Läs några rubriker för cybersäkerhet och du kommer att märka en trend: De involverar i allt större utsträckning affärsapplikationer.
Till exempel e-postverktyget Mailchimp säger att inkräktare tagit sig in på deras kundkonton via ett "internt verktyg." Programvara för marknadsföringsautomation HubSpot blev infiltrerad. Företagslösenordsplånbok Okta var äventyrad. Projektledningsverktyg Jira gjorde en uppdatering som av misstag avslöjade privat information från klienter som Google och NASA.
Detta är en av cybersäkerhetens senaste fronter: dina interna verktyg.
Det är bara logiskt att illvilliga aktörer skulle inkräkta här nästa, eller att anställda av misstag skulle lämna dörrar öppna. Den genomsnittliga organisationen har nu 843 SaaS-applikationer och förlitar sig alltmer på dem för att driva sin kärnverksamhet. Jag var nyfiken på vad administratörer kan göra för att hålla dessa appar säkra, så jag intervjuade en gammal kollega, Misha Seltzer, en CTO och medgrundare av Atmosec, som arbetar i detta utrymme.
Varför affärsapplikationer är särskilt sårbara
Användarna av affärsapplikationer tenderar att inte tänka på säkerhet och efterlevnad. Dels för att det inte är deras jobb, säger Misha. De har redan fullt upp. Och delvis beror det på att dessa team försöker köpa sina system utanför IT:s område.
Samtidigt är själva apparna designade för att vara lätta att starta och integrera. Du kan starta många av dem utan ett kreditkort. Och användare kan ofta integrera den här programvaran med några av sina mest vitala registersystem som CRM, ERP, supportsystem och Human Capital Management (HCM) med så lite som ett klick.
Detta gäller de flesta appar som erbjuds i de stora leverantörernas appbutiker. Misha påpekar att Salesforce-användare kan "anslut" en app från Salesforce AppExchange utan att faktiskt installera det. Det betyder att det inte finns någon granskning, den kan komma åt din kunddata och dess aktiviteter loggas under användarprofilen, vilket gör det svårt att spåra.
Så det är den första frågan. Det är väldigt enkelt att koppla nya, potentiellt osäkra appar till dina kärnappar. Den andra frågan är att de flesta av dessa system inte har utformats för att administratörer ska kunna observera vad som händer inom dem.
Till exempel:
- Salesforce erbjuder många underbara DevOps-verktyg, men inget inbyggt sätt att spåra integrerade appar, utöka API-nycklar eller jämföra organisationer för att upptäcka misstänkta förändringar.
- NetSuites changelog ger inte detaljer om vem som ändrade vad - bara den där något förändrades, vilket gjorde det svårt att granska.
- Jiras changelog är lika sparsam och Jira är ofta integrerad med Zendesk, PagerDuty och Slack, som innehåller känslig data.
Detta gör det svårt att veta vad som är konfigurerat, vilka applikationer som har tillgång till vilken data och vem som har varit i dina system.
Vad du kan göra åt det
Det bästa försvaret är ett automatiskt försvar, säger Misha, så prata med ditt cybersäkerhetsteam om hur de kan rulla övervakning av dina affärsapplikationer i sina befintliga planer. Men för fullständig medvetenhet och täckning kommer de också att behöva djupare insikt i vad som händer inom och mellan dessa applikationer än vad dessa verktyg ger. Du måste bygga eller köpa verktyg som kan hjälpa dig:
- Identifiera dina risker: Du behöver möjligheten att se allt som är konfigurerat i varje applikation, spara ögonblicksbilder i tid och jämföra dessa ögonblicksbilder. Om ett verktyg kan berätta skillnaden mellan gårdagens konfiguration och dagens, kan du se vem som har gjort vad — och upptäcka intrång eller potential för intrång.
- Undersök, övervaka och analysera för sårbarheter: Du behöver ett sätt att ställa in varningar för ändringar av dina mest känsliga konfigurationer. Dessa kommer att behöva gå längre än traditionella SaaS-säkerhetsställningshanteringsverktyg (SSPM), som tenderar att övervaka endast en applikation åt gången, eller bara ge rutinmässiga rekommendationer. Om något ansluter till Salesforce eller Zendesk och ändrar ett viktigt arbetsflöde måste du veta.
- Utveckla en svarsplan: Använd ett Git-liknande verktyg som låter dig "version” dina affärsapplikationer för att lagra tidigare tillstånd som du sedan kan återgå till. Det kommer inte att fixa alla intrång och kan göra att du förlorar metadata, men det är en effektiv första åtgärdslinje.
- Underhåll din SaaS-säkerhetshygien: Ersätta någon i teamet med att hålla dina organisationer uppdaterade, inaktivera onödiga användare och integrationer och se till att säkerhetsinställningar som var avstängda aktiveras igen - t.ex. om någon inaktiverar kryptering eller TLS för att konfigurera en webhook, kontrollera att det var återaktiverad.
Om du kan sätta ihop allt detta kan du börja identifiera områden som skadliga aktörer kan hamna i - som t.ex genom Slacks webhooks, som Misha påpekar.
Din roll i affärssystemsäkerhet
Det är inte enbart upp till administratörer att säkra dessa system, men du kan spela en viktig roll för att låsa några av de uppenbara öppna dörrarna. Och ju bättre du kan se in i dessa system – en syssla som de inte alltid är inbyggda för att tillåta – desto bättre kommer du att veta om någon hackat en affärsapplikation.
