קרא כמה כותרות אבטחת סייבר ותבחין במגמה: הן מערבות יותר ויותר יישומים עסקיים.
למשל, כלי האימייל MailChimp אומר שפולשים פרצו לחשבונות הלקוחות שלה באמצעות "כלי פנימי". תוכנת אוטומציה שיווקית HubSpot הסתנן. ארנק סיסמאות תאגידי אוקטה נפגעה. כלי לניהול פרויקטים Jira ביצע עדכון שחשף בטעות את המידע הפרטי של לקוחות כמו גוגל ונאס"א.
זוהי אחת החזיתות החדשות ביותר של אבטחת סייבר: הכלים הפנימיים שלך.
זה רק הגיוני ששחקנים זדוניים יפלשו לכאן הבא, או שעובדים ישאירו בטעות דלתות פתוחות. לארגון הממוצע יש עכשיו 843 יישומי SaaS ומסתמך יותר ויותר עליהם כדי לנהל את פעולות הליבה שלה. הייתי סקרן לגבי מה שמנהלי מערכת יכולים לעשות כדי לשמור על אבטחת האפליקציות האלה, אז ראיינתי עמית ותיק, מישה סלצר, CTO ומייסד שותף של Atmosec, שעובד במרחב הזה.
מדוע יישומים עסקיים פגיעים במיוחד
המשתמשים ביישומים עסקיים נוטים לא לחשוב על אבטחה וציות. בין השאר, כי זה לא התפקיד שלהם, אומר מישה. הם כבר די עסוקים. וחלקית, זה בגלל שהצוותים האלה מנסים לרכוש את המערכות שלהם מחוץ לתחום ה-IT.
בינתיים, האפליקציות עצמן נועדו להיות קלות להפעלה ולשילוב. אתה יכול להפעיל רבים מהם ללא כרטיס אשראי. ומשתמשים יכולים לעתים קרובות לשלב את התוכנה הזו עם כמה ממערכות התיעוד החיוניות ביותר שלהם כמו CRM, ERP, מערכת תמיכה וניהול ההון האנושי (HCM) בלחיצה אחת בלבד.
זה נכון לרוב האפליקציות המוצעות בחנויות האפליקציות של הספקים הגדולים האלה. מישה מציין שמשתמשי Salesforce יכולים "חבר" אפליקציה מ-Salesforce AppExchange מבלי להתקין אותו בפועל. זה אומר שאין שום בדיקה, הוא יכול לגשת לנתוני הלקוחות שלך, והפעילויות שלו נרשמות תחת פרופיל המשתמש, מה שמקשה על המעקב.
אז זה הנושא הראשון. קל מאוד לחבר אפליקציות חדשות שעלולות להיות לא מאובטחות ליישומי הליבה שלך. הבעיה השנייה היא שרוב המערכות הללו לא תוכננו כך שמנהלי מערכת יוכלו לצפות במתרחש בתוכם.
לדוגמה:
- Salesforce מציע כלי DevOps נפלאים רבים, אך אין דרך מקורית לעקוב אחר אפליקציות משולבות, להרחיב מפתחות API או להשוות בין ארגונים כדי לזהות שינויים חשודים.
- של NetSuite changelog לא מספק פרטים על מי שינה מה - רק זֶה משהו השתנה, והקשה על הביקורת.
- של ג'ירה Changelog דליל באותה מידה, וג'ירה משולבת לעתים קרובות עם Zendesk, PagerDuty ו-Slack, המכילים נתונים רגישים.
זה מקשה לדעת מה מוגדר, לאילו יישומים יש גישה לאילו נתונים ומי היה במערכות שלך.
מה אתה יכול לעשות בנידון
ההגנה הטובה ביותר היא הגנה אוטומטית, אומר מישה, אז שוחח עם צוות אבטחת הסייבר שלך על האופן שבו הם יכולים לגלגל את הפיקוח על היישומים העסקיים שלך לתוך התוכניות הקיימות שלהם. אבל בשביל מודעות וכיסוי מלאים, גם הם יצטרכו תובנה עמוקה יותר לגבי מה שקורה בתוך ובין יישומים אלה ממה שהכלים הללו מספקים באופן טבעי. תצטרך לבנות או לקנות כלים שיכולים לעזור לך:
- זהה את הסיכונים שלך: תזדקק ליכולת להציג את כל מה שהוגדר בכל אפליקציה, לשמור תמונות בזמן ולהשוות את התמונות האלה. אם כלי יכול להגיד לך את ההבדל בין התצורה של אתמול לתצורה של היום, אתה יכול לראות מי עשה מה - ולזהות פריצות או פוטנציאל לפריצות.
- בדיקה, ניטור וניתוח של פגיעויות: אתה צריך דרך להגדיר התראות על שינויים בתצורות הרגישות ביותר שלך. אלה יצטרכו לחרוג מהכלים המסורתיים לניהול תנוחות אבטחה של SaaS (SSPM), אשר נוטים לנטר רק יישום אחד בכל פעם, או לספק רק המלצות שגרתיות. אם משהו מתחבר ל-Salesforce או Zendesk ומשנה זרימת עבודה חשובה, אתה צריך לדעת.
- בניית תוכנית תגובה: לאמץ כלי דמוי Git המאפשר לך "גרסה" היישומים העסקיים שלך לאחסון מצבים קודמים שאליהם תוכל לחזור. זה לא יתקן כל חדירה, ועלול לגרום לך לאבד מטא נתונים, אבל זה קו ראשון יעיל לתיקון.
- שמור על היגיינת האבטחה שלך ב-SaaS: תחליף למישהו בצוות שמירה על עדכניות הארגונים שלך, ביטול הפעלה של משתמשים ואינטגרציות מיותרות והבטחת שהגדרות האבטחה שהושבתו יופעלו מחדש - למשל, אם מישהו משבית את ההצפנה או ה-TLS כדי להגדיר webhook, בדוק שזה היה מופעל מחדש.
אם אתה יכול לחבר את כל זה ביחד, אתה יכול להתחיל לזהות אזורים ששחקנים זדוניים עלולים להיכנס אליהם - כגון דרך webhooks של סלאק, כפי שמציין מישה.
התפקיד שלך באבטחת מערכת עסקית
זה לא תלוי במנהלים בלבד לאבטח את המערכות הללו, אבל אתה יכול למלא תפקיד חשוב בנעילת כמה מהדלתות הפתוחות הברורות. וככל שתצליחו לראות טוב יותר את המערכות הללו - מטלה שהן לא תמיד בנויות באופן מקורי לאפשר - כך תדע טוב יותר אם מישהו פרץ לאפליקציה עסקית.
