Прочитайте кілька заголовків про кібербезпеку, і ви помітите тенденцію: вони все частіше включають бізнес-додатки.
Наприклад, інструмент електронної пошти Mailchimp каже, що зловмисники зламали облікові записи клієнтів за допомогою «внутрішнього інструменту». Програмне забезпечення для автоматизації маркетингу HubSpot проникли. Корпоративний гаманець з паролями Okta була скомпрометована. Інструмент управління проектами Jira зробив оновлення, яке випадково розкрило особисту інформацію клієнтів, таких як Google і NASA.
Це один із найновіших фронтів кібербезпеки: ваші внутрішні інструменти.
Цілком логічно, що зловмисники вторгнуться сюди наступним або що співробітники випадково залишать двері відкритими. Зараз середня організація має 843 програм SaaS і все більше покладається на них для виконання своїх основних операцій. Мені було цікаво, що адміністратори можуть зробити, щоб забезпечити безпеку цих додатків, тому я опитав старого колегу, Мішу Зельтцера, технічного директора та співзасновника Atmosec, який працює в цій сфері.
Чому бізнес-програми особливо вразливі
Користувачі бізнес-додатків схильні не думати про безпеку і відповідність. Частково тому, що це не їхня робота, — каже Міша. Вони вже дуже зайняті. І частково це тому, що ці команди намагаються придбати свої системи поза компетенцією ІТ.
Водночас, самі програми розроблені таким чином, щоб їх було легко запускати та інтегрувати. Ви можете запустити багато з них без кредитної картки. І користувачі часто можуть інтегрувати це програмне забезпечення з деякими зі своїх найважливіших систем обліку, такими як CRM, ERP, система підтримки та управління людським капіталом (HCM), лише одним клацанням миші.
Це стосується більшості програм, які пропонуються в магазинах додатків основних постачальників. Міша зазначає, що користувачі Salesforce можуть «підключити» програму із Salesforce AppExchange фактично не встановивши його. Це означає, що немає жодного контролю, він може отримати доступ до даних ваших клієнтів, а його дії реєструються в профілі користувача, що ускладнює відстеження.
Отже, це перше питання. Дуже легко підключити нові, потенційно небезпечні програми до ваших основних програм. Друга проблема полягає в тому, що більшість із цих систем не розроблені для того, щоб адміністратори спостерігали за тим, що в них відбувається.
Наприклад:
- Salesforce пропонує багато чудових інструментів DevOps, але немає рідного способу відстеження інтегрованих програм, розширення ключів API або порівняння організацій для виявлення підозрілих змін.
- NetSuite журнал змін не надає подробиць про те, хто що змінив — лише Що щось змінилося, що ускладнило аудит.
- Джира Журнал змін так само розріджений, і Jira часто інтегрується з Zendesk, PagerDuty та Slack, які містять конфіденційні дані.
Через це важко дізнатися, що налаштовано, які програми мають доступ до яких даних і хто був у ваших системах.
Що ви можете з цим зробити
Найкращий захист — це автоматичний захист, каже Міша, тому поговоріть зі своєю командою з кібербезпеки про те, як вони можуть включити моніторинг ваших бізнес-додатків у свої існуючі плани. Але для повної обізнаності та охоплення їм також знадобиться глибше розуміння того, що відбувається в цих програмах і між ними, ніж те, що надають ці інструменти. Вам потрібно буде створити або придбати інструменти, які допоможуть вам:
- Визначте свої ризики: Вам знадобиться можливість переглядати все, що налаштовано в кожній програмі, вчасно зберігати знімки та порівнювати ці знімки. Якщо інструмент може визначити різницю між учорашньою конфігурацією та сьогоднішньою, ви зможете побачити, хто що зробив, і виявити вторгнення або можливість вторгнення.
- Вивчайте, відстежуйте та аналізуйте вразливості: Вам потрібен спосіб налаштувати сповіщення про зміни ваших найбільш конфіденційних конфігурацій. Вони повинні вийти за рамки традиційних інструментів керування безпекою SaaS (SSPM), які, як правило, відстежують лише одну програму за раз або надають лише рутинні рекомендації. Якщо щось підключається до Salesforce або Zendesk і змінює важливий робочий процес, вам потрібно знати.
- Розробіть план реагування: Використовуйте інструмент, схожий на Git, який дозволяє вам "версія” ваші бізнес-програми для збереження попередніх станів, до яких потім можна повернутися. Це не виправить кожне вторгнення та може спричинити втрату метаданих, але це ефективний перший шлях виправлення.
- Підтримуйте гігієну безпеки SaaS: Замініть когось у команді, щоб підтримувати ваші організації в актуальному стані, деактивувати непотрібних користувачів і інтеграцію, а також переконатися, що параметри безпеки, які були вимкнені, знову ввімкнено — наприклад, якщо хтось вимикає шифрування або TLS, щоб налаштувати вебхук, переконайтеся, що це було повторно ввімкнено.
Якщо ви можете зібрати все це разом, ви можете почати визначати області, куди можуть проникнути зловмисники, наприклад через веб-хуки Slack, як зазначає Міша.
Ваша роль у безпеці бізнес-системи
Не лише адміністратори повинні захистити ці системи, але ви можете відіграти важливу роль у блокуванні деяких очевидних відкритих дверей. І чим краще ви зможете розібратися в цих системах — клопітній справі, яку вони не завжди створюють, — тим краще ви знатимете, чи хтось зламав бізнес-програму.
