תובנה בענף: כלי שיתוף פעולה עשויים להיות הסיכון הביטחוני הגדול הבא

כלי שיתוף פעולה הפכו פופולריים מאוד בקרב כל מיני העסקים מכיוון שהם מאפשרים אסטרטגיות כמו צוותים וירטואליים ומשאירים עובדים עובדים יחד יחד, לא משנה כמה הם יכולים להיות פיזיים. בין אם זה כלי מבוסס זרימת עבודה כמו אסאנה או אפליקציה מוכוונת צ'אט כמו Slack, כלים אלה יצרו גם הזדמנויות חדשות עבור פושעי רשת המחפשים לגשת למידע החיוני ביותר של החברה שלך. שחקנים רעים יכולים להסתנן לתוכנת שיתוף הפעולה שלך באמצעות ממשקי תכנות יישומים (API) או באמצעות הרשאות מקריות שדולפות מידע פרטי מחוץ לארגון שלך. במילים אחרות, גם אם הם מתארחים במקומות אחרים, יתכן שכלי שיתוף הפעולה שלך מכניסים חור אבטחה עצום ברשת שלך.

גרג ארנט הוא המנהל של אסטרטגיית פלטפורמת הגנת המידע בחברת קמפבל, רשת Barracuda מבוססת קליף, ספקית מוצרי אבטחה, רשת ואחסון. לאחרונה ישבנו עם ארנט כדי לדון בסוג ההתקפות שיכולות להתרחש באמצעות שירותי שיתוף פעולה וכיצד עסקים יכולים להגן על עצמם.

PCMag (PCM): כלי שיתוף פעולה מכל הסוגים מאמצים בקצב די מהיר על ידי כל מיני חברות. מהן כמה מהבעיות הקשורות לאבטחה שיכולות לנבוע מכך?

גרג ארנט (ג'ורג'יה): אז לפני שאנחנו נכנסים לסוג של פגיעויות הכרוכות בכך, אני חושב שחשוב לתת סקירה של מה שקורה ברגע זה. יש כמה טרנדים שונים שקורים מסביב שיתוף פעולה ואיך זה קשור למה שאנחנו רואים היום, עם מערכות הפגיעות להתקפות שאחר כך מסכנות אנשים.

אחד המגמות הוא הגירה מאסיבית זו של שירותי שיתוף פעולה מקומיים העוברים לחלופות בענן. עם הגירה זו, יש לך שימוש מוגבר במיילים ובמערכות העברת הודעות בזמן אמת, כגון Slack ו- Facebook Workplace ותריסר פלטפורמות שונות בערך שעולות בפופולריות לצד של אימייל. עם הגירה זו, חברות חוסכות כסף ומפשטות את תשתית ה- IT הפנימית שלהן. Microsoft Office 365 ו- Google G Suite ו- Slack הופכים למערכת הרשומה בארגונים רבים. זה כנראה ימשיך לשחק במהלך חמש השנים הבאות עד שלדעתי יהיה שינוי גדול לאנשים שרוב יעשו דברים בענן לעומת כל דבר מקומי.

כעת, קשר את המגמה הזו עם עליית APIs ובינה מלאכותית. זה יוצר הרבה דברים טובים אבל גם מספר שווה של דברים רעים. ככל שחברות מעבירות את מערכות שיתוף הפעולה שלהן מקומי ל ענן , הם משתמשים בסוגים אלה של מערכות חדשות. שילוב עשוי לשלב שירות ניהול זהויות ב- Microsoft Office 365 כך שתוכל לקבל כניסה יחידה. לחלופין, תוכלו לשלב שירות טלפוניה במערכת הדוא"ל כך שלוח השנה יכול להוסיף מספר גשר להזמנת הפגישה הבאה.

PCM: כל אלה דברים טובים, כמובן. אז מאיפה הבעיות מתחילות?

GA: טכנולוגיה זהה מאפשרת לאנשים שרוצים לפגוע באחרים לנצל את ממשקי ה- API הפתוחים ואת מערכות הרשומה החדשות הללו. השחקנים הרעים של העולם מנצלים גם את החידושים בענן ומשתמשים AI, למידת מכונות (ML) ומחשוב ענן זול כדי לתת חסות להתקפות באמצעות ממשקי API אלה. הם מחפשים פגיעויות ומחקים את התנהגות המשתמשים כדי שיוכלו לעקוף את ההגנות הידועות ולהסתנן לארגונים באמצעות מה שנחשב כהגנה די מאובטחת וכדי להרחיק את הדברים הרעים.

אז זו סוג של סערה מושלמת של עסקים שרוצים יותר נוחות עם היכולת של שחקנים רעים למנף את ה- API הללו ולהיכנס למערכות הללו. זהו מירוץ של הרס מובטח הדדית, בעיקרון.

