사이버 보안 헤드라인을 읽으면 추세를 알 수 있습니다. 비즈니스 애플리케이션이 점점 더 많이 포함됩니다.
예를 들어, 이메일 도구 Mailchimp 침입자가 "내부 도구"를 통해 고객 계정에 침입했다고 말합니다. 마케팅 자동화 소프트웨어 HubSpot 침투했다. 기업 비밀번호 지갑 Okta가 손상되었습니다.. 프로젝트 관리 도구 락스 Google 및 NASA와 같은 클라이언트의 개인 정보를 실수로 노출시키는 업데이트를 수행했습니다.
이는 사이버 보안의 최신 전선 중 하나인 내부 도구입니다.
다음에 악의적인 행위자가 여기에 침입하거나 직원이 실수로 문을 열어 둘 것이라는 것은 논리적일 뿐입니다. 이제 일반 조직에서는 843개의 SaaS 애플리케이션 핵심 운영을 실행하는 데 점점 더 의존하고 있습니다. 저는 이러한 앱을 안전하게 유지하기 위해 관리자가 무엇을 할 수 있는지 궁금해서 이 분야에서 일하고 있는 옛 동료이자 CTO이자 Atmosec의 공동 창립자인 Misha Seltzer를 인터뷰했습니다.
비즈니스 애플리케이션이 특히 취약한 이유
비즈니스 애플리케이션 사용자 보안에 대해 생각하지 않는 경향이 있음 그리고 규정 준수. 부분적으로는 그것이 그들의 직업이 아니기 때문이라고 Misha는 말합니다. 그들은 이미 매우 바쁘다. 그리고 부분적으로는 이러한 팀이 IT의 범위를 벗어나 시스템을 구매하려고 하기 때문입니다.
한편, 앱 자체는 쉽게 시작하고 통합할 수 있도록 설계되었습니다. 신용 카드 없이도 많은 앱을 시작할 수 있습니다. 그리고 사용자는 단 한 번의 클릭만으로 이 소프트웨어를 CRM, ERP, 지원 시스템, 인적 자본 관리(HCM)와 같은 가장 중요한 기록 시스템과 통합할 수 있습니다.
이는 주요 공급업체의 앱 스토어에서 제공되는 대부분의 앱에 해당됩니다. Misha는 Salesforce 사용자가 다음을 수행할 수 있다고 지적합니다. 앱 "연결" Salesforce AppExchange에서 실제로 설치하지 않고도. 즉, 정밀 조사가 없고 고객 데이터에 액세스할 수 있으며 해당 활동은 사용자 프로필에 기록되므로 추적이 어렵습니다.
이것이 첫 번째 문제입니다. 잠재적으로 안전하지 않은 새 앱을 핵심 앱에 연결하는 것은 매우 쉽습니다. 두 번째 문제는 이러한 시스템의 대부분이 관리자가 내부에서 일어나는 일을 관찰할 수 있도록 설계되지 않았다는 것입니다.
예 :
- 세일즈 포스 많은 훌륭한 DevOps 도구를 제공하지만 통합 앱을 추적하거나 API 키를 확장하거나 조직을 비교하여 의심스러운 변경 사항을 감지하는 기본 방법은 없습니다.
- NetSuite의 변경 로그는 누가 무엇을 변경했는지에 대한 세부 정보를 제공하지 않습니다. 그 무언가 변경되어 감사가 어려워졌습니다.
- 지라의 변경 로그도 마찬가지로 드물며 Jira는 민감한 데이터가 포함된 Zendesk, PagerDuty 및 Slack과 통합되는 경우가 많습니다.
이로 인해 무엇이 구성되었는지, 어떤 애플리케이션이 어떤 데이터에 액세스했는지, 누가 시스템에 있었는지 알기가 어렵습니다.
그것에 대해 할 수 있는 일
최선의 방어는 자동 방어라고 Misha는 말합니다. 따라서 비즈니스 애플리케이션 모니터링을 기존 계획에 포함시킬 수 있는 방법에 대해 사이버 보안 팀에 문의하세요. 그러나 완전한 인식과 적용 범위를 위해서는 이들 도구가 기본적으로 제공하는 것보다 이러한 애플리케이션 내에서 그리고 애플리케이션 간에 무슨 일이 일어나고 있는지에 대한 더 깊은 통찰력이 필요합니다. 다음과 같은 도움이 될 수 있는 도구를 구축하거나 구입해야 합니다.
- 위험을 식별하십시오. 각 애플리케이션에 구성된 모든 것을 보고, 시간에 맞춰 스냅샷을 저장하고, 해당 스냅샷을 비교할 수 있는 능력이 필요합니다. 도구가 어제의 구성과 오늘의 구성 간의 차이를 알려줄 수 있다면 누가 무엇을 했는지 확인할 수 있으며 침입이나 침입 가능성을 감지할 수 있습니다.
- 취약점을 조사, 모니터링 및 분석합니다. 가장 민감한 구성의 변경 사항에 대해 경고를 설정하는 방법이 필요합니다. 이는 한 번에 하나의 애플리케이션만 모니터링하거나 일상적인 권장 사항만 제공하는 경향이 있는 기존 SaaS 보안 상태 관리(SSPM) 도구를 넘어서야 합니다. Salesforce 또는 Zendesk에 연결되어 중요한 작업 흐름을 변경하는 경우 이를 알아야 합니다.
- 대응 계획을 개발하십시오. "버전” 비즈니스 애플리케이션에 이전 상태를 저장한 다음 되돌릴 수 있습니다. 모든 침입을 해결하지는 못하며 메타데이터 손실을 초래할 수 있지만 효과적인 첫 번째 해결 방법입니다.
- SaaS 보안 위생을 유지하세요. 조직을 최신 상태로 유지하고, 불필요한 사용자 및 통합을 비활성화하고, 꺼진 보안 설정이 다시 켜지는지 확인하는 일을 팀의 누군가에게 위임하십시오. 예를 들어 누군가가 웹훅을 구성하기 위해 암호화 또는 TLS를 비활성화한 경우 해당 설정이 제대로 되었는지 확인하십시오. 다시 활성화되었습니다.
이 모든 것을 종합할 수 있다면 악의적인 행위자가 침입할 수 있는 영역을 식별할 수 있습니다. Slack의 웹훅을 통해, Misha가 지적했듯이.
비즈니스 시스템 보안에서의 역할
이러한 시스템을 보호하는 것은 관리자에게만 달려 있는 것은 아니지만 명백히 열려 있는 일부 문을 잠그는 데 중요한 역할을 할 수 있습니다. 그리고 이러한 시스템(항상 기본적으로 허용하도록 구축되지는 않은 자질구레한 일)을 더 잘 볼 수 있을수록 누군가 비즈니스 애플리케이션을 해킹했는지 더 잘 알 수 있습니다.
