Il grande hack di BizApp: rischi informatici nelle applicazioni aziendali quotidiane

Leggi alcuni titoli sulla sicurezza informatica e noterai una tendenza: coinvolgono sempre più applicazioni aziendali.

Ad esempio, lo strumento di posta elettronica Mailchimp afferma che gli intrusi hanno fatto irruzione negli account dei suoi clienti tramite uno "strumento interno". Software di automazione del marketing HubSpot si è infiltrato. Portafoglio password aziendale Okta è stato compromesso. Strumento di gestione del progetto Jira ha fatto un aggiornamento che ha accidentalmente esposto le informazioni private di clienti come Google e la NASA.

Questo è uno dei nuovi fronti della sicurezza informatica: i tuoi strumenti interni.

È logico che gli attori malintenzionati si intromettano qui accanto o che i dipendenti lascino accidentalmente le porte aperte. L'organizzazione media ora ha 843 applicazioni SaaS e fa sempre più affidamento su di loro per eseguire le sue operazioni principali. Ero curioso di sapere cosa possono fare gli amministratori per proteggere queste app, quindi ho intervistato una vecchia collega, Misha Seltzer, CTO e co-fondatrice di Atmosec, che lavora in questo spazio.

Perché le applicazioni aziendali sono particolarmente vulnerabili

Gli utenti delle applicazioni aziendali tendono a non pensare alla sicurezza e conformità. In parte perché non è il loro lavoro, dice Misha. Sono già molto occupati. E, in parte, è perché questi team cercano di acquistare i loro sistemi al di fuori delle competenze dell'IT.

Nel frattempo, le app stesse sono progettate per essere facili da avviare e integrare. Puoi lanciarne molti senza una carta di credito. E gli utenti possono spesso integrare questo software con alcuni dei loro sistemi di registrazione più vitali come CRM, ERP, sistema di supporto e gestione del capitale umano (HCM) con un solo clic.

Questo è vero per la maggior parte delle app offerte negli app store dei principali fornitori. Misha sottolinea che gli utenti di Salesforce possono farlo "collegare" un'app da Salesforce AppExchange senza installarlo effettivamente. Ciò significa che non c'è controllo, può accedere ai dati dei clienti e le sue attività vengono registrate sotto il profilo utente, rendendone difficile il monitoraggio.

Quindi, questo è il primo problema. È molto facile connettere nuove app potenzialmente non sicure alle tue app principali. Il secondo problema è che la maggior parte di questi sistemi non è stata progettata per consentire agli amministratori di osservare cosa accade al loro interno.

Per esempio:

• Salesforce offre molti meravigliosi strumenti DevOps, ma nessun modo nativo per tenere traccia delle app integrate, estendere le chiavi API o confrontare le organizzazioni per rilevare modifiche sospette.
• di Net Suite il registro delle modifiche non fornisce dettagli su chi ha cambiato cosa, solo che qualcosa è cambiato, rendendo difficile l'audit.
• di Jira il log delle modifiche è altrettanto scarso e Jira è spesso integrato con Zendesk, PagerDuty e Slack, che contengono dati sensibili.

Ciò rende difficile sapere cosa è configurato, quali applicazioni hanno accesso a quali dati e chi è stato nei tuoi sistemi.

Cosa puoi fare al riguardo

La migliore difesa è una difesa automatica, afferma Misha, quindi parla con il tuo team di sicurezza informatica su come possono integrare il monitoraggio delle tue applicazioni aziendali nei loro piani esistenti. Ma per una consapevolezza e una copertura complete, anche loro avranno bisogno di una visione più approfondita di ciò che sta accadendo all'interno e tra queste applicazioni rispetto a ciò che questi strumenti forniscono in modo nativo. Dovrai costruire o acquistare strumenti che possano aiutarti a:

• Identifica i tuoi rischi: Avrai bisogno della possibilità di visualizzare tutto ciò che è configurato in ciascuna applicazione, salvare istantanee in tempo e confrontare tali istantanee. Se uno strumento può dirti la differenza tra la configurazione di ieri e quella di oggi, puoi vedere chi ha fatto cosa e rilevare le intrusioni o il potenziale per intrusioni.
• Sonda, monitora e analizza le vulnerabilità: Hai bisogno di un modo per impostare avvisi per le modifiche alle tue configurazioni più sensibili. Questi dovranno andare oltre i tradizionali strumenti di gestione della posizione di sicurezza SaaS (SSPM), che tendono a monitorare solo un'applicazione alla volta o a fornire solo consigli di routine. Se qualcosa si connette a Salesforce o Zendesk e altera un flusso di lavoro importante, devi saperlo.
• Sviluppare un piano di risposta: Adotta uno strumento simile a Git che ti permetta di "versione” le tue applicazioni aziendali per memorizzare gli stati precedenti a cui puoi quindi tornare. Non risolverà ogni intrusione e potrebbe causare la perdita di metadati, ma è un'efficace prima linea di rimedio.
• Mantieni la tua igiene di sicurezza SaaS: Incarica qualcuno del team di mantenere aggiornate le tue organizzazioni, disattivare gli utenti e le integrazioni non necessari e garantire che le impostazioni di sicurezza che erano state disattivate vengano riattivate, ad esempio se qualcuno disabilita la crittografia o TLS per configurare un webhook, controlla che sia stato riattivato.

Se riesci a mettere insieme tutto questo, puoi iniziare a identificare le aree in cui potrebbero entrare gli attori malintenzionati, ad esempio tramite i webhook di Slack, come sottolinea Misha.

Il tuo ruolo nella sicurezza dei sistemi aziendali

Non spetta solo agli amministratori proteggere questi sistemi, ma puoi svolgere un ruolo importante nel bloccare alcune delle ovvie porte aperte. E meglio riesci a vedere all'interno di questi sistemi, un compito che non sempre sono progettati in modo nativo per consentire, meglio saprai se qualcuno ha violato un'applicazione aziendale.