Endüstri anlayışı: işbirliği araçları bir sonraki büyük güvenlik riski olabilir

İşbirliği araçları, her tür işletme ile oldukça popüler hale geldi, çünkü sanal ekipler gibi stratejiler sağlıyor ve fiziksel olarak ne kadar uzakta olursa olsun çalışanların sıkı bir şekilde birlikte çalışmasını sağlıyor. Ancak Asana gibi iş akışı tabanlı bir araç veya Slack gibi sohbet odaklı bir uygulama olsa da, bu araçlar şirketinizin en hayati bilgilerine ulaşmak isteyen siber suçlular için yeni fırsatlar yarattı. Kötü oyuncular, işbirliği programınıza uygulama programlama arabirimleri (API'ler) aracılığıyla veya özel bilgileri kuruluşunuzun dışına sızdıran yanlışlıkla yetkilendirme yoluyla sızabilir. Başka bir deyişle, başka bir yerde barındırılsalar bile, işbirliği araçlarınız ağınıza büyük bir güvenlik açığı sokuyor olabilir.

Greg Arnette, Campbell’daki Veri Koruma Platformu Stratejisi Direktörü, bir güvenlik, ağ ve depolama ürünleri sağlayıcısı olan Calif merkezli Barracuda Networks’ün yöneticisidir. Yakın zamanda işbirliği hizmetleri yoluyla gerçekleşebilecek saldırıları ve işletmelerin kendilerini nasıl koruyabileceklerini tartışmak için Arnette ile oturduk.

PCMag (PCM): Her türlü işbirliği aracı her türlü şirket tarafından oldukça hızlı bir şekilde benimsenmektedir. Bundan kaynaklanabilecek güvenlikle ilgili sorunlardan bazıları nelerdir?

Greg Arnette (GA): Öyleyse, söz konusu güvenlik açıklarına girmeden önce, şu anda neler olup bittiğine dair bir genel bakış vermenin önemli olduğunu düşünüyorum. Gerçekleşen birkaç farklı trend var. etrafında İşbirliği ve bugün gördüklerimizle, daha sonra insanları tehdit eden saldırılara karşı hassas sistemler ile nasıl bir ilişki içinde.

Eğilimlerden biri, bulut alternatiflerine giden bu şirket içi işbirliği hizmetlerinin bu büyük göçüdür. Bu geçişle, Slack ve Facebook Workplace gibi e-posta ve gerçek zamanlı mesajlaşma sistemlerinin yanı sıra popülerliği ile birlikte artan bir düzine kadar farklı platformun kullanımına daha fazla sahip oldunuz. nın-nin e-posta. Bu göçle birlikte şirketler para biriktiriyor ve iç BT altyapılarını basitleştiriyorlar. Microsoft Office 365 ve Google G Suite ve Slack birçok kuruluşta kayıt sistemi haline geliyor. Bu muhtemelen önümüzdeki beş yıl boyunca oynamaya devam edecek, sanırım şirket içindeki herhangi bir şeyin aksine, çoğunlukla bulutta bir şeyler yapan insanlara büyük bir kayma olacağını düşünüyorum.

Şimdi, API'lerin ve yapay zekanın yükselişiyle bu eğilimi birleştirin. Bu, pek çok iyi şeyler yaratırken aynı zamanda eşit sayıda kötü şeyler de yaratır. Şirketler işbirliği sistemlerini şirketten kurumlarına taşırken bulut , bu yeni sistemleri kullanıyorlar. Bütünleştirme, tek oturum açabilmeniz için bir kimlik yönetimi hizmetini Microsoft Office 365'e entegre ediyor olabilir. Veya telefon hizmetini e-posta sistemine entegre edebilir, böylece takvim bir sonraki toplantı davetine köprü numarası ekleyebilir.

PCM: Bunların hepsi elbette güzel şeyler. Peki sorunlar nerede başlıyor?

GA: Bu aynı teknoloji, başkalarına zarar vermek isteyen kişilerin bu açık API'lerden ve bu yeni kayıt sistemlerinden faydalanmalarını sağlıyor. Dünyanın kötü oyuncuları aynı zamanda buluttaki yeniliklerden faydalanıyor ve AI, makine öğrenmesi (ML) ve ucuz bulut bilişimi bu API'larla yapılan saldırılara sponsor olmak için kullanıyorlar. Güvenlik açıkları arıyorlar ve kullanıcı davranışlarını taklit ediyorlar, böylece bilinen savunmaların üstesinden gelebiliyorlar ve oldukça güvenli savunma olduğu düşünülenleri kullanarak ve kötü şeyleri uzak tutmak için kuruluşlara sızabilecekler.

Bu, kötü aktörlerin bu API'lerden faydalanma ve bu sistemlere girme becerisi ile daha fazla kolaylık isteyen mükemmel bir iş fırtınası. Temel olarak, karşılıklı olarak güvence altına alınmış bir yıkım ırkı.

