Industriinnsikt: samarbeidsverktøy kan være den neste store sikkerhetsrisikoen

Samarbeidsverktøy har blitt enormt populære blant alle slags virksomheter fordi de muliggjør strategier som virtuelle team og holder ansatte i tett sammen uansett hvor langt fra hverandre de er fysisk. Men enten det er et arbeidsflytbasert verktøy som Asana eller en chat-orientert app som Slack, har disse verktøyene også skapt nye muligheter for nettkriminelle som ønsker å få tilgang til bedriftens viktigste informasjon. Dårlige aktører kan infiltrere samarbeidsprogramvaren din via applikasjonsprogrammeringsgrensesnitt (API) eller ved utilsiktede autorisasjoner som lekker privat informasjon utenfor organisasjonen din. Med andre ord, selv om de blir vert andre steder, kan samarbeidsverktøyene dine fremdeles sette et enormt sikkerhetshull i nettverket ditt.

Greg Arnette er direktør for databeskyttelsesplattformstrategi i Campbell, Calif-baserte Barracuda Networks, en leverandør av sikkerhets-, nettverks- og lagringsprodukter. Vi satte oss nylig ned med Arnette for å diskutere hva slags angrep som kan skje via samarbeidstjenester og hvordan virksomheter kan beskytte seg.

PCMag (PCM): Samarbeidsverktøy av alle slag blir tatt i bruk i ganske raskt tempo av alle slags selskaper. Hva er noen av sikkerhetsrelaterte problemer som kan oppstå av dette?

Greg Arnette (GA): Så før vi går inn på hva slags sårbarheter det er, tror jeg det er viktig å gi en oversikt over hva som skjer akkurat nå. Det skjer en rekke forskjellige trender rundt samarbeid og hvordan det forholder seg til det vi ser i dag, med systemer som er sårbare for angrep som deretter går på bekostning av mennesker.

En av trendene er denne enorme migrasjonen av lokale samarbeidstjenester som flytter til skyalternativer. Med den overføringen har du en økt bruk av e-post og meldingssystemer i sanntid, for eksempel Slack og Facebook Workplace og et titalls forskjellige plattformer som øker i popularitet sammen med av e-post. Med denne overføringen sparer selskaper penger og forenkler sin interne IT-infrastruktur. Microsoft Office 365 og Google G Suite og Slack blir registreringssystemet i mange organisasjoner. Det vil trolig fortsette å spille ut de neste fem årene til jeg tror det vil være et stort skifte til at folk stort sett gjør ting i skyen i motsetning til noe lokalt.

Nå, par den trenden med økningen av APIer og kunstig intelligens. Det er å skape mange gode ting, men også et like stort antall dårlige ting. Når selskaper migrerer samarbeidssystemene sine fra lokale til Sky , bruker de disse nye typene systemer. En integrasjon kan være å integrere en identitetsadministrasjonstjeneste i Microsoft Office 365 slik at du kan få enkeltpålogging. Eller du kan integrere en telefontjeneste i e-postsystemet slik at kalenderen kan legge til et bronummer til neste møteinvitasjon.

PCM: Dette er selvfølgelig alle gode ting. Så hvor begynner problemene?

GA: Den samme teknologien lar folk som ønsker å skade andre gjøre seg nytte av disse åpne API-ene og disse nye systemene for registrering. Verdens dårlige skuespillere drar også nytte av innovasjonene innen sky og bruker AI, maskinlæring (ML) og billig nettsky-databehandling for å sponse angrep med disse API-ene. De leter etter sårbarheter og etterligner brukeratferd, slik at de kan omgå de kjente forsvaret og infiltrere organisasjoner ved å bruke det som ble antatt å være ganske sikre forsvar og for å holde dårlige ting ute.

Så det er en slags perfekt storm av bedrifter som ønsker mer bekvemmelighet med muligheten for dårlige aktører å utnytte disse APIene og komme inn i disse systemene. Det er et løp om en gjensidig forsikret ødeleggelse, i utgangspunktet.

