Olvassa el néhány kiberbiztonsági címsort, és észrevesz egy tendenciát: ezek egyre inkább üzleti alkalmazásokat foglalnak magukban.
Például az e-mail eszköz MailChimp azt mondja, hogy a behatolók egy „belső eszközön” keresztül törtek be az ügyfélfiókjaiba. Marketing automatizálási szoftver HubSpot beszivárgott. Vállalati jelszó pénztárca Okta kompromittálódott. Projektmenedzsment eszköz Jira frissített, amely véletlenül nyilvánosságra hozta olyan ügyfelek személyes adatait, mint a Google és a NASA.
Ez a kiberbiztonság egyik legújabb frontja: az Ön belső eszközei.
Logikus, hogy a következő helyen rosszindulatú szereplők tolakodnak be, vagy az alkalmazottak véletlenül nyitva hagyják az ajtókat. Az átlagos szervezet most 843 SaaS-alkalmazás és egyre inkább rájuk támaszkodik az alapvető műveletek végrehajtása során. Kíváncsi voltam, mit tehetnek a rendszergazdák az alkalmazások biztonsága érdekében, ezért interjút készítettem egy régi kollégámmal, Misha Seltzerrel, az Atmosec technológiai igazgatójával és társalapítójával, aki ezen a területen dolgozik.
Miért vannak különösen sebezhetőek az üzleti alkalmazások?
Az üzleti alkalmazások felhasználói hajlamosak nem a biztonságra gondolni és megfelelés. Részben azért, mert nem ez a feladatuk – mondja Misha. Már nagyon elfoglaltak. És részben azért, mert ezek a csapatok az IT hatáskörén kívül próbálják megvásárolni rendszereiket.
Eközben magukat az alkalmazásokat úgy tervezték, hogy könnyen indíthatók és integrálhatók legyenek. Sok közülük hitelkártya nélkül is elindítható. A felhasználók gyakran egyetlen kattintással integrálhatják ezt a szoftvert néhány olyan létfontosságú nyilvántartási rendszerükhöz, mint a CRM, az ERP, a támogatási rendszer és a humántőke-menedzsment (HCM).
Ez igaz a nagy gyártók alkalmazásboltjaiban kínált legtöbb alkalmazásra. Misha rámutat, hogy a Salesforce-felhasználók képesek „csatlakoztasson” egy alkalmazást a Salesforce AppExchange-ból anélkül, hogy ténylegesen telepítené. Ez azt jelenti, hogy nincs ellenőrzés, hozzáférhet az ügyféladatokhoz, tevékenységei pedig a felhasználói profil alatt vannak naplózva, ami megnehezíti a nyomon követést.
Szóval ez az első kérdés. Nagyon egyszerűen csatlakoztathat új, potenciálisan nem biztonságos alkalmazásokat az alapvető alkalmazásaihoz. A második probléma az, hogy ezeknek a rendszereknek a többségét nem úgy tervezték, hogy a rendszergazdák megfigyelhessék, mi történik bennük.
Például:
- Salesforce számos csodálatos DevOps eszközt kínál, de nincs natív mód az integrált alkalmazások nyomon követésére, az API-kulcsok kiterjesztésére vagy a szervezetek összehasonlítására a gyanús változások észlelésére.
- NetSuite A változásnapló nem részletezi, hogy ki mit változtatott – csak hogy valami megváltozott, ami megnehezíti az ellenőrzést.
- Jira-é A changelog ugyanilyen ritka, és a Jira gyakran integrálva van a Zendesk, a PagerDuty és a Slack programokkal, amelyek érzékeny adatokat tartalmaznak.
Ez megnehezíti annak megállapítását, hogy mi van konfigurálva, mely alkalmazások milyen adatokhoz férnek hozzá, és kik voltak a rendszerben.
Mit tehetsz ellene
A legjobb védelem az automatikus védelem, mondja Misha, ezért beszéljen kiberbiztonsági csapatával arról, hogyan építhetik be az üzleti alkalmazások figyelését meglévő terveikbe. De a teljes tudatosság és lefedettség érdekében nekik is mélyebb betekintésre lesz szükségük abban, hogy mi történik ezeken az alkalmazásokon belül és azok között, mint amit ezek az eszközök natív módon biztosítanak. Olyan eszközöket kell készítenie vagy vásárolnia, amelyek segíthetnek:
- Határozza meg kockázatait: Képesnek kell lennie az egyes alkalmazásokban konfigurált összes megtekintésére, a pillanatképek időben történő mentésére és a pillanatképek összehasonlítására. Ha egy eszköz meg tudja mondani a különbséget a tegnapi és a mai konfiguráció között, akkor láthatja, hogy ki mit csinált – és észlelheti a behatolásokat vagy a behatolások lehetőségét.
- Vizsgálja meg, figyelje és elemezze a sebezhetőségeket: Szüksége van arra, hogy riasztásokat állítson be a legérzékenyebb konfigurációk változásaira. Ezeknek túl kell lépniük a hagyományos SaaS biztonsági helyzetkezelési (SSPM) eszközökön, amelyek hajlamosak egyszerre csak egy alkalmazást figyelni, vagy csak rutin ajánlásokat adnak. Ha valami csatlakozik a Salesforce-hoz vagy a Zendeskhez, és megváltoztat egy fontos munkafolyamatot, tudnia kell.
- Készítsen választervet: Fogadjon el egy Git-szerű eszközt, amely lehetővé teszi, hogy „változat” üzleti alkalmazásait, hogy tárolja a korábbi állapotokat, amelyekhez ezután visszatérhet. Nem javít minden behatolást, és metaadatok elvesztését okozhatja, de ez egy hatékony első vonal a helyreállításhoz.
- Tartsa fenn SaaS biztonsági higiéniáját: Helyettesítsen valakit a csapatból a szervezeteinek naprakészen tartásával, a szükségtelen felhasználók és integrációk deaktiválásával, valamint a kikapcsolt biztonsági beállítások visszakapcsolásával – például ha valaki letiltja a titkosítást vagy a TLS-t egy webhook konfigurálásához, ellenőrizze, hogy az újra engedélyezve.
Ha mindezt össze tudja szedni, elkezdheti azonosítani azokat a területeket, amelyekbe a rosszindulatú szereplők bejuthatnak – mint pl a Slack webhookein keresztül, ahogyan Misha rámutat.
Az Ön szerepe az üzleti rendszerbiztonságban
Nem egyedül az adminisztrátorok feladata ezeknek a rendszereknek a védelme, de Ön fontos szerepet játszhat néhány nyilvánvaló nyitott ajtó zárásában. És minél jobban belelát ezekbe a rendszerekbe – ez a feladat, amelyet nem mindig natív módon építenek fel –, annál jobban tudni fogja, ha valaki feltört egy üzleti alkalmazást.
