The Great BizApp Hack: ความเสี่ยงทางไซเบอร์ในแอปพลิเคชันทางธุรกิจประจำวันของคุณ

อ่านพาดหัวข่าวเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์แล้วคุณจะเห็นแนวโน้ม: สิ่งเหล่านี้เกี่ยวข้องกับแอปพลิเคชันทางธุรกิจมากขึ้น

ตัวอย่างเช่น เครื่องมืออีเมล MailChimp กล่าวว่าผู้บุกรุกบุกเข้าไปในบัญชีของลูกค้าผ่าน "เครื่องมือภายใน" ซอฟต์แวร์การตลาดอัตโนมัติ HubSpot ถูกแทรกซึม. กระเป๋ารหัสผ่านองค์กร Okta ถูกบุกรุก. เครื่องมือการจัดการโครงการ จิระ ได้ทำการอัปเดตที่เปิดเผยข้อมูลส่วนตัวของลูกค้าเช่น Google และ NASA โดยไม่ได้ตั้งใจ

นี่เป็นหนึ่งในแนวหน้าใหม่ล่าสุดของการรักษาความปลอดภัยทางไซเบอร์: เครื่องมือภายในของคุณ

มีเหตุผลเท่านั้นที่ผู้กระทำความผิดจะบุกรุกที่นี่ต่อไป มิฉะนั้นพนักงานจะเปิดประตูทิ้งไว้โดยไม่ได้ตั้งใจ องค์กรโดยเฉลี่ยในขณะนี้มี 843 แอปพลิเคชัน SaaS และพึ่งพาพวกเขามากขึ้นในการดำเนินการหลัก ฉันอยากรู้ว่าผู้ดูแลระบบจะทำอะไรได้บ้างเพื่อให้แอปเหล่านี้ปลอดภัย ดังนั้นฉันจึงสัมภาษณ์เพื่อนร่วมงานเก่า Misha Seltzer, CTO และผู้ร่วมก่อตั้ง Atmosec ที่ทำงานในพื้นที่นี้

เหตุใดแอปพลิเคชันทางธุรกิจจึงมีความเสี่ยงเป็นพิเศษ

ผู้ใช้แอพพลิเคชั่นทางธุรกิจ มักไม่คำนึงถึงความปลอดภัย และการปฏิบัติตาม ส่วนหนึ่งเพราะนั่นไม่ใช่งานของพวกเขา Misha กล่าว พวกเขายุ่งมากอยู่แล้ว ส่วนหนึ่งเป็นเพราะทีมเหล่านี้พยายามซื้อระบบของตนนอกขอบเขตของไอที

ในขณะเดียวกัน ตัวแอพเองก็ได้รับการออกแบบมาให้เปิดใช้งานและผสานรวมได้ง่าย คุณสามารถเปิดตัวได้หลายแบบโดยไม่ต้องใช้บัตรเครดิต และผู้ใช้มักจะรวมซอฟต์แวร์นี้เข้ากับระบบบันทึกที่สำคัญที่สุดบางระบบ เช่น CRM, ERP, ระบบสนับสนุน และการจัดการทุนมนุษย์ (HCM) ได้ด้วยการคลิกเพียงครั้งเดียว

สิ่งนี้เป็นจริงสำหรับแอพส่วนใหญ่ที่นำเสนอภายในร้านแอพของผู้จำหน่ายรายใหญ่เหล่านั้น Misha ชี้ให้เห็นว่าผู้ใช้ Salesforce สามารถ “เชื่อมต่อ” แอป จาก Salesforce AppExchange โดยไม่ต้องติดตั้งจริง. ซึ่งหมายความว่าไม่มีการตรวจสอบอย่างละเอียด สามารถเข้าถึงข้อมูลลูกค้าของคุณได้ และกิจกรรมต่างๆ จะถูกบันทึกไว้ภายใต้โปรไฟล์ผู้ใช้ ทำให้ยากต่อการติดตาม

นั่นคือประเด็นแรก การเชื่อมต่อแอปใหม่ที่ไม่ปลอดภัยกับแอปหลักของคุณเป็นเรื่องง่ายมาก ปัญหาที่สองคือ ระบบส่วนใหญ่เหล่านี้ไม่ได้ออกแบบมาให้ผู้ดูแลระบบสามารถสังเกตสิ่งที่เกิดขึ้นภายในระบบได้

ตัวอย่างเช่น:

• Salesforce มีเครื่องมือ DevOps ที่ยอดเยี่ยมมากมาย แต่ไม่มีวิธีดั้งเดิมในการติดตามแอปที่ผสานรวม ขยายคีย์ API หรือเปรียบเทียบองค์กรเพื่อตรวจจับการเปลี่ยนแปลงที่น่าสงสัย
• NetSuite's บันทึกการเปลี่ยนแปลงไม่ได้ให้รายละเอียดว่าใครเปลี่ยนแปลงอะไร — เท่านั้น ที่ บางอย่างเปลี่ยนไป ทำให้ตรวจสอบได้ยาก
• จิรา บันทึกการเปลี่ยนแปลงนั้นเบาบางเท่าๆ กัน และ Jira มักถูกรวมเข้ากับ Zendesk, PagerDuty และ Slack ซึ่งมีข้อมูลที่ละเอียดอ่อน