PCM: תן לנו דוגמה לסוג מסוים של התקפה. האם שחקן זדוני היה מייצר אפליקציה לא מזיקה לכאורה לתוכנית כמו Slack שעובד היה מרומה אותה להתקין?

GA: דוגמה לשימוש זדוני בממשק ה- API של Slack היא שאתה יכול לפתח אפליקציית Slack של צד שלישי שיכולה לגשר על חשבון ה- Slack שלך באמצעות פלטפורמת ניהול קשרי לקוחות (CRM) כמו Salesforce. מישהו בחברה יכול להוריד ולהתקין את האפליקציה, ואז ניתן לאשר בקלות את האפליקציה הטרויאנית Slack הזו - שנראית על פני השטח כמחבר פשוט - על ידי אדם בחברה. פתאום, עכשיו יש לך את הבוט הקטן הזה שיושב בתחנת העבודה של מישהו שיכול לדבר עם סלאק וגם עם סיילספורס ולהדלף נתונים ללא ידיעת החברה. וזו רק דוגמא אחת קטנה. אתה יכול להחיל זאת על כמעט כל פלטפורמה עם API פתוח.

במקרה של AI, האנשים בעולם שרוצים לעשות דברים מזיקים משתמשים ב- AI כדי להבין כיצד לנצל מערכות, לאסוף נתונים ולחשוף אותם לעיתונאים ואחרים. זה כדי לגרום לבעיות ולהשפיע על בחירות, להשפיע על כלכלות, להשפיע על היציבות העסקית וכן הלאה. זה יכול לקרות בהרבה מובנים. זה יכול להיות מודל ML שמוכשר לחפש מידע ספציפי או בוט שנראה כאדם אמיתי שיכול לבקש את המידע מעובדים. יש כל מיני פגיעויות שכלי שיתוף הפעולה הללו נפתחים לארגונים.

מגמה נוספת שאנו רואים היא מחלקות וצוותים הרוכשים או מיישמים פתרונות שמחברים בשוגג דברים ציבוריים לרשת הפרטית שנמצאת מחוץ לתחום תחום ה- IT. מאז שאומצו כלי שיתוף פעולה אלה, מחלקות ה- IT מתקשות לנסות ולנעול את מי שיכול להתקין ולהריץ דברים ברשת החברה כדי לאסור חיבורים מסוג זה. אם מותר לעובד להוסיף, אפליקציה לצוות אסאנה של החברה, זה יכול להיות הרה אסון.

PCM: התקפות אלה מפחידות, בטוח, אבל אלה כלים שימושיים במיוחד. קשה לדמיין שרוב העסקים מוותרים על היישומים האלה ברגע שיש להם גישה לסוג זה של נוחות. כיצד עסקים צריכים לשמור על עצמם בטוחים?

GA: זה נכון לחלוטין; האפליקציות האלה כאן כדי להישאר. הם קבעו שהם יכולים לעזור לשפר את החיים בסביבת עבודה.

ישנם כמה דברים ש… חברות יכולות לעשות כדי לשמור על בטחון. הראשונה היא להבטיח כי מחלקת ה- IT מודעת לכל היישומים המותקנים ולכל המחברים של צד שלישי המותקנים ביישומים אלה. ודא שהם נבדקו או נבדקו על ידי בחינת עיניים כדי לוודא שהם לא למעשה התקפות דמויות טרויאניות שנוצרו כדי להבהיר מישהו להתקין אותם.

הדבר השני שהלקוחות צריכים לעשות הוא להבחין בתקני האבטחה והתאימות של הספק של הספק שלהם. יש אתר נהדר של צד שלישי המסייע למחלקות IT לבצע את ההימור שנקרא Enterpriseready.io. אתה יכול ללכת לשם ותוכל לבדוק אם יש לו את כל הפקדים הנכונים במקום בכדי להבטיח סביבת הפעלה מאובטחת במיוחד. אז הכל קשור לפרטיות, להבטיח שיש יכולת מספקת לנעילת בקרות, לממשקי API גישה לביקורת וכדומה דברים, כך שנוכל להיות ערניים יותר.

נוסף על כך, ראוי לציין כי להרבה מהפתרונות לשיתופי פעולה אלה יש בקרות הרשאות להילחם נגד סוג זה בדיוק. אתה יכול להדק את ההרשאות לגבי שילובים שיכולים להגיע באמצעות אפליקציות אלה ומי שולט בהן. אם אתה מגדיר תצורה של הרשאות אלה, זה חוסך ל- IT הרבה מהעבודה של הצורך לפקח על אילו אפליקציות מותקנות.