Великий взлом BizApp: киберриски в ваших повседневных бизнес-приложениях

Прочтите несколько заголовков, посвященных кибербезопасности, и вы заметите тенденцию: они все чаще связаны с бизнес-приложениями.

Например, инструмент электронной почты Mailchimp говорит, что злоумышленники взломали учетные записи ее клиентов с помощью «внутреннего инструмента». Программное обеспечение для автоматизации маркетинга HubSpot проник. Кошелек для корпоративных паролей Окта была скомпрометирована. Инструмент управления проектами Jira сделал обновление, которое случайно раскрыло личную информацию таких клиентов, как Google и NASA.

Это одно из новейших направлений кибербезопасности: ваши внутренние инструменты.

Вполне логично, что в следующий раз сюда вторгнутся злоумышленники или что сотрудники случайно оставят двери открытыми. Средняя организация теперь имеет 843 приложений SaaS и все больше полагается на них в своих основных операциях. Мне было любопытно, что администраторы могут сделать для обеспечения безопасности этих приложений, поэтому я взял интервью у своего старого коллеги, Миши Зельцера, технического директора и соучредителя Atmosec, который работает в этой сфере.

Почему бизнес-приложения особенно уязвимы

Пользователи бизнес-приложений склонны не думать о безопасности и соответствие. Отчасти потому, что это не их работа, — говорит Миша. Они уже очень заняты. Отчасти потому, что эти команды пытаются приобрести свои системы вне компетенции ИТ-отдела.

Между тем, сами приложения спроектированы таким образом, чтобы их было легко запускать и интегрировать. Вы можете запустить многие из них без кредитной карты. И пользователи часто могут интегрировать это программное обеспечение с некоторыми из своих наиболее важных систем учета, таких как CRM, ERP, система поддержки и управление человеческим капиталом (HCM), всего одним щелчком мыши.

Это верно для большинства приложений, предлагаемых в магазинах приложений этих крупных поставщиков. Миша отмечает, что пользователи Salesforce могут «подключить» приложение из Salesforce AppExchange фактически не устанавливая его. Это означает, что нет никакой проверки, он может получить доступ к данным ваших клиентов, а его действия регистрируются в профиле пользователя, что затрудняет отслеживание.

Итак, это первая проблема. Очень легко подключить новые, потенциально небезопасные приложения к вашим основным приложениям. Вторая проблема заключается в том, что большинство этих систем не предназначены для того, чтобы администраторы могли наблюдать за тем, что в них происходит.

Например:

• Salesforce предлагает множество замечательных инструментов DevOps, но не имеет собственного способа отслеживать интегрированные приложения, расширять ключи API или сравнивать организации для обнаружения подозрительных изменений.
• NetSuite журнал изменений не предоставляет подробностей о том, кто что изменил — только который что-то изменилось, что затрудняет аудит.
• Джиры журнал изменений также скуден, и Jira часто интегрируется с Zendesk, PagerDuty и Slack, которые содержат конфиденциальные данные.

Это затрудняет понимание того, что настроено, какие приложения имеют доступ к каким данным и кто был в ваших системах.

Что вы можете с этим сделать

Миша говорит, что лучшая защита — это автоматическая защита, поэтому поговорите со своей командой по кибербезопасности о том, как они могут включить мониторинг ваших бизнес-приложений в свои существующие планы. Но для полной осведомленности и охвата им также потребуется более глубокое понимание того, что происходит внутри и между этими приложениями, чем то, что изначально предоставляют эти инструменты. Вам нужно будет создать или купить инструменты, которые помогут вам:

• Определите свои риски: Вам понадобится возможность просматривать все, что настроено в каждом приложении, сохранять моментальные снимки во времени и сравнивать эти снимки. Если инструмент может определить разницу между вчерашней конфигурацией и сегодняшней, вы сможете увидеть, кто что сделал, и обнаружить вторжения или потенциальные возможности вторжений.
• Исследуйте, отслеживайте и анализируйте уязвимости: Вам нужен способ настроить оповещения об изменениях в наиболее важных конфигурациях. Они должны выйти за рамки традиционных инструментов управления состоянием безопасности SaaS (SSPM), которые, как правило, отслеживают только одно приложение за раз или предоставляют только стандартные рекомендации. Если что-то подключается к Salesforce или Zendesk и изменяет важный рабочий процесс, вам нужно об этом знать.
• Разработайте план реагирования: Используйте Git-подобный инструмент, который позволит вам «версия” ваши бизнес-приложения для хранения предыдущих состояний, к которым вы затем можете вернуться. Это не исправит каждое вторжение и может привести к потере метаданных, но это эффективная первая линия исправления.
• Поддерживайте гигиену безопасности SaaS: Поручите кому-нибудь из команды поддерживать актуальность ваших организаций, деактивировать ненужных пользователей и интеграции и следить за тем, чтобы отключенные параметры безопасности снова включались — например, если кто-то отключает шифрование или TLS для настройки веб-перехватчика, убедитесь, что он был повторно включен.

Если вы сможете собрать все это вместе, вы сможете начать определять области, в которые могут проникнуть злоумышленники, такие как через вебхуки Slack, как отмечает Миша.

Ваша роль в безопасности бизнес-систем

Защитить эти системы должны не только администраторы, но вы можете сыграть важную роль в запирании некоторых очевидных открытых дверей. И чем лучше вы сможете заглянуть в эти системы — рутинная работа, для которой они не всегда предназначены, — тем лучше вы узнаете, взломал ли кто-то бизнес-приложение.