Đọc một số tiêu đề về an ninh mạng và bạn sẽ nhận thấy một xu hướng: Chúng ngày càng liên quan đến các ứng dụng kinh doanh.
Ví dụ, công cụ email Mailchimp cho biết những kẻ xâm nhập đã đột nhập vào tài khoản khách hàng của họ thông qua một “công cụ nội bộ”. Phần mềm tự động hóa tiếp thị HubSpot bị xâm nhập. Ví mật khẩu công ty Okta đã bị xâm phạm. Công cụ quản lý dự án Jira đã thực hiện một bản cập nhật vô tình làm lộ thông tin cá nhân của các khách hàng như Google và NASA.
Đây là một trong những mặt trận mới nhất của an ninh mạng: các công cụ nội bộ của bạn.
Điều hợp lý là những kẻ độc hại sẽ xâm nhập vào đây lần tiếp theo hoặc nhân viên sẽ vô tình để cửa mở. Tổ chức trung bình hiện nay có 843 ứng dụng SaaS và ngày càng dựa vào chúng để điều hành các hoạt động cốt lõi của nó. Tôi tò mò về những gì quản trị viên có thể làm để bảo mật các ứng dụng này, vì vậy tôi đã phỏng vấn một đồng nghiệp cũ, Misha Seltzer, CTO và đồng sáng lập Atmosec, người đang làm việc trong lĩnh vực này.
Tại sao các ứng dụng kinh doanh đặc biệt dễ bị tổn thương
Người dùng các ứng dụng kinh doanh có xu hướng không nghĩ về bảo mật và sự tuân thủ. Một phần vì đó không phải là công việc của họ, Misha nói. Họ đã rất bận rộn rồi. Và một phần là do các nhóm này cố gắng mua hệ thống của họ ngoài tầm nhìn của bộ phận CNTT.
Trong khi đó, bản thân các ứng dụng được thiết kế để dễ khởi chạy và tích hợp. Bạn có thể khởi chạy nhiều ứng dụng trong số đó mà không cần thẻ tín dụng. Và người dùng thường có thể tích hợp phần mềm này với một số hệ thống lưu trữ quan trọng nhất của họ như CRM, ERP, hệ thống hỗ trợ và quản lý nguồn nhân lực (HCM) chỉ với một cú nhấp chuột.
Điều này đúng với hầu hết các ứng dụng được cung cấp trong kho ứng dụng của các nhà cung cấp lớn đó. Misha chỉ ra rằng người dùng Salesforce có thể “kết nối” một ứng dụng từ Salesforce AppExchange mà không thực sự cài đặt nó. Điều đó có nghĩa là không có sự giám sát kỹ lưỡng, nó có thể truy cập dữ liệu khách hàng của bạn và các hoạt động của nó được ghi lại dưới hồ sơ người dùng, khiến việc theo dõi trở nên khó khăn.
Vì vậy, đó là vấn đề đầu tiên. Rất dễ dàng để kết nối các ứng dụng mới, có khả năng không an toàn với các ứng dụng cốt lõi của bạn. Vấn đề thứ hai là hầu hết các hệ thống này không được thiết kế để quản trị viên có thể quan sát những gì diễn ra bên trong chúng.
Ví dụ:
- Salesforce cung cấp nhiều công cụ DevOps tuyệt vời, nhưng không có cách riêng để theo dõi các ứng dụng tích hợp, mở rộng khóa API hoặc so sánh các tổ chức để phát hiện những thay đổi đáng ngờ.
- NetSuite's nhật ký thay đổi không cung cấp chi tiết về người đã thay đổi cái gì - chỉ việc này có gì đó đã thay đổi, gây khó khăn cho việc kiểm tra.
- của Jira changelog cũng thưa thớt như nhau và Jira thường được tích hợp với Zendesk, PagerDuty và Slack, chứa dữ liệu nhạy cảm.
Điều này gây khó khăn cho việc biết những gì được cấu hình, ứng dụng nào có quyền truy cập vào dữ liệu nào và ai đã ở trong hệ thống của bạn.
Bạn có thể làm gì về nó
Misha cho biết cách phòng thủ tốt nhất là phòng thủ tự động, vì vậy hãy nói chuyện với nhóm an ninh mạng của bạn về cách họ có thể đưa việc giám sát các ứng dụng kinh doanh của bạn vào các kế hoạch hiện có của họ. Nhưng để có được nhận thức và phạm vi bao phủ đầy đủ, họ cũng sẽ cần cái nhìn sâu sắc hơn về những gì đang xảy ra bên trong và giữa các ứng dụng này so với những gì các công cụ này vốn cung cấp. Bạn sẽ cần xây dựng hoặc mua các công cụ có thể giúp bạn:
- Xác định rủi ro của bạn: Bạn sẽ cần khả năng xem mọi thứ được định cấu hình trong mỗi ứng dụng, lưu ảnh chụp nhanh kịp thời và so sánh các ảnh chụp nhanh đó. Nếu một công cụ có thể cho bạn biết sự khác biệt giữa cấu hình của ngày hôm qua và cấu hình của ngày hôm nay, thì bạn có thể biết ai đã làm gì — và phát hiện các hành vi xâm nhập hoặc khả năng bị xâm nhập.
- Thăm dò, giám sát và phân tích các lỗ hổng bảo mật: Bạn cần một cách để đặt cảnh báo cho những thay đổi đối với các cấu hình nhạy cảm nhất của mình. Những công cụ này sẽ cần phải vượt xa các công cụ quản lý tư thế bảo mật SaaS (SSPM) truyền thống, vốn có xu hướng chỉ giám sát một ứng dụng tại một thời điểm hoặc chỉ đưa ra các khuyến nghị thông thường. Nếu có thứ gì đó kết nối với Salesforce hoặc Zendesk và làm thay đổi quy trình làm việc quan trọng, bạn cần biết.
- Xây dựng kế hoạch ứng phó: Áp dụng một công cụ giống như Git cho phép bạn “phiên bản” ứng dụng kinh doanh của bạn để lưu trữ các trạng thái trước đó mà sau đó bạn có thể quay lại. Nó sẽ không khắc phục được mọi hành vi xâm nhập và có thể khiến bạn mất siêu dữ liệu, nhưng đây là biện pháp khắc phục hiệu quả đầu tiên.
- Duy trì vệ sinh an ninh SaaS của bạn: Ủy quyền cho một người nào đó trong nhóm với việc luôn cập nhật các tổ chức của bạn, hủy kích hoạt những người dùng và tích hợp không cần thiết, đồng thời đảm bảo rằng các cài đặt bảo mật đã tắt được bật lại - ví dụ: nếu ai đó tắt mã hóa hoặc TLS để định cấu hình webhook, hãy kiểm tra xem đó có phải là được bật lại.
Nếu bạn có thể tổng hợp tất cả những điều đó lại với nhau, bạn có thể bắt đầu xác định các khu vực mà các tác nhân độc hại có thể xâm nhập - chẳng hạn như thông qua webhooks của Slack, như Misha chỉ ra.
Vai trò của bạn trong bảo mật hệ thống kinh doanh
Quản trị viên không phải là người duy nhất có trách nhiệm bảo mật các hệ thống này nhưng bạn có thể đóng một vai trò quan trọng trong việc khóa một số cánh cửa đang mở rõ ràng. Và bạn càng có thể hiểu rõ hơn về các hệ thống này - một công việc mà chúng không phải lúc nào cũng được xây dựng để cho phép - thì bạn càng biết rõ hơn liệu có ai đó đã hack một ứng dụng kinh doanh hay không.
