Wawasan industri: alat kolaborasi mungkin merupakan risiko keselamatan yang seterusnya

Alat kerjasama telah menjadi sangat popular dengan semua jenis perniagaan kerana ia membolehkan strategi seperti pasukan maya dan menjaga pekerja bekerja dengan rapat sama sekali tidak seberapa jauh mereka mungkin secara fizikal. Tetapi sama ada ia merupakan utiliti berasaskan aliran kerja seperti Asana atau aplikasi berorientasikan sembang seperti Slack, alat ini juga telah mewujudkan peluang baru untuk penjenayah siber mencari maklumat paling penting syarikat anda. Pelakon yang buruk boleh menyusup perisian kolaborasi anda melalui antara muka pengaturcaraan aplikasi (API) atau melalui kebenaran yang tidak disengajakan yang membocorkan maklumat peribadi di luar organisasi anda. Dalam erti kata lain, walaupun mereka sedang dihoskan di tempat lain, alat kerjasama mungkin masih meletakkan lubang keselamatan yang besar di rangkaian anda.

Greg Arnette adalah Pengarah Strategi Platform Perlindungan Data di Campbell, Barracuda Networks yang berpangkalan di Calif, pembekal produk keselamatan, rangkaian, dan penyimpanan. Kami baru-baru ini duduk dengan Arnette untuk membincangkan jenis serangan yang boleh terjadi melalui perkhidmatan kolaborasi dan bagaimana perniagaan dapat melindungi diri mereka sendiri.

PCMag (PCM): Alat kerjasama semua jenis sedang diadopsi pada tahap yang sangat pesat oleh semua syarikat. Apakah beberapa masalah berkaitan keselamatan yang boleh timbul daripada ini?

Greg Arnette (GA): Jadi, sebelum kita pergi ke jenis kelemahan yang terlibat, saya fikir penting untuk memberi gambaran keseluruhan tentang apa yang berlaku sekarang. Terdapat beberapa trend yang berlainan sekitar kolaborasi dan bagaimana ia berkaitan dengan apa yang kita lihat hari ini, dengan sistem yang terdedah kepada serangan yang kemudian menjejaskan orang.

Salah satu trend ialah penghijrahan besar-besaran perkhidmatan kolaborasi di premis yang bergerak ke alternatif awan. Dengan penghijrahan itu, anda mempunyai peningkatan penggunaan e-mel dan sistem pemesejan masa nyata, seperti Slack dan Tempat Kerja Facebook dan platform sedozen atau lebih yang semakin popular di samping daripada e-mel. Dengan penghijrahan ini, syarikat menjimatkan wang dan mempermudahkan infrastruktur IT dalaman mereka. Microsoft Office 365 dan Google G Suite dan Slack menjadi sistem rekod dalam banyak organisasi. Itu mungkin akan terus bermain untuk lima tahun akan datang sehingga saya fikir akan ada perubahan besar kepada orang kebanyakannya melakukan perkara-perkara di awan yang bertentangan dengan apa-apa di premis.

Sekarang, pasangan itu trend dengan kebangkitan API dan kecerdasan buatan. Itu mencipta banyak perkara yang baik tetapi juga jumlah yang sama dengan perkara yang buruk. Memandangkan syarikat berhijrah sistem kerjasama mereka dari dalam premis ke awan , mereka menggunakan jenis sistem baru ini. Penyepaduan mungkin mengintegrasikan perkhidmatan pengurusan identiti ke Microsoft Office 365 supaya anda boleh mendapatkan log masuk tunggal. Atau anda boleh mengintegrasikan perkhidmatan telefoni ke dalam sistem e-mel supaya kalendar itu boleh menambah nombor jambatan ke jemputan mesyuarat seterusnya.

PCM: Ini semua adalah perkara baik, sudah tentu. Jadi di mana masalah bermula?

GA: Teknologi yang sama ini membenarkan orang-orang yang ingin membahayakan orang lain untuk memanfaatkan API terbuka ini dan sistem rekod baru ini. Pelakon buruk di dunia juga mengambil kesempatan daripada inovasi dalam awan dan menggunakan AI, mesin pembelajaran (ML), dan pengkomputeran awan murah untuk menaja serangan dengan API ini. Mereka mencari kelemahan dan meniru tingkah laku pengguna supaya mereka dapat mengatasi pertahanan yang diketahui dan organisasi yang menyusup menggunakan apa yang dianggap sebagai pertahanan yang cukup selamat dan menyimpan barang-barang buruk.

Oleh itu, semacam ribut perniagaan yang sempurna mahu lebih banyak kemudahan dengan kemampuan untuk pelaku buruk untuk memanfaatkan API ini dan masuk ke dalam sistem tersebut. Ia satu perlumbaan yang penuh kemusnahan, pada dasarnya.

