Lees enkele krantenkoppen over cyberbeveiliging en u zult een trend opmerken: het gaat steeds vaker om zakelijke toepassingen.
Bijvoorbeeld de e-mailtool MailChimp zegt dat indringers via een ‘interne tool’ inbraken in de klantaccounts. Marketingautomatiseringssoftware HubSpot raakte geïnfiltreerd. Zakelijke wachtwoordportemonnee Okta was gecompromitteerd. Projectmanagementtool Jira heeft een update gemaakt die per ongeluk de privégegevens van klanten als Google en NASA openbaar maakte.
Dit is een van de nieuwste fronten van cyberbeveiliging: uw interne tools.
Het is niet meer dan logisch dat kwaadwillende actoren hier vervolgens binnendringen, of dat werknemers per ongeluk deuren open laten staan. De gemiddelde organisatie heeft dat nu 843 SaaS-applicaties en vertrouwt er steeds meer op om haar kernactiviteiten uit te voeren. Ik was nieuwsgierig naar wat beheerders kunnen doen om deze apps veilig te houden, dus interviewde ik een oude collega, Misha Seltzer, een CTO en mede-oprichter van Atmosec, die op dit gebied werkt.
Waarom zakelijke applicaties bijzonder kwetsbaar zijn
De gebruikers van bedrijfsapplicaties hebben de neiging niet aan veiligheid te denken en naleving. Deels omdat dat niet hun taak is, zegt Misha. Ze hebben het al druk genoeg. En deels komt dat doordat deze teams hun systemen proberen aan te schaffen buiten het bereik van IT.
Ondertussen zijn de apps zelf ontworpen om eenvoudig te starten en te integreren. Je kunt veel van hen lanceren zonder een creditcard. En gebruikers kunnen deze software vaak met slechts één klik integreren met enkele van hun belangrijkste systemen, zoals het CRM, ERP, ondersteuningssysteem en Human Capital Management (HCM).
Dit geldt voor de meeste apps die worden aangeboden in de appstores van die grote leveranciers. Misha wijst erop dat Salesforce-gebruikers dat wel kunnen een app ‘verbinden’ vanuit de Salesforce AppExchange zonder het daadwerkelijk te installeren. Dat betekent dat er geen toezicht is, dat het toegang heeft tot uw klantgegevens en dat zijn activiteiten worden geregistreerd onder het gebruikersprofiel, waardoor het moeilijk te volgen is.
Dat is dus het eerste probleem. Het is heel eenvoudig om nieuwe, mogelijk onveilige apps aan uw kernapps te koppelen. Het tweede probleem is dat de meeste van deze systemen niet zijn ontworpen zodat beheerders kunnen observeren wat er binnenin gebeurt.
Bijvoorbeeld:
- Salesforce biedt veel prachtige DevOps-tools, maar geen native manier om geïntegreerde apps bij te houden, API-sleutels uit te breiden of organisaties te vergelijken om verdachte wijzigingen op te sporen.
- NetSuite's changelog geeft alleen geen details over wie wat heeft gewijzigd dat er is iets veranderd, waardoor het moeilijk is om te controleren.
- van Jira changelog is even schaars en Jira is vaak geïntegreerd met Zendesk, PagerDuty en Slack, die gevoelige gegevens bevatten.
Dit maakt het moeilijk om te weten wat er is geconfigureerd, welke applicaties toegang hebben tot welke gegevens en wie er in uw systemen heeft gezeten.
Wat u eraan kunt doen?
De beste verdediging is een automatische verdediging, zegt Misha, dus praat met uw cybersecurityteam over hoe zij het monitoren van uw bedrijfsapplicaties in hun bestaande plannen kunnen integreren. Maar voor volledig bewustzijn en dekking zullen ook zij een dieper inzicht nodig hebben in wat er binnen en tussen deze applicaties gebeurt dan wat deze tools standaard bieden. U moet tools bouwen of kopen die u kunnen helpen:
- Identificeer uw risico's: U hebt de mogelijkheid nodig om alles te bekijken wat in elke applicatie is geconfigureerd, om momentopnamen op tijd op te slaan en om die momentopnamen te vergelijken. Als een tool u het verschil kan vertellen tussen de configuratie van gisteren en die van vandaag, kunt u zien wie wat heeft gedaan en inbraken of de mogelijkheid van inbraken detecteren.
- Onderzoek, monitor en analyseer op kwetsbaarheden: U hebt een manier nodig om waarschuwingen in te stellen voor wijzigingen in uw meest gevoelige configuraties. Deze zullen verder moeten gaan dan de traditionele SaaS security postuur management (SSPM) tools, die de neiging hebben om slechts één applicatie tegelijk te monitoren, of alleen routinematige aanbevelingen te doen. Als iets verbinding maakt met Salesforce of Zendesk en een belangrijke workflow verandert, moet u dat weten.
- Ontwikkel een reactieplan: Gebruik een Git-achtige tool waarmee je “versie” uw bedrijfsapplicaties om eerdere statussen op te slaan waar u vervolgens naar kunt terugkeren. Het zal niet elke inbraak herstellen en kan ertoe leiden dat u metagegevens kwijtraakt, maar het is een effectieve eerste lijn van herstel.
- Onderhoud uw SaaS-beveiligingshygiëne: Geef iemand in het team de opdracht om uw organisaties up-to-date te houden, onnodige gebruikers en integraties te deactiveren en ervoor te zorgen dat beveiligingsinstellingen die zijn uitgeschakeld, weer worden ingeschakeld. Als iemand bijvoorbeeld encryptie of TLS uitschakelt om een webhook te configureren, controleer dan of dit het geval is. opnieuw ingeschakeld.
Als je dat allemaal bij elkaar kunt brengen, kun je beginnen met het identificeren van gebieden waar kwaadwillende actoren binnen kunnen komen, zoals via de webhooks van Slack, zoals Misha opmerkt.
Uw rol in de beveiliging van bedrijfssystemen
Het is niet alleen aan beheerders om deze systemen te beveiligen, maar u kunt wel een belangrijke rol spelen bij het op slot doen van enkele voor de hand liggende open deuren. En hoe beter u in deze systemen kunt kijken (een karwei waar ze niet altijd standaard voor zijn gebouwd), hoe beter u weet of iemand een bedrijfsapplicatie heeft gehackt.