PCM: Bize belirli bir saldırı tipi örneği ver. Kötü niyetli bir oyuncu, çalışanın yüklemeye kandırılacağı Slack gibi bir program için görünüşte zararsız bir uygulama oluşturur mu?

GA: Slack API'nin kötü amaçlı kullanımına bir örnek olarak, Slack hesabınızı Salesforce gibi bir müşteri ilişkileri yönetimi (CRM) platformu ile köprüleyebilecek üçüncü taraf bir Slack uygulaması geliştirebilirsiniz. Bir şirketteki birileri uygulamayı indirip yükleyebilir ve daha sonra yüzeyinde basit bir bağlayıcı gibi görünen bu trojan Slack uygulamasına şirketteki bir kişi tarafından kolayca izin verilebilir. Birdenbire, artık Slack ve Salesforce ile konuşabilen ve şirketin bilgisi olmadan verileri sızdıran birinin iş istasyonunda oturan bu küçük botunuz var. Ve bu sadece küçük bir örnek. Bunu, hemen hemen açık bir API'si olan herhangi bir platforma uygulayabilirsiniz.

AI durumunda, dünyada zararlı şeyler yapmak isteyen insanlar, sistemleri nasıl kullanacaklarını, veri toplayacaklarını ve gazetecilere ve diğerlerine nasıl maruz kalacaklarını bulmak için AI kullanıyor. Bu, sorunlara neden olmak ve seçimleri etkilemek, ekonomileri etkilemek, iş istikrarını vb. Etkilemek içindir. Bu birçok yoldan olabilir. Belirli bilgileri aramak için eğitilmiş bir ML modeli veya çalışanlardan bilgi isteyebilecek gerçek bir kişi gibi görünen bir bot olabilir. Bu işbirliği araçlarının kuruluşlara açtığı her türlü güvenlik açığı vardır.

Gördüğümüz bir diğer eğilim ise, halka açık işleri istemeden BT departmanının kapsamı dışındaki özel ağa bağlayan çözümler satın alan veya uygulayan ekiplerdir. Bu işbirliği araçları benimsendiğinden, BT departmanları, bu tür bağlantıların yapılmasını yasaklamak için şirket ağına bir şeyler kimlerin kurup çalıştırabileceklerini kilitlemeye çalışmakta zorlanıyor. Herhangi bir çalışan eklemek, şirket Asana ekibine bir uygulama eklemek için izin varsa, felaket olabilir.

PCM: Bu saldırılar korkutucu, elbette, ancak bunlar son derece kullanışlı araçlardır. Çoğu işletmeyi, bu tür bir rahatlığa eriştikten sonra bu uygulamalardan vazgeçtiğini hayal etmek zor. İşletmeler kendilerini nasıl güvende tutmalı?

GA: Bu kesinlikle doğru; Bu uygulamalar kalmak için burada. Bir iş ortamında hayatları daha iyi hale getirmeye yardımcı olabileceklerini tespit ettiler.

Şirketlerin güvende kalmak için yapabilecekleri birkaç şey var. Bunlardan ilki, BT departmanının kurulu tüm uygulamalardan ve bu uygulamalara yüklenmiş tüm üçüncü taraf bağlayıcılardan haberdar olmasını sağlamaktır. Birinin onları kurmaya zorlamak için oluşturulmuş Truva atı saldırıları olmadıklarından emin olmak için gözlerini inceleyerek incelendiklerinden veya incelendiklerinden emin olun.

Müşterilerin yapması gereken ikinci şey, tedarikçilerinin güvenlik ve en iyi uygulama standartlarına uygunluğunu denetlemektir. BT departmanlarının Enterpriseready.io adlı bir teftişi gerçekleştirmesine yardımcı olan harika bir üçüncü taraf web sitesi var. Oraya gidebilir ve son derece güvenli bir çalışma ortamı sağlamak için tüm doğru kontrollerin yerinde olup olmadığını kontrol edebilir ve görebilirsiniz. Bu yüzden, tamamen gizlilik ile ilgilidir, denetimleri kilitlemek için yeterli bir yetenek olduğundan emin olmak, API'lerin denetim erişimine sahip olması ve bu tür şey, böylece daha uyanık olabiliriz.

Bunun ötesinde, bu işbirliği çözümlerinin çoğunun bu tür şeylerle mücadele etmek için izin denetimlerine sahip olduğuna dikkat etmek gerekir. Bu uygulamalardan hangi entegrasyonların gelebileceği ve onları kimin kontrol ettiği ile ilgili izinleri sıkılaştırın. Bu izinleri yapılandırırsanız, BT'nin hangi uygulamaların yüklü olduğunu izlemesi gereken çalışmalardan tasarruf eder.