אף אחד לא אוהב לשמוע את המילה ב': הפרה. מפתחים בהחלט לא רוצים לשמוע את המילה הזו ביחס לפלטפורמה שבה הם משתמשים יום יום.
כאשר GitHub חשף פרטים על פרצת אבטחה שאפשרה לתוקף לא ידוע להוריד נתונים מעשרות מאגרי קוד פרטיים מוקדם יותר השנה, זה היה תרחיש בלהות. תוקפים השתמשו במידע שנאסף מ-GitHub כדי למקד שתי פלטפורמות ענן של צד שלישי (PaaS) - Heroku ו- טרוויס CI.
התוקפים גנבו אסימוני OAuth שהונפקו ל-Heroku ו-Travis CI, והשתמשו באסימונים הגנובים האלה כדי לגשת ולהוריד את התוכן של מאגרים פרטיים, נמצא GitHub.
היכן נמצא המידע הרגיש ביותר בארגון שלך? עבור ארגונים המשתמשים ב-Heroku, Salesforce מאחסן את המידע שעלול לפגוע בארגון, אם ייחשף. צוותי אבטחה צריכים לחשוב על הגנה על נתוני Salesforce שלהם. מדוע עליהם לסכן את אבטחת הסייבר של הארגון על ידי הסתמכות על אינטגרציות של צד שלישי?
שלושת השלבים הפשוטים האלה יכולים לעזור לשפר את עמדת אבטחת הסייבר ב-Salesforce.
1. השתמש ביישומי Salesforce-Native
יישומים הבנויים על Salesforce מוודאים שהנתונים שלך נשארים במקום אחד עם אותה עמדת אבטחת סייבר כמו פלטפורמת Salesforce. עם אפליקציות מאוחדות על פלטפורמה אחת, משטח ההתקפה מצטמצם מאוד.
2. הקמת מודל אפס אמון
לעולם אל תסמוך, תמיד תוודא. לכל המשתמשים צריכה להיות הרמה המינימלית של הרשאות וגישה הדרושים כדי להיות מסוגלים להשלים את המשימות הדרושות שלהם תוך דרישה מהמשתמשים להוכיח את הצורך והזהות שלהם לפני הגישה. תבקר הכל.
3. השתמש בניהול סודות
לעולם אל תשמור אישורים בטקסט ברור, ותמיד נניח שהמאגרים הפרטיים הם ציבוריים. פתרון ניהול סודות מבטיח שהסודות שלך מסובבים יחד עם רמה מתאימה של תאימות אבטחה סביב האישורים שלך.
עם תנוחת אבטחת סייבר משופרת זו, מפתחים, צוותי infosec והמנכ"ל יהיו רגועים בידיעה שהנתונים הרגישים ביותר של הארגון מאובטחים.