PCM: Gi oss et eksempel på en spesifikk type angrep. Ville en ondsinnet skuespiller lage en tilsynelatende ufarlig app for et program som Slack som en ansatt ville lurt til å installere?

GA: Et eksempel på en ondsinnet bruk av Slack API er at du kan utvikle en tredjeparts Slack-app som kan bygge bro mellom Slack-kontoen din og en CRM-plattform (Customer Relationship Management) som Salesforce. Noen i et selskap kan laste ned og installere appen, og deretter kan denne trojan Slack-appen - som på overflaten ser ut som en enkel kontakt - enkelt autoriseres av en person i selskapet. Plutselig har du nå denne lille boten som sitter på noens arbeidsstasjon som kan snakke med både Slack og Salesforce og lekke ut data uten selskapets viten. Og det er bare ett lite eksempel. Du kan bruke dette på praktisk talt alle plattformer som har et åpent API.

Når det gjelder AI bruker folk der ute i verden som ønsker å gjøre skadelige ting AI for å finne ut hvordan man kan utnytte systemer, samle data og eksponere det for journalister og andre. Dette er for å forårsake problemer og påvirke valg, påvirke økonomier, påvirke forretningsstabilitet og så videre. Dette kan skje på mange måter. Det kan være en ML-modell som er opplært til å lete etter spesifikk informasjon eller en bot som ser ut til å være en ekte person som kan anskaffe informasjonen fra ansatte. Det er alle slags sårbarheter som disse samarbeidsverktøyene åpner for organisasjoner.

En annen trend som vi ser er avdelinger og team som kjøper eller implementerer løsninger som utilsiktet kobler offentlige ting til det private nettverket som ligger utenfor IT-avdelingens formål. Siden disse samarbeidsverktøyene er blitt brukt, har IT-avdelinger hatt problemer med å prøve å låse hvem som faktisk kan installere og kjøre ting i firmaets nettverk for å forby at disse typer forbindelser skjer. Hvis noen ansatt får lov til å legge til, en app til selskapet Asana-teamet, kan det være katastrofalt.

PCM: Disse angrepene er skumle, helt sikkert, men dette er ekstremt nyttige verktøy. Det er vanskelig å forestille seg at de fleste bedrifter gir opp disse appene når de har hatt tilgang til denne typen bekvemmeligheter. Hvordan skal virksomheter holde seg trygge?

GA: Det er helt sant; disse appene er her for å bli. De har funnet ut at de kan bidra til å gjøre livet bedre i arbeidsmiljøet.

Det er et par ting som… selskaper kan gjøre for å holde seg sikre. Den første er å sikre at IT-avdelingen er klar over alle appene som er installert og alle disse tredjepartskontaktene som er installert i disse appene. Forsikre deg om at de har blitt gjennomgått eller kontrollert ved å granske øynene for å forsikre deg om at de ikke faktisk er trojanske lignende angrep som ble opprettet for å lokke noen til å installere dem.

Den andre tingen som kundene bør gjøre er å kontrollere leverandørens sikkerhet og overholdelse av beste praksisstandarder. Det er et flott tredjepartsnettsted som hjelper IT-avdelinger med å gjøre det vetting som heter Enterpriseready.io. Du kan dra dit, og du kan sjekke ut og se om den har alle de rette kontrollene på plass for å sikre et svært sikkert driftsmiljø. Så det handler om personvern, sikre at det er tilstrekkelig mulighet til å låse kontroller, at APIer har revisjonstilgang og den slags ting, slik at vi kan være bedre årvåken.

På toppen av det er det verdt å merke seg at mange av disse samarbeidsløsningene har tillatelseskontroller for å kjempe mot akkurat denne typen ting. Du kan stramme tillatelsene for hvilke integrasjoner som kan komme gjennom disse appene, og hvem som kontrollerer dem. Hvis du konfigurerer disse tillatelsene, sparer det IT mye av arbeidet med å måtte overvåke hvilke apper som er installert.