PCM: Beri kami contoh serangan jenis tertentu. Adakah pelakon yang berniat jahat membuat aplikasi yang tidak berbahaya untuk program seperti Slack yang pekerja akan ditipu untuk memasang?

GA: Contoh kegunaan API Slack yang jahat ialah anda boleh membangunkan aplikasi Slack pihak ketiga yang dapat menjembatani akaun Slack anda dengan platform pengurusan hubungan pelanggan (CRM) seperti Salesforce. Seseorang di dalam syarikat boleh memuat turun dan memasang aplikasinya, dan kemudian aplikasi Slack trojan ini yang muncul di permukaan menjadi penyambung ringkas-boleh dengan mudah disahkan oleh individu di syarikat itu. Secara tiba-tiba, sekarang anda mempunyai bot kecil ini yang duduk di stesen kerja seseorang yang boleh bercakap dengan Slack dan Salesforce dan membocorkan data tanpa pengetahuan syarikat. Dan itu hanya satu contoh kecil. Anda boleh menggunakannya untuk hampir mana-mana platform yang mempunyai API terbuka.

Dalam kes AI, orang di luar sana yang ingin melakukan perkara yang berbahaya menggunakan AI untuk mencari cara mengeksploitasi sistem, mengumpul data, dan mendedahkannya kepada wartawan dan lain-lain. Ini adalah untuk menyebabkan masalah dan mempengaruhi pemilihan, menjejaskan ekonomi, menjejaskan kestabilan perniagaan, dan sebagainya. Ini boleh berlaku dalam banyak cara. Ia boleh menjadi model ML yang dilatih untuk mencari maklumat khusus atau bot yang kelihatannya menjadi orang yang benar yang boleh mendapatkan maklumat daripada pekerja. Terdapat pelbagai kerentanan bahawa alat kerjasama ini terbuka untuk organisasi.

Trend lain yang kita lihat ialah jabatan dan pasukan yang membeli atau melaksanakan penyelesaian yang secara tidak sengaja menghubungkan perkara awam ke rangkaian persendirian yang berada di luar jabatan IT. Oleh kerana alat kerjasama ini telah diterima pakai, jabatan IT mengalami masalah untuk mengunci siapa yang sebenarnya boleh memasang dan menjalankan sesuatu dalam rangkaian syarikat untuk melarang jenis sambungan yang terjadi. Jika mana-mana pekerja dibenarkan untuk menambah, aplikasi kepada pasukan Asana syarikat, ia boleh menjadi bencana.

PCM: Serangan ini menakutkan, pasti, tetapi ini alat yang sangat berguna. Sukar untuk membayangkan kebanyakan perniagaan menyerahkan aplikasi ini sebaik sahaja mereka mempunyai akses kepada kemudahan semacam ini. Bagaimanakah perniagaan menjaga diri mereka selamat?

GA: Itu betul-betul benar; aplikasi ini berada di sini untuk kekal. Mereka telah membuktikan bahawa mereka dapat membantu menjadikan kehidupan lebih baik dalam suasana kerja.

Terdapat beberapa perkara yang… syarikat boleh lakukan untuk terus selamat. Yang pertama adalah memastikan bahawa jabatan IT menyedari semua aplikasi yang dipasang dan semua penyambung pihak ketiga yang dipasang ke aplikasi ini. Pastikan mereka telah dikaji semula atau diperiksa dengan meneliti mata untuk memastikan bahawa mereka tidak sebenarnya serangan seperti Trojan yang dicipta untuk mencetuskan seseorang untuk memasangnya.

Perkara kedua yang perlu dilakukan oleh para pelanggan ialah memastikan keselamatan pembekal dan pematuhan standard amalan terbaik mereka. Ada laman web pihak ketiga yang hebat yang membantu jabatan IT melakukan pemeriksaan yang disebut Enterpriseready.io. Anda boleh pergi ke sana dan anda boleh menyemak dan melihat sama ada ia mempunyai semua kawalan yang betul untuk memastikan persekitaran operasi yang sangat selamat. Oleh itu, ia adalah mengenai privasi, memastikan bahawa ada keupayaan memadai untuk mengunci kawalan, bahawa API mempunyai akses audit, dan jenis barangan, supaya kita boleh menjadi lebih berhati-hati.

Di samping itu, perlu diperhatikan bahawa banyak penyelesaian kerjasama ini mempunyai kawalan keizinan untuk melawan perkara semacam ini. Anda boleh mengetatkan kebenaran mengenai integrasi apa yang boleh melalui aplikasi ini dan yang mengawalnya. Jika anda mengkonfigurasi keizinan ini, ia menyimpan IT banyak kerja untuk memantau apl yang dipasang.