Baca beberapa tajuk keamanan siber dan Anda akan melihat sebuah tren: Mereka semakin melibatkan aplikasi bisnis.
Misalnya, alat email MailChimp mengatakan penyusup membobol akun pelanggannya melalui "alat internal". Perangkat lunak otomasi pemasaran HubSpot mendapat infiltrasi. Dompet kata sandi perusahaan Okta dikompromikan. Alat manajemen proyek Jira membuat pembaruan yang secara tidak sengaja mengungkap informasi pribadi klien seperti Google dan NASA.
Ini adalah salah satu front keamanan siber terbaru: alat internal Anda.
Masuk akal jika aktor jahat akan mengganggu di sini selanjutnya, atau karyawan secara tidak sengaja membiarkan pintu terbuka. Rata-rata organisasi sekarang memilikinya 843 aplikasi SaaS dan semakin bergantung pada mereka untuk menjalankan operasi intinya. Saya ingin tahu tentang apa yang dapat dilakukan administrator untuk menjaga keamanan aplikasi ini, jadi saya mewawancarai rekan lama, Misha Seltzer, CTO dan salah satu pendiri Atmosec, yang bekerja di ruang ini.
Mengapa Aplikasi Bisnis Sangat Rentan
Para pengguna aplikasi bisnis cenderung tidak memikirkan keamanan dan kepatuhan. Sebagian karena itu bukan tugas mereka, kata Misha. Mereka sudah sangat sibuk. Dan sebagian karena tim ini mencoba membeli sistem mereka di luar bidang TI.
Sementara itu, aplikasinya sendiri dirancang agar mudah diluncurkan dan diintegrasikan. Anda dapat meluncurkan banyak dari mereka tanpa kartu kredit. Dan pengguna sering kali dapat mengintegrasikan perangkat lunak ini dengan beberapa sistem catatan terpenting mereka seperti CRM, ERP, sistem pendukung, dan manajemen sumber daya manusia (HCM) hanya dengan satu klik.
Ini berlaku untuk sebagian besar aplikasi yang ditawarkan di dalam toko aplikasi vendor besar tersebut. Misha menunjukkan bahwa pengguna Salesforce bisa “menghubungkan” sebuah aplikasi dari Salesforce AppExchange tanpa benar-benar menginstalnya. Itu berarti tidak ada pemeriksaan, dapat mengakses data pelanggan Anda, dan aktivitasnya dicatat di bawah profil pengguna, sehingga sulit untuk dilacak.
Jadi, itu masalah pertama. Sangat mudah untuk menyambungkan aplikasi baru yang berpotensi tidak aman ke aplikasi inti Anda. Masalah kedua adalah sebagian besar sistem ini belum dirancang bagi administrator untuk mengamati apa yang terjadi di dalamnya.
Sebagai contoh:
- Salesforce menawarkan banyak alat DevOps yang luar biasa, tetapi tidak ada cara asli untuk melacak aplikasi terintegrasi, memperluas kunci API, atau membandingkan organisasi untuk mendeteksi perubahan yang mencurigakan.
- milik NetSuite changelog tidak memberikan detail tentang siapa yang mengubah apa — saja bahwa sesuatu berubah, sehingga sulit untuk mengaudit.
- milik Jira changelog sama jarangnya, dan Jira sering terintegrasi dengan Zendesk, PagerDuty, dan Slack, yang berisi data sensitif.
Ini menyulitkan untuk mengetahui apa yang dikonfigurasi, aplikasi mana yang memiliki akses ke data apa, dan siapa yang telah berada di sistem Anda.
Apa yang Dapat Anda Lakukan Tentang Ini?
Pertahanan terbaik adalah pertahanan otomatis, kata Misha, jadi bicarakan dengan tim keamanan siber Anda tentang bagaimana mereka dapat memasukkan pemantauan aplikasi bisnis Anda ke dalam rencana mereka yang sudah ada. Tetapi untuk kesadaran dan cakupan yang lengkap, mereka juga akan membutuhkan wawasan yang lebih dalam tentang apa yang terjadi di dalam dan di antara aplikasi ini daripada yang disediakan oleh alat ini secara asli. Anda harus membuat atau membeli alat yang dapat membantu Anda:
- Identifikasi risiko Anda: Anda memerlukan kemampuan untuk melihat semua yang dikonfigurasi di setiap aplikasi, menyimpan snapshot tepat waktu, dan membandingkan snapshot tersebut. Jika suatu alat dapat memberi tahu Anda perbedaan antara konfigurasi kemarin dan hari ini, Anda dapat melihat siapa yang telah melakukan apa — dan mendeteksi gangguan atau potensi gangguan.
- Selidiki, pantau, dan analisis kerentanan: Anda memerlukan cara untuk menyetel lansiran untuk perubahan pada konfigurasi Anda yang paling sensitif. Ini perlu melampaui alat manajemen postur keamanan SaaS (SSPM) tradisional, yang cenderung memantau hanya satu aplikasi pada satu waktu, atau hanya memberikan rekomendasi rutin. Jika sesuatu terhubung ke Salesforce atau Zendesk dan mengubah alur kerja penting, Anda perlu mengetahuinya.
- Kembangkan rencana respons: Mengadopsi alat seperti Git yang memungkinkan Anda untuk “versi” aplikasi bisnis Anda untuk menyimpan status sebelumnya yang kemudian dapat Anda kembalikan. Itu tidak akan memperbaiki setiap intrusi, dan dapat menyebabkan Anda kehilangan metadata, tetapi ini adalah perbaikan baris pertama yang efektif.
- Pertahankan kebersihan keamanan SaaS Anda: Mewakili seseorang dalam tim untuk terus memperbarui organisasi Anda, menonaktifkan pengguna dan integrasi yang tidak perlu, dan memastikan bahwa setelan keamanan yang dimatikan diaktifkan kembali — misalnya, jika seseorang menonaktifkan enkripsi atau TLS untuk mengonfigurasi webhook, periksa apakah itu diaktifkan kembali.
Jika Anda dapat menyatukan semuanya, Anda dapat mulai mengidentifikasi area yang dapat dimasuki oleh pelaku jahat — seperti melalui webhook Slack, seperti yang ditunjukkan Misha.
Peran Anda dalam Keamanan Sistem Bisnis
Ini tidak tergantung pada administrator saja untuk mengamankan sistem ini, tetapi Anda dapat memainkan peran penting dalam mengunci beberapa pintu yang terbuka. Dan semakin baik Anda dapat melihat ke dalam sistem ini — tugas yang tidak selalu mereka izinkan secara bawaan — semakin baik Anda akan tahu jika seseorang meretas aplikasi bisnis.
