Wielki hack BizApp: cyber-ryzyka w codziennych aplikacjach biznesowych

Przeczytaj kilka nagłówków na temat cyberbezpieczeństwa, a zauważysz trend: coraz częściej dotyczą one aplikacji biznesowych.

Na przykład narzędzie poczty e-mail MailChimp mówi, że intruzi włamali się na konta klientów za pomocą „wewnętrznego narzędzia”. Oprogramowanie do automatyzacji marketingu HubSpot został zinfiltrowany. Portfel haseł firmowych Okta została skompromitowana. Narzędzie do zarządzania projektami Jira dokonał aktualizacji, która przypadkowo ujawniła prywatne informacje klientów takich jak Google i NASA.

To jeden z najnowszych frontów cyberbezpieczeństwa: Twoje wewnętrzne narzędzia.

Logiczne jest tylko to, że złośliwi aktorzy wtargnęliby tutaj w następnej kolejności lub że pracownicy przypadkowo zostawiliby otwarte drzwi. Przeciętna organizacja ma teraz 843 aplikacje SaaS i w coraz większym stopniu polega na nich przy prowadzeniu swojej podstawowej działalności. Byłem ciekaw, co administratorzy mogą zrobić, aby zapewnić bezpieczeństwo tych aplikacji, więc przeprowadziłem wywiad ze starym kolegą, Miszą Seltzer, CTO i współzałożycielem Atmosec, który pracuje w tym obszarze.

Dlaczego aplikacje biznesowe są szczególnie narażone

Użytkownicy aplikacji biznesowych nie myśl o bezpieczeństwie i zgodność. Częściowo dlatego, że to nie jest ich praca, mówi Misha. Są już bardzo zajęci. Częściowo dzieje się tak dlatego, że te zespoły próbują kupować swoje systemy poza zasięgiem działu IT.

Tymczasem same aplikacje są zaprojektowane tak, aby były łatwe do uruchomienia i integracji. Wiele z nich można uruchomić bez karty kredytowej. Użytkownicy mogą często zintegrować to oprogramowanie z niektórymi z najważniejszych systemów rejestrowania, takimi jak CRM, ERP, system wsparcia i zarządzanie kapitałem ludzkim (HCM) za pomocą jednego kliknięcia.

Dotyczy to większości aplikacji oferowanych w sklepach z aplikacjami tych głównych dostawców. Misha zwraca uwagę, że użytkownicy Salesforce mogą: „podłącz” aplikację z Salesforce AppExchange bez faktycznego instalowania tego. Oznacza to, że nie ma kontroli, może uzyskać dostęp do danych klienta, a jego działania są rejestrowane w profilu użytkownika, co utrudnia śledzenie.

Więc to jest pierwszy problem. Łączenie nowych, potencjalnie niezabezpieczonych aplikacji z podstawowymi aplikacjami jest bardzo łatwe. Drugą kwestią jest to, że większość z tych systemów nie została zaprojektowana dla administratorów, aby mogli obserwować, co się w nich dzieje.

Na przykład:

• Salesforce oferuje wiele wspaniałych narzędzi DevOps, ale nie ma natywnego sposobu śledzenia zintegrowanych aplikacji, rozszerzania kluczy API lub porównywania organizacji w celu wykrycia podejrzanych zmian.
• NetSuite changelog nie podaje szczegółów, kto co zmienił — tylko że coś się zmieniło, utrudniając kontrolę.
• Jira changelog jest równie rzadki, a Jira jest często integrowana z Zendesk, PagerDuty i Slack, które zawierają wrażliwe dane.

To sprawia, że ​​trudno jest wiedzieć, co jest skonfigurowane, które aplikacje mają dostęp do jakich danych i kto był w Twoich systemach.

Co możesz z tym zrobić

Najlepszą obroną jest ochrona automatyczna, mówi Misha, więc porozmawiaj ze swoim zespołem ds. cyberbezpieczeństwa o tym, jak mogą włączyć monitorowanie aplikacji biznesowych do istniejących planów. Ale aby uzyskać pełną świadomość i zasięg, oni również będą potrzebować głębszego wglądu w to, co dzieje się w tych aplikacjach i pomiędzy nimi, niż to, co te narzędzia zapewniają natywnie. Musisz zbudować lub kupić narzędzia, które mogą Ci pomóc:

• Zidentyfikuj swoje ryzyko: Będziesz potrzebować możliwości przeglądania wszystkiego, co jest skonfigurowane w każdej aplikacji, zapisywania migawek na czas i porównywania tych migawek. Jeśli narzędzie może wskazać różnicę między wczorajszą konfiguracją a dzisiejszą, możesz zobaczyć, kto co zrobił — i wykryć włamania lub potencjalne włamania.
• Sonduj, monitoruj i analizuj pod kątem luk w zabezpieczeniach: Potrzebujesz sposobu na ustawienie alertów o zmianach w najbardziej wrażliwych konfiguracjach. Będą one musiały wyjść poza tradycyjne narzędzia do zarządzania stanem bezpieczeństwa SaaS (SSPM), które zwykle monitorują tylko jedną aplikację na raz lub dostarczają tylko rutynowe zalecenia. Jeśli coś łączy się z Salesforce lub Zendesk i zmienia ważny przepływ pracy, musisz wiedzieć.
• Opracuj plan reakcji: Zastosuj narzędzie podobne do Git, które pozwala „wersja” Twoje aplikacje biznesowe do przechowywania wcześniejszych stanów, do których możesz później powrócić. Nie naprawi wszystkich włamań i może spowodować utratę metadanych, ale jest to skuteczna pierwsza linia naprawcza.
• Zachowaj higienę bezpieczeństwa SaaS: Powierz kogoś z zespołu, aby aktualizował Twoje organizacje, dezaktywował zbędnych użytkowników i integracje oraz zapewnił, że wyłączone ustawienia zabezpieczeń zostaną ponownie włączone — np. jeśli ktoś wyłączył szyfrowanie lub TLS w celu skonfigurowania webhooka, sprawdź, czy był ponownie włączone.

Jeśli potrafisz to wszystko połączyć, możesz zacząć identyfikować obszary, do których mogą dostać się złośliwi aktorzy — na przykład przez webhooki Slacka, jak wskazuje Misha.

Twoja rola w bezpieczeństwie systemów biznesowych

Zabezpieczenie tych systemów nie należy wyłącznie do administratorów, ale możesz odegrać ważną rolę w zamykaniu niektórych oczywistych otwartych drzwi. A im lepiej jesteś w stanie zajrzeć do tych systemów — jest to zadanie, na które nie zawsze są one natywnie stworzone — tym lepiej będziesz wiedzieć, że ktoś zhakował aplikację biznesową.