Отраслевое понимание: инструменты совместной работы могут стать следующим серьезным риском для безопасности

Инструменты совместной работы приобрели огромную популярность во всех видах бизнеса, потому что они поддерживают такие стратегии, как виртуальные команды, и обеспечивают тесную совместную работу сотрудников независимо от их физического расстояния. Но будь то утилита, основанная на рабочих процессах, например Asana, или приложение для чата, такое как Slack, эти инструменты также открыли новые возможности для киберпреступников, желающих получить доступ к самой важной информации вашей компании. Плохие участники могут проникнуть в ваше программное обеспечение для совместной работы через интерфейсы прикладного программирования (API) или через случайные авторизации, которые пропускают личную информацию за пределы вашей организации. Другими словами, даже если они размещаются в другом месте, ваши инструменты для совместной работы могут по-прежнему создавать огромную дыру в безопасности вашей сети.

Грег Арнетт (Greg Arnette) - директор по стратегии платформы защиты данных в Campbell, базирующейся в Калифорнии Barracuda Networks, поставщике продуктов для обеспечения безопасности, сетей и систем хранения. Недавно мы встретились с Арнетт, чтобы обсудить виды атак, которые могут произойти с помощью сервисов совместной работы, и способы защиты бизнеса.

PCMag (PCM): Все виды инструментов внедряются всеми видами инструментов для совместной работы. Каковы некоторые из проблем, связанных с безопасностью, которые могут возникнуть из-за этого?

Грег Арнетт (Джорджия): Итак, прежде чем мы перейдем к типу уязвимостей, я думаю, что важно дать обзор того, что происходит сейчас. Существует ряд различных тенденций около сотрудничество и как оно соотносится с тем, что мы видим сегодня, с системами, которые уязвимы для атак, которые затем ставят под угрозу людей.

Одна из тенденций - это массовая миграция локальных сервисов совместной работы, переходящих на облачные альтернативы. Благодаря этой миграции вы все чаще используете системы электронной почты и обмена сообщениями в режиме реального времени, такие как Slack и Facebook Workplace, а также около десятка различных платформ, популярность которых растет вместе с из электронное письмо. Благодаря такой миграции компании экономят деньги и упрощают свою внутреннюю ИТ-инфраструктуру. Microsoft Office 365, Google G Suite и Slack становятся рекордной системой во многих организациях. Это, вероятно, будет продолжаться в течение следующих пяти лет, пока я не думаю, что люди, занимающиеся в основном облачными операциями, будут в большей степени сдвигаться, чем что-либо локальное.

Теперь соедините эту тенденцию с ростом API и искусственного интеллекта. Это создает много хороших вещей, но также и столько же плохих вещей. По мере того, как компании переносят свои системы совместной работы с локальных сетей на облако они используют эти новые типы систем. Интеграция может включать интеграцию службы управления удостоверениями в Microsoft Office 365, чтобы вы могли получить единый вход. Или вы можете интегрировать службу телефонии в систему электронной почты, чтобы календарь мог добавить номер моста к следующему приглашению на собрание.

ПКМ: Все это, конечно, хорошо. Итак, с чего начинаются проблемы?

Г.А.: Эта же технология позволяет людям, которые хотят навредить другим, воспользоваться этими открытыми API и этими новыми системами записи. Плохие актеры мира также используют преимущества инноваций в облаке и используют искусственный интеллект, машинное обучение (ML) и дешевые облачные вычисления для поддержки атак с помощью этих API. Они ищут уязвимости и имитируют поведение пользователей, чтобы обойти известные средства защиты и проникнуть в организации, используя то, что считалось довольно надежным способом защиты, и не допускать неприятностей.

Так что это своего рода идеальный шторм для компаний, которым нужно больше удобства, так как плохие игроки могут использовать эти API и получить доступ к этим системам. По сути, это гонка взаимного гарантированного уничтожения.

ПКМ: Приведите пример конкретного типа атаки. Будет ли злоумышленник создать, казалось бы, безвредное приложение для такой программы, как Slack, которую сотрудник будет обмануто установить?

Г.А.: Пример злоумышленного использования Slack API - вы можете разработать стороннее приложение Slack, которое может связать вашу учетную запись Slack с платформой управления взаимоотношениями с клиентами (CRM), такой как Salesforce. Кто-то в компании может загрузить и установить приложение, и тогда это троянское приложение Slack, которое на первый взгляд выглядит как простой соединитель, может быть легко авторизовано сотрудником компании. Внезапно, теперь у вас есть этот маленький бот, который сидит на чьей-то рабочей станции, который может общаться как со Slack, так и с Salesforce, и пропускать данные без ведома компании. И это только один маленький пример. Вы можете применить это практически к любой платформе с открытым API.

В случае с ИИ люди в мире, которые хотят совершать вредные поступки, используют ИИ, чтобы выяснить, как эксплуатировать системы, собирать данные и предоставлять их журналистам и другим. Это должно вызвать проблемы и повлиять на выборы, повлиять на экономику, повлиять на стабильность бизнеса и так далее. Это может случиться разными способами. Это может быть модель ML, обученная искать конкретную информацию, или бот, который выглядит как реальный человек, который может запросить информацию у сотрудников. Существуют различные виды уязвимостей, которые эти инструменты совместной работы открывают для организаций.

Еще одна тенденция, которую мы видим, - это то, что департаменты и команды покупают или внедряют решения, которые непреднамеренно соединяют общедоступные объекты с частной сетью, которая не входит в компетенцию ИТ-отдела. Поскольку эти инструменты для совместной работы были приняты, у ИТ-отделов возникли проблемы с попыткой определить, кто на самом деле может устанавливать и запускать объекты в сети компании, чтобы запретить подобные типы соединений. Если какой-либо сотрудник может добавить приложение в команду компании Asana, это может иметь катастрофические последствия.

PCM: Конечно, эти атаки страшны, но это чрезвычайно полезные инструменты. Трудно представить, что большинство компаний отказываются от этих приложений, когда у них есть доступ к такого рода удобствам. Как предприятия должны быть в безопасности?

Г.А.: Это абсолютно верно; эти приложения здесь, чтобы остаться. Они установили, что могут помочь улучшить жизнь в рабочих условиях.

Есть пара вещей, которые… компании могут сделать, чтобы оставаться в безопасности. Во-первых, необходимо убедиться, что ИТ-отдел осведомлен обо всех установленных приложениях и всех этих сторонних соединителях, установленных в эти приложения. Убедитесь, что они были проверены или проверены внимательным взглядом, чтобы убедиться, что они на самом деле не являются троянскими атаками, которые были созданы, чтобы напугать кого-то для их установки.

Второе, что должны делать клиенты, - это проверять стандарты наилучшей практики безопасности и соответствия своих поставщиков. Существует отличный сторонний веб-сайт, который помогает ИТ-отделам проводить такую ​​проверку под названием Enterpriseready.io. Вы можете пойти туда и проверить, есть ли на нем все необходимые элементы управления для обеспечения высокой степени безопасности операционной среды. Так что все дело в конфиденциальности, гарантирующей, что есть достаточная возможность заблокировать элементы управления, что API имеют доступ к аудиту, и тому подобное материал, так что мы можем быть лучше бдительными.

Вдобавок ко всему, стоит отметить, что многие из этих решений для совместной работы имеют средства управления разрешениями для борьбы с подобными вещами. Вы можете ужесточить разрешения на то, какие интеграции могут проходить через эти приложения и кто их контролирует. Если вы настроите эти разрешения, это сэкономит ИТ-отделу большую часть работы по мониторингу установленных приложений.