曾经有一段时间,规避风险的组织可能会严重限制其业务用户犯下代价高昂的错误的能力。 由于技术知识有限、权限严格且缺乏顺风,商业用户可能做的最糟糕的事情就是下载恶意软件或陷入网络钓鱼活动。 那些日子现在已经一去不复返了。
如今, 每个主要的软件即服务 (SaaS) 平台都捆绑在一起 具有为业务用户设计并直接销售给业务用户的自动化和应用程序构建功能。 Microsoft 365、Salesforce 和 ServiceNow 等 SaaS 平台正在嵌入 无代码/低代码平台 到他们现有的产品中,将它们直接交到业务用户手中,而无需征求公司的批准。 曾经只有 IT 和开发团队才能使用的功能现在可以在整个组织中使用。
Power Platform 是 Microsoft 的低代码平台,内置于 Office 365 中,是一个很好的例子,因为 Microsoft 在企业中的强大立足点以及它被企业用户采用的速度。 也许没有意识到,企业将开发人员级别的权力交给了比以往任何时候都多的人,而安全性或技术知识却少得多。 什么可能出错?
实际上,相当多。 让我们根据我的经验来研究一些现实世界的例子。 该信息已匿名化,并省略了特定于业务的流程。
情况一:新供应商? 去做就对了
一家跨国零售公司的客户服务团队希望通过消费者洞察来丰富他们的客户数据。 特别是,他们希望找到有关新客户的更多信息,以便他们能够更好地为他们服务,即使是在他们最初购买的时候。 客户服务团队决定了他们想合作的供应商。 供应商要求将数据发送给他们以进行丰富,然后他们的服务将撤回这些数据。
通常,这就是 IT 发挥作用的地方。 IT 需要构建某种集成,以便从供应商那里获取数据。 IT 安全团队显然也需要参与,以确保该供应商可以信任客户数据并批准购买。 采购和法律也将发挥关键作用。 然而,在这种情况下,事情朝着不同的方向发展。
这个特殊的客户服务团队是 Microsoft Power Platform 专家。 他们没有等待资源或批准,而是继续自己构建集成:从生产中的 SQL 服务器收集客户数据,将其全部转发到供应商提供的 FTP 服务器,然后从 FTP 服务器获取丰富的数据到生产数据库。 每次将新客户添加到数据库时,整个过程都会自动执行。 这一切都是通过拖放界面完成的,托管在 Office 365 上,并使用他们的个人帐户。 许可证是自掏腰包支付的,这使采购不参与循环。
想象一下,当 CISO 发现一堆业务自动化将客户数据移动到 AWS 上的硬编码 IP 地址时,他们会感到惊讶。 作为仅限 Azure 的客户,这引发了巨大的危险信号。 此外,数据是通过不安全的 FTP 连接发送和接收的,从而产生了安全和合规风险。 当安全团队通过专用安全工具发现这一点时,数据已经进出组织近一年了。
情况2:哦,刷卡有错吗?
一家大型 IT 供应商的人力资源团队正在准备一年一次的“Give Away”活动,鼓励员工向他们最喜欢的慈善机构捐款,公司通过匹配员工捐赠的每一美元来参与其中。 前一年的竞选活动取得了巨大的成功,因此人们的期望值很高。 为了推动活动并减轻手动流程,一位富有创造力的 HR 员工使用 Microsoft 的 Power Platform 创建了一个促进整个流程的应用程序。 要注册,员工将使用他们的公司帐户登录应用程序,提交他们的捐款金额,选择一个慈善机构,并提供他们的信用卡详细信息以进行付款。
该活动取得了巨大的成功,员工的参与打破了记录,人力资源员工几乎不需要手工工作。 不过,出于某种原因,安全团队对事情的结果并不满意。 在注册该活动时,安全团队的一名员工意识到信用卡被收集在一个看起来不应该这样做的应用程序中。 经调查,他们发现这些信用卡资料确实处理不当。 信用卡详细信息存储在默认的 Power Platform 环境中,这意味着它们可供整个 Azure AD 租户使用,包括所有员工、供应商和承包商。 此外,它们被存储为简单的明文字符串字段。
幸运的是,安全团队在恶意行为者或合规审计人员发现之前发现了数据处理违规行为。 清理了数据库,并对应用程序进行了修补,以按规定正确处理财务信息。
情况 3:为什么我不能只使用 Gmail?
作为用户,没有人喜欢企业数据丢失预防控制。 即使在必要时,它们也会给日常操作带来烦人的摩擦。 因此,用户总是试图规避它们。 创意业务用户和安全团队之间长期存在的一场拉锯战是企业电子邮件。 将公司电子邮件同步到个人电子邮件帐户或将公司日历同步到个人日历:安全团队为此提供了解决方案。 也就是说,他们部署了电子邮件安全和 DLP 解决方案来阻止电子邮件转发并确保数据治理。 这解决了问题,对吧?
好吧,不。 重复的发现 在大型企业和小型企业中发现,用户正在创建绕过电子邮件控制的自动化,以将他们的公司电子邮件和日历转发到他们的个人帐户。 他们不是转发电子邮件,而是将数据从一项服务复制并粘贴到另一项服务。 通过使用单独的身份登录每项服务并使用无代码自动执行复制粘贴过程,业务用户可以轻松绕过安全控制,而且安全团队无法轻松发现。
Power Platform 社区甚至开发了 模板 任何 Office 365 用户都可以拿起和使用。
拥有权利的同时也被赋予了重大的责任
业务用户授权很棒。 业务线不应等待 IT 或争夺开发资源。 但是,我们不能只给业务用户开发人员级别的权力而没有指导或护栏,并期望一切都会好起来。
安全团队需要教育业务用户并让他们意识到他们作为应用程序开发人员的新职责,即使这些应用程序是使用“无代码”构建的。 安全团队还应该设置护栏和监控,以确保当业务用户犯错时,就像我们所有人所做的那样,它不会滚雪球成全面的数据泄露或合规审计事件。
