阅读一些网络安全头条新闻,您会注意到一个趋势:它们越来越多地涉及业务应用程序。
例如,电子邮件工具 Mailchimp 表示入侵者通过“内部工具”侵入了其客户账户。 营销自动化软件 HubSpot 被渗透. 企业密码钱包 Okta 被入侵. 项目管理工具 JIRA 进行了一次更新,意外暴露了 Google 和 NASA 等客户的私人信息。
这是网络安全的最新前沿之一:您的内部工具。
恶意行为者接下来会闯入这里是合乎逻辑的,或者员工会不小心把门打开。 现在的平均组织有 843个SaaS应用 并且越来越依赖它们来运行其核心业务。 我很好奇管理员可以做些什么来保证这些应用程序的安全,所以我采访了一位老同事 Misha Seltzer,他是 Atmosec 的首席技术官和联合创始人,他正在这个领域工作。
为什么业务应用程序特别容易受到攻击
业务应用程序的用户 倾向于不考虑安全性 和合规性。 部分原因是因为那不是他们的工作,Misha 说。 他们已经很忙了。 部分原因是这些团队试图在 IT 范围之外购买他们的系统。
同时,应用程序本身的设计易于启动和集成。 您可以在没有信用卡的情况下启动其中的许多。 用户通常只需单击一下即可将此软件与他们最重要的记录系统(如 CRM、ERP、支持系统和人力资本管理 (HCM))集成。
这些主要供应商的应用程序商店中提供的大多数应用程序都是如此。 Misha 指出 Salesforce 用户可以 “连接”一个应用程序 来自 Salesforce AppExchange 没有实际安装它. 这意味着没有审查,它可以访问您的客户数据,并且其活动记录在用户配置文件下,因此难以跟踪。
所以,这是第一个问题。 将新的、可能不安全的应用程序连接到您的核心应用程序非常容易。 第二个问题是这些系统中的大多数都不是为管理员设计的,以观察它们内部发生的事情。
例如:
- Salesforce 提供了许多出色的 DevOps 工具,但没有本地方法来跟踪集成应用程序、扩展 API 密钥或比较组织以检测可疑更改。
- 网络套件的 更改日志不提供有关谁更改了内容的详细信息 - 仅 这 发生了一些变化,使得审计变得困难。
- 吉拉的 变更日志同样稀疏,Jira 经常与包含敏感数据的 Zendesk、PagerDuty 和 Slack 集成。
这使得很难知道配置了什么,哪些应用程序可以访问哪些数据,以及谁在您的系统中。
你能做些什么
Misha 说,最好的防御是自动防御,因此请与您的网络安全团队讨论他们如何将监控您的业务应用程序纳入其现有计划。 但为了全面了解和覆盖,他们也需要更深入地了解这些应用程序内部和之间发生的事情,而不是这些工具本身提供的内容。 您需要构建或购买可以帮助您的工具:
- 识别您的风险: 您需要能够查看每个应用程序中配置的所有内容、及时保存快照以及比较这些快照。 如果一个工具可以告诉您昨天的配置和今天的配置之间的区别,您就可以看到谁做了什么——并检测入侵或入侵的可能性。
- 探测、监控和分析漏洞: 您需要一种方法来为最敏感的配置更改设置警报。 这些将需要超越传统的 SaaS 安全状态管理 (SSPM) 工具,这些工具往往一次只监控一个应用程序,或者只提供常规建议。 如果有东西连接到 Salesforce 或 Zendesk 并改变了重要的工作流程,您需要知道。
- 制定应对计划: 采用类似 Git 的工具,它允许您“版本”您的业务应用程序来存储之前的状态,然后您可以恢复到这些状态。 它不会修复所有入侵,并且可能会导致您丢失元数据,但它是有效的第一道补救措施。
- 维护您的 SaaS 安全卫生: 委派团队中的某个人使您的组织保持最新状态,停用不必要的用户和集成,并确保重新打开已关闭的安全设置 - 例如,如果有人禁用加密或 TLS 来配置 webhook,请检查它是否重新启用。
如果你能把所有这些放在一起,你就可以开始识别恶意行为者可能进入的领域——比如 通过 Slack 的 webhook,正如 Misha 指出的那样。
您在业务系统安全中的角色
保护这些系统的安全不仅取决于管理员,但您可以在锁定一些明显敞开的门方面发挥重要作用。 而且,您越能深入了解这些系统(它们并非总是在本地构建允许的繁琐工作),您就越能知道是否有人入侵了业务应用程序。
