Les noen cybersikkerhetsoverskrifter, og du vil legge merke til en trend: De involverer i økende grad forretningsapplikasjoner.
For eksempel e-postverktøyet MailChimp sier at inntrengere brøt seg inn på kundekontoene deres via et "internt verktøy." Markedsføringsautomatiseringsprogramvare HubSpot ble infiltrert. Bedriftspassordlommebok Okta ble kompromittert. Prosjektstyringsverktøy Jira laget en oppdatering som ved et uhell avslørte den private informasjonen til klienter som Google og NASA.
Dette er en av cybersikkerhetens nyeste fronter: dine interne verktøy.
Det er bare logisk at ondsinnede aktører vil trenge seg inn her neste, eller at ansatte ved et uhell lar dører stå åpne. Den gjennomsnittlige organisasjonen har nå 843 SaaS-applikasjoner og i økende grad stoler på dem for å drive kjernevirksomheten. Jeg var nysgjerrig på hva administratorer kan gjøre for å holde disse appene sikre, så jeg intervjuet en gammel kollega, Misha Seltzer, en CTO og medgründer av Atmosec, som jobber i dette området.
Hvorfor forretningsapplikasjoner er spesielt sårbare
Brukerne av forretningsapplikasjoner har en tendens til ikke å tenke på sikkerhet og etterlevelse. Dels fordi det ikke er jobben deres, sier Misha. De er allerede mye opptatt. Og delvis er det fordi disse teamene prøver å kjøpe systemene sine utenfor IT-området.
I mellomtiden er selve appene designet for å være enkle å starte og integrere. Du kan starte mange av dem uten kredittkort. Og brukere kan ofte integrere denne programvaren med noen av sine mest vitale systemer som CRM, ERP, støttesystem og Human Capital Management (HCM) med så lite som ett klikk.
Dette gjelder de fleste apper som tilbys i de store leverandørenes appbutikker. Misha påpeker at Salesforce-brukere kan "koble til" en app fra Salesforce AppExchange uten å faktisk installere det. Det betyr at det ikke er noen gransking, den kan få tilgang til kundedataene dine, og aktivitetene logges under brukerprofilen, noe som gjør det vanskelig å spore.
Så det er det første problemet. Det er veldig enkelt å koble nye, potensielt usikre apper til kjerneappene dine. Det andre problemet er at de fleste av disse systemene ikke er designet for at administratorer skal kunne observere hva som foregår i dem.
For eksempel:
- Salesforce tilbyr mange fantastiske DevOps-verktøy, men ingen naturlig måte å spore integrerte apper, utvide API-nøkler eller sammenligne organisasjoner for å oppdage mistenkelige endringer.
- NetSuite sin changelog gir ikke detaljer om hvem som endret hva - bare Det noe endret seg, noe som gjorde det vanskelig å revidere.
- Jira sin changelog er like sparsom, og Jira er ofte integrert med Zendesk, PagerDuty og Slack, som inneholder sensitive data.
Dette gjør det vanskelig å vite hva som er konfigurert, hvilke applikasjoner som har tilgang til hvilke data, og hvem som har vært i systemene dine.
Hva du kan gjøre med det
Det beste forsvaret er et automatisk forsvar, sier Misha, så snakk med cybersikkerhetsteamet ditt om hvordan de kan rulle overvåking av forretningsapplikasjonene dine inn i sine eksisterende planer. Men for fullstendig bevissthet og dekning, vil de også trenge dypere innsikt i hva som skjer i og mellom disse applikasjonene enn hva disse verktøyene naturlig gir. Du må bygge eller kjøpe verktøy som kan hjelpe deg:
- Identifiser risikoene dine: Du trenger muligheten til å se alt som er konfigurert i hver applikasjon, lagre øyeblikksbilder i tide og sammenligne disse. Hvis et verktøy kan fortelle deg forskjellen mellom gårsdagens konfigurasjon og dagens, kan du se hvem som har gjort hva – og oppdage inntrenging eller potensialet for inntrenging.
- Undersøk, overvåk og analyser for sårbarheter: Du trenger en måte å angi varsler for endringer i de mest sensitive konfigurasjonene dine. Disse må gå utover tradisjonelle SaaS-verktøy for sikkerhetsstillingsstyring (SSPM), som har en tendens til å overvåke bare én applikasjon om gangen, eller bare gi rutinemessige anbefalinger. Hvis noe kobles til Salesforce eller Zendesk og endrer en viktig arbeidsflyt, må du vite det.
- Lag en responsplan: Ta i bruk et Git-lignende verktøy som lar deg "versjon” dine forretningsapplikasjoner for å lagre tidligere tilstander som du deretter kan gå tilbake til. Det vil ikke fikse alle inntrengninger, og kan føre til at du mister metadata, men det er en effektiv førstelinje for utbedring.
- Oppretthold din SaaS-sikkerhetshygiene: Gi noen i teamet sted for å holde organisasjonene dine oppdatert, deaktivere unødvendige brukere og integrasjoner, og sikre at sikkerhetsinnstillinger som ble slått av slås på igjen - for eksempel hvis noen deaktiverer kryptering eller TLS for å konfigurere en webhook, sjekk at det var aktivert på nytt.
Hvis du kan sette alt dette sammen, kan du begynne å identifisere områder som ondsinnede aktører kan komme inn på - for eksempel gjennom Slacks webhooks, som Misha påpeker.
Din rolle i Business System Security
Det er ikke opp til administratorer alene å sikre disse systemene, men du kan spille en viktig rolle i å låse noen av de åpenbare åpne dørene. Og jo bedre du er i stand til å se inn i disse systemene – en oppgave som de ikke alltid er bygget for å tillate – jo bedre vil du vite om noen hacket en forretningsapplikasjon.
