Senki sem szereti hallani a B-szót: megsértése. A fejlesztők határozottan nem akarják hallani ezt a szót egy olyan platformmal kapcsolatban, amelyet nap mint nap használnak.
Amikor a GitHub felfedte a részleteket egy biztonsági megsértésről, amely lehetővé tette egy ismeretlen támadó számára, hogy adatokat töltsön le több tucat privát kódtárolóból az év elején, ez egy rémálom volt. A támadók a GitHubról gyűjtött információk segítségével két harmadik féltől származó felhőplatformot céloztak meg szolgáltatásként (PaaS) – a Heroku és Travis C.I..
A támadók ellopták a Herokunak és a Travis CI-nek kiadott OAuth tokeneket, és az ellopott tokeneket arra használták, hogy hozzáférjenek és letöltsék a privát adattárak tartalmát, A GitHub megtalálta.
Hol találhatók a legérzékenyebb információk a szervezetében? A Heroku-t használó szervezetek számára a Salesforce tartalmazza azokat az információkat, amelyek megbéníthatják a szervezetet, ha megjelennek. A biztonsági csapatoknak gondolniuk kell Salesforce-adataik védelmére. Miért kockáztatják a szervezet kiberbiztonságát azzal, hogy harmadik felek integrációira támaszkodnak?
Ez a három egyszerű lépés segíthet javítani a kiberbiztonsági helyzetet a Salesforce-on.
1. Használja a Salesforce-Native Applications alkalmazást
A Salesforce-ra épített alkalmazások gondoskodnak arról, hogy adatai egy helyen maradjanak, ugyanolyan kiberbiztonsági helyzetben, mint a Salesforce platformon. Az egyetlen platformon konszolidált alkalmazásoknak köszönhetően a támadási felület jelentősen csökken.
2. Hozzon létre egy nulla bizalmi modellt
Soha ne bízz, mindig ellenőrizd. Minden felhasználónak rendelkeznie kell a szükséges feladatok elvégzéséhez szükséges minimális szintű jogosultságokkal és hozzáféréssel, miközben a felhasználóknak igazolniuk kell igényüket és személyazonosságukat a hozzáférés előtt. Ellenőrizzen mindent.
3. Használja a Titkok kezelését
Soha ne tárolja a hitelesítő adatokat tiszta szövegben, és mindig feltételezzük, hogy a privát repók nyilvánosak. A titkok kezelési megoldása biztosítja, hogy a titkok forgathatók, valamint a hitelesítési adatok megfelelő biztonsági szintje.
Ezzel a továbbfejlesztett kiberbiztonsági helyzettel a fejlesztők, az infosec-csapatok és a vezérigazgató nyugodtan tudják, hogy a szervezet legérzékenyebb adatai biztonságban vannak.