهدهندگان نمیخواهند این کلمه را در رابطه با پلتفرمی که هر روز از آن استفاده میکنند بشنوند.
هنگامی که گیت هاب جزئیاتی را در مورد یک رخنه امنیتی فاش کرد که به یک مهاجم ناشناس اجازه می داد داده ها را از ده ها مخزن کد خصوصی دانلود کند، این یک سناریوی کابوس بود. مهاجمان از اطلاعات جمعآوریشده از GitHub برای هدف قرار دادن دو پلتفرم ابری شخص ثالث به عنوان سرویس (PaaS) - Heroku و تراویس CI.
مهاجمان توکن های OAuth صادر شده برای Heroku و Travis CI را دزدیده بودند و از آن توکن های سرقت شده برای دسترسی و دانلود محتوای مخازن خصوصی استفاده می کردند. GitHub پیدا شد.
حساس ترین اطلاعات در سازمان شما کجاست؟ برای سازمانهایی که از Heroku استفاده میکنند، Salesforce اطلاعاتی را در اختیار دارد که در صورت افشای آنها میتواند سازمان را فلج کند. تیم های امنیتی باید در مورد محافظت از داده های Salesforce خود فکر کنند. چرا باید با تکیه بر ادغام های شخص ثالث، امنیت سایبری سازمان را در معرض خطر قرار دهند؟
این سه مرحله ساده می تواند به بهبود وضعیت امنیت سایبری در Salesforce کمک کند.
1. از Salesforce-Native Applications استفاده کنید
برنامه های کاربردی ساخته شده بر روی Salesforce اطمینان حاصل می کنند که داده های شما در یک مکان با همان وضعیت امنیت سایبری که پلت فرم Salesforce است، باقی می ماند. با برنامههایی که روی یک پلتفرم ادغام شدهاند، سطح حمله تا حد زیادی کاهش مییابد.
2. یک مدل اعتماد صفر ایجاد کنید
هرگز اعتماد نکنید، همیشه تأیید کنید. همه کاربران باید حداقل سطح مجوزها و دسترسی مورد نیاز را داشته باشند تا بتوانند وظایف ضروری خود را انجام دهند و در عین حال از کاربران بخواهند که نیاز و هویت خود را قبل از دسترسی ثابت کنند. همه چیز را حسابرسی کنید
3. از مدیریت اسرار استفاده کنید
هرگز اعتبارنامه ها را در متن واضح ذخیره نکنیدو همیشه فرض کنید مخازن خصوصی عمومی هستند. داشتن یک راه حل مدیریت اسرار تضمین می کند که اسرار شما به همراه داشتن سطح مناسبی از انطباق امنیتی با اعتبار شما چرخانده می شوند.
با این وضعیت امنیت سایبری بهبود یافته، توسعهدهندگان، تیمهای infosec و مدیر عامل از اینکه حساسترین دادههای سازمان امن هستند، آسوده خاطر خواهند بود.