0
0
A migração em nuvem e a democratização de TI criaram uma rede de aplicativos de negócios interconectados, integradas para digitalizar e automatizar fluxos de trabalho de negócios. Os funcionários na era da transformação digital agora são obrigados a escolher seus melhores aplicativos, adotando e conectando independentemente aplicativos SaaS, plataformas de código não/baixo, como Workato e Zapier, e aplicativos de terceiros de marketplace saas, a fim de aumentar a produtividade, criando uma web complicada de integrações aplicativos-a-aplicativo em constante crescimento. Esta nova rede em expansão é construída na nuvem e é baseada em integrações de fornecedores de terceiros, introduzindo a cadeia de suprimentos SaaS-to-SaaS como o futuro da interconectividade corporativa.
Grandes quantidades de dados estão agora fluindo entre esses aplicativos no ambiente de nuvem altamente dinâmico, e a empresa moderna não pode reverter para os dias de silos de dados e aplicativos isolados. No entanto, a cada nova conexão e fluxo de trabalho automatizado, uma superfície de risco nova e preocupante cresce com conectividade indiscriminada e sombria. Um fenômeno onipresente da era da interconectividade, os CISOs devem tomar atenção e considerar os desafios introduzidos pelas ramificações de tamanho, expansão, segurança e governança da cadeia de suprimentos SaaS-to-SaaS.
Zero confiança para não-humanos
Durante anos, as equipes de segurança se concentraram em garantir interações de humanos para aplicativos, adotando controles de segurança como dispositivos gerenciados, segurança de ponto final, CASB, ZTNA, MFA e IdPs. Essas soluções forneceram valor para seu propósito original, mas a cadeia de suprimentos SaaS-to-SaaS hoje prospera na integração de aplicativos, identidades não humanas e conectividade app-to-app – deixando de fora o elemento humano para simplificar e automatizar processos de trabalho.
A cadeia de suprimentos SaaS-to-SaaS continua a crescer desinibida, sem alertar as equipes de segurança sobre novos riscos e conexões criadas por identidades não-humanas que não podem ser resolvidas usando controles de segurança tradicionais projetados para interações entre humanos e aplicativos. O aumento contínuo das identidades não-humanas nas integrações entre aplicativos e seu acesso robusto a plataformas sensíveis de uso intensivo de dados aumentam a motivação dos atacantes para explorar essas novas superfícies de ataque.
As equipes de segurança lutam para lidar com a escala e a sofisticação dos ataques iminentes. Cegos a essas ameaças e com a adoção de aplicativos se tornando tão fácil quanto assinar um formulário, os funcionários não estão mais inclinados a solicitar o consentimento do CISO para adotar novos aplicativos, e os CISOs não são capazes de governar o acesso de terceiros devido à facilidade de ignorar os controles existentes. O número de ataques na cadeia de suprimentos por fornecedores terceirizados disparou nos últimos anos, à medida que atores mal-intencionados aproveitam identidades não humanas para obter acesso não autorizado a aplicativos de negócios.
Ataques de aquisição de API de terceiros
Os orçamentos corporativos e os recursos organizacionais são fortemente encaminhados para fortificar posturas de segurança interna, enquanto ativos críticos são deixados expostos a ameaças externas devido a essas integrações não gerenciados de terceiros. O infame ataque dos Solarwinds trouxe à tona a dependência organizacional de integrações de terceiros, levando a uma reação inevitável contra soluções existentes e lamentavelmente inadequadas para a gestão de riscos de terceiros. Como parte da campanha de ataque, o abuso de credenciais de aplicativos, como no caso do Microsoft Azure, e o foco em ataques de aquisição de API direcionados a fornecedores de terceiros como o Mimecast, destacam como os atacantes aproveitam tais integrações para obter acesso não autorizado a aplicativos de negócios críticos.
Proteger a empresa hiperautom automatizada
A cadeia de suprimentos SaaS-to-SaaS com suas características únicas é propensa não apenas a violações de terceiros, mas também a várias outras maneiras pelas quais atores mal-intencionados podem aproveitá-la como um vetor de ataque.
À medida que as organizações se esforçam por fluxos de trabalho de negócios automatizados, as plataformas de hipermatomatome, não/baixo código e integração de aplicativos corporativos (EAI) são os métodos de escolha para a conectividade. Essas plataformas agora são configuradas por desenvolvedores cidadãos, sem governança de segurança e supervisão, potencialmente levando a configurações erradas e exposição de dados confidenciais. Os atacantes visam ativamente tais plataformas, pois detêm as chaves do reino com seus altos privilégios em todas as aplicações de negócios mais críticas das empresas.
Acesso ao token OAuth malicioso
Os atacantes descobriram que o erro humano e a confiança dos funcionários são oportunidades lucrativas para explorações e truques, e visam a independência dos funcionários com os mercados saas para campanhas de phishing. Com a crescente adoção da autenticação multifatorial (MFA), as técnicas tradicionais de aquisição de contas tornaram-se menos eficientes, pois não basta ter um nome de usuário e senha para obter acesso. Os atacantes aproveitam os mercados e aplicativos de terceiros para enganar os funcionários a instalar aplicativos maliciosos por meio de campanhas sofisticadas de phishing de consentimento que lhes fornecem tokens OAuth com altos privilégios, ignorando muitos controles de segurança, como o MFA.
Tudo se resume a gerenciar a confiança
A cadeia de suprimentos SaaS-to-SaaS continuará a crescer e fornecer às empresas valor em escala, simplificando e automatizando processos, permitindo uma coleta robusta de dados e maximizando os benefícios do software corporativo. Dito isto, as equipes de segurança não podem continuar a ignorar as armadilhas e desafios dessa bagunça selvagem e selvagem, pois cria dependência organizacional de fornecedores externos, levando os usuários a confiar em terceiros para integração e interconectividade, ao mesmo tempo em que potencialmente comprometem seus ativos mais importantes.
A mudança das interações humanas para não humanas requer uma mudança correspondente no paradigma utilizado para garantir essas integrações, sem impedir fluxos de trabalho. Esses desafios não podem ser mitigados e resolvidos em silos. As equipes de segurança devem ganhar mais visibilidade e controle reforçando sua colaboração com equipes de aplicativos de negócios, proprietários descentralizados, desenvolvedores cidadãos e usuários finais para garantir o crescimento seguro da cadeia de suprimentos SaaS-to-SaaS e melhorar a inovação, aumentar a produtividade e permitir que as organizações ceifem os benefícios de sua jornada de transformação digital.
FONTE: HELPNET SECURITY