0
0
Como você deve ter notado em suas chamadas recentes do Zoom, a atualização mais recente do aplicativo adicionou discretamente uma pequena barra lateral da loja de aplicativos no lado direito da tela da sua sessão. Esse recurso permite que qualquer usuário de negócios em sua organização integre os aplicativos de software como serviço (SaaS) exibidos na barra lateral com o clique de um botão – sem interromper a sessão de Zoom.
Embora aparentemente inócuo, esse recurso destaca a maior força e um dos maiores riscos de segurança SaaS — a capacidade de qualquer pessoa dentro de uma organização adotar, configurar e gerenciar aplicativos SaaS. Embora esse processo possa ser conveniente e propício para a rápida capacitação dos negócios, por design, ele também ignora qualquer processo interno de revisão de segurança. Isso deixa sua equipe de segurança sem meios de saber quais aplicativos estão sendo adotados e usados, se eles podem ter vulnerabilidades de segurança, se estão sendo usados de maneira segura ou como colocar barreiras de segurança em torno de seu uso. Aplicar os princípios de segurança de confiança zero torna-se quase impossível.
Responsabilidade compartilhada
Mas antes de punir seus funcionários por adotarem aplicativos SaaS de forma irresponsável, você precisa perceber que eles estão sendo constantemente incentivados pelos fornecedores a instalar mais aplicativos e adotar novos recursos. Sim, os próprios aplicativos geralmente atendem a necessidades críticas de negócios e, sim, seus funcionários desejam adotá-los rapidamente, sem passar por uma análise de segurança prolongada. No entanto, eles estão fazendo isso porque — quer percebam ou não — estão sendo agressivamente comercializados por fornecedores de aplicativos experientes, que muitas vezes levam os usuários a acreditar que estão seguindo as melhores práticas de segurança. Só porque os usuários são bombardeados durante a instalação com telas de consentimento destinadas a dar-lhes uma pausa e incentivá-los a ler sobre seus direitos e responsabilidades não significa que os usuários estejam realmente lendo essas telas,
Além de divulgar os novos recursos brilhantes de seus aplicativos, esses fornecedores também estão constantemente informando aos usuários de negócios e às equipes de segurança que seus aplicativos são seguros, sua infraestrutura é segura, que o tempo de atividade 24 horas por dia, 7 dias por semana é 99,999% garantido e eles garantem que seus funcionários não terão acesso aos dados do usuário, etc. No entanto, eles geralmente minimizam ou até mesmo não mencionam seu modelo de responsabilidade compartilhada de segurança , onde eles são responsáveis apenas pela segurança da infraestrutura da plataforma e que proteger o uso contra invasões de contas e perda de dados são os responsabilidade do cliente.
Isso é especialmente problemático, pois a maioria das violações de segurança ocorre devido a erros de configuração ou erro do usuário do SaaS, não a vulnerabilidades do código, e seus usuários não estão preparados para se defender contra esses riscos por conta própria. Mesmo fornecedores grandes e respeitáveis, como GitHub, HubSpot, LastPass, Mailchimp, Okta e outros que foram recentemente vítimas de violações, são suscetíveis a configurações incorretas e uso indevido. Você deve sempre confiar, mas verifique, independentemente do fornecedor .
Nunca assuma
Em outros casos, a segurança geralmente é apenas presumida. Considere os mercados de aplicativos operados por marcas conhecidas, por exemplo. Os fornecedores não têm o desejo, nem o incentivo financeiro ou a capacidade de examinar a postura de segurança de todos os aplicativos de terceiros vendidos em seus mercados. No entanto, para expandir os negócios, eles podem levar os usuários a acreditar que qualquer coisa vendida lá mantém o mesmo nível de segurança que o fornecedor do mercado, geralmente por omissão. Da mesma forma, as descrições do mercado podem ser escritas de forma a sugerir que seu aplicativo foi desenvolvido em colaboração ou endossado por uma marca importante e segura.
O uso de mercados de aplicativos cria integrações de terceiros que carregam os mesmos riscos daqueles que levaram a muitos dos ataques recentes. Durante a campanha de ataque do GitHub em abril de 2022, os invasores conseguiram roubar e abusar de tokens Heroku e Travis-CI OAuth legítimos emitidos para fornecedores conhecidos. De acordo com o GitHub , os invasores conseguiram aproveitar a confiança e o alto acesso concedido a fornecedores de renome para roubar dados de dezenas de clientes do GitHub e repositórios privados.
Da mesma forma, em dezembro de 2022, a CircleCI, fornecedora especializada em ferramentas CI/CD e DevOps, confirmou que alguns dados de clientes foram roubados em uma violação de dados. O gatilho para a investigação foi um token GitHub OAuth comprometido . Com base na investigação da equipe da CircleCI, os invasores conseguiram roubar um token de sessão válido de um engenheiro da CircleCI, o que lhes permitiu contornar a proteção de autenticação de dois fatores e obter acesso não autorizado aos sistemas de produção. Eles foram capazes de roubar variáveis, tokens e chaves do cliente.
Atração da adoção sem atrito
Os fornecedores também constroem suas plataformas e programas de incentivo para tornar a adoção tão fácil quanto concordar com uma avaliação gratuita, um nível de serviço gratuito perpétuo ou passar um cartão de crédito, muitas vezes com descontos sedutores para experimentar e comprar sem compromisso.
É do interesse dos fornecedores atrair os usuários rapidamente para qualquer nova funcionalidade legal, removendo todo o atrito para a adoção, incluindo ignorar as revisões da equipe de TI e segurança no processo. A esperança é que, mesmo que as equipes de segurança aprendam a usar um aplicativo, ele se torne muito popular entre os usuários de negócios e muito crítico para as operações de negócios para removê-lo. No entanto, tornar a adoção excessivamente fácil também pode levar à proliferação de aplicativos não utilizados, abandonados e expostos. Depois que um aplicativo é rejeitado durante uma prova de conceito (PoC), é abandonado devido à diminuição do interesse ou o proprietário do aplicativo deixa a organização, ele pode permanecer ativo, fornecendo uma superfície de ataque expandida e desprotegida que coloca a organização e os dados em alta risco.
Embora seja importante educar seus usuários corporativos sobre as práticas recomendadas de segurança SaaS, é ainda mais importante combater a expansão indiscriminada de SaaS ensinando-os a avaliar mais criticamente o canto da sereia dos fornecedores de SaaS sobre implantação fácil e incentivos financeiros.
Além disso, as equipes de segurança também devem adotar ferramentas que possam auxiliar no gerenciamento de riscos de configuração incorreta de SaaS e integrações de SaaS para SaaS. Essas ferramentas permitem que os usuários continuem a adotar aplicativos SaaS conforme necessário, ao mesmo tempo em que examinam novos fornecedores e integrações para segurança e estabelecem proteções de segurança muito necessárias.
FONTE: DARK READING