ซึ่งทำให้ยากที่จะทราบว่ามีการกำหนดค่าใดบ้าง แอปพลิเคชันใดบ้างที่สามารถเข้าถึงข้อมูลใด และใครอยู่ในระบบของคุณ

คุณสามารถทำอะไรกับมันได้บ้าง

การป้องกันที่ดีที่สุดคือการป้องกันแบบอัตโนมัติ Misha กล่าว ดังนั้นให้พูดคุยกับทีมรักษาความปลอดภัยทางไซเบอร์ของคุณเกี่ยวกับวิธีที่พวกเขาสามารถติดตามแอปพลิเคชันธุรกิจของคุณในแผนที่มีอยู่ได้ แต่สำหรับความตระหนักรู้และการครอบคลุมที่สมบูรณ์ พวกเขาเองก็ต้องการข้อมูลเชิงลึกที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับสิ่งที่เกิดขึ้นภายในและระหว่างแอปพลิเคชันเหล่านี้ มากกว่าที่เครื่องมือเหล่านี้มีให้โดยกำเนิด คุณจะต้องสร้างหรือซื้อเครื่องมือที่สามารถช่วยคุณได้:

• ระบุความเสี่ยงของคุณ: คุณจะต้องมีความสามารถในการดูทุกอย่างที่กำหนดค่าไว้ในแต่ละแอปพลิเคชัน เพื่อบันทึกสแน็ปช็อตให้ทันเวลา และเพื่อเปรียบเทียบสแนปชอตเหล่านั้น หากเครื่องมือสามารถบอกคุณถึงความแตกต่างระหว่างการกำหนดค่าของเมื่อวานและของวันนี้ คุณสามารถดูว่าใครทำอะไรได้บ้าง และตรวจจับการบุกรุกหรือโอกาสในการบุกรุก
• สอบสวน ตรวจสอบ และวิเคราะห์หาช่องโหว่: คุณต้องการวิธีตั้งค่าการแจ้งเตือนสำหรับการเปลี่ยนแปลงการกำหนดค่าที่ละเอียดอ่อนที่สุดของคุณ สิ่งเหล่านี้จะต้องไปไกลกว่าเครื่องมือการจัดการความปลอดภัย SaaS แบบเดิม (SSPM) ซึ่งมักจะตรวจสอบแอปพลิเคชันเพียงครั้งละหนึ่งรายการหรือเพื่อให้คำแนะนำตามปกติเท่านั้น หากมีบางสิ่งเชื่อมต่อกับ Salesforce หรือ Zendesk และเปลี่ยนแปลงเวิร์กโฟลว์ที่สำคัญ คุณจำเป็นต้องรู้
• พัฒนาแผนการตอบสนอง: ใช้เครื่องมือคล้าย Git ที่ช่วยให้คุณ “รุ่น” แอปพลิเคชันธุรกิจของคุณเพื่อจัดเก็บสถานะก่อนหน้าซึ่งคุณสามารถเปลี่ยนกลับเป็น ไม่สามารถแก้ไขการบุกรุกได้ทุกครั้ง และอาจทำให้คุณสูญเสียข้อมูลเมตา แต่เป็นแนวทางแรกในการแก้ไขที่มีประสิทธิภาพ
• รักษาสุขอนามัยด้านความปลอดภัย SaaS ของคุณ: มอบหมายให้บางคนในทีมดูแลองค์กรของคุณให้ทันสมัยอยู่เสมอ ปิดใช้งานผู้ใช้และการรวมระบบที่ไม่จำเป็น และตรวจสอบให้แน่ใจว่าการตั้งค่าความปลอดภัยที่ถูกปิดนั้นเปิดขึ้นอีกครั้ง — เช่น หากมีคนปิดใช้งานการเข้ารหัสหรือ TLS เพื่อกำหนดค่าเว็บฮุค ให้ตรวจสอบว่า เปิดใช้งานอีกครั้ง

หากคุณสามารถรวมทุกอย่างเข้าด้วยกันได้ คุณสามารถเริ่มระบุพื้นที่ที่ผู้ประสงค์ร้ายสามารถเข้าไปได้ เช่น ผ่านเว็บฮุคของ Slackอย่างที่มิชาชี้ให้เห็น

บทบาทของคุณในความปลอดภัยของระบบธุรกิจ

การรักษาความปลอดภัยระบบเหล่านี้ไม่ได้ขึ้นอยู่กับผู้ดูแลระบบเพียงคนเดียว แต่คุณสามารถมีบทบาทสำคัญในการล็อกประตูที่เปิดอยู่บางส่วนได้อย่างชัดเจน และยิ่งคุณมองเห็นระบบเหล่านี้ได้ดียิ่งขึ้น ซึ่งเป็นงานบ้านที่ไม่ได้สร้างขึ้นมาเพื่อให้อนุญาตเสมอ คุณจะรู้ได้ดีขึ้นว่ามีคนแฮ็กแอปพลิเคชันทางธุรกิจหรือไม่