Bendradarbiavimo priemonės tapo nepaprastai populiarios įvairiose įmonėse, nes jos įgalina tokias strategijas kaip virtualios komandos ir leidžia darbuotojams dirbti kartu, kad ir kiek jie būtų fiziškai. Nesvarbu, ar tai būtų darbo eigos pagrindu sukurta naudinga priemonė, tokia kaip „Asana“, ar į pokalbius orientuota programa, pavyzdžiui, „Slack“, šie įrankiai taip pat sukūrė naujas galimybes elektroniniams nusikaltėliams, norintiems pasiekti svarbiausią jūsų įmonės informaciją. Blogi veikėjai gali įsiskverbti į jūsų bendradarbiavimo programinę įrangą naudodamiesi programų programavimo sąsajomis (API) arba per atsitiktinius leidimus, kurie nutekina asmeninę informaciją už jūsų organizacijos ribų. Kitaip tariant, net jei jie bus talpinami kitur, jūsų bendradarbiavimo įrankiai vis tiek gali sukelti didelę saugumo spragą jūsų tinkle.
Gregas Arnette yra duomenų apsaugos platformos strategijos direktorius Campbell mieste, Kalifornijoje įsikūrusiame „Barracuda Networks“ - saugos, tinklų ir saugojimo produktų tiekėjui. Neseniai susėdome su Arnette aptarti, kokie išpuoliai gali įvykti pasitelkiant bendradarbiavimo tarnybas ir kaip įmonės gali apsisaugoti.
PCMag (PCM): Visų rūšių kompanijos gana greitai priima visų rūšių bendradarbiavimo įrankius. Kokios gali būti tam tikros su saugumu susijusios problemos?
Gregas Arnette (GA): Taigi, prieš imdamiesi panašių pažeidžiamumų, manau, svarbu pateikti apžvalgą apie tai, kas vyksta šiuo metu. Įvyksta daugybė skirtingų tendencijų
Dabar suderinkite šią tendenciją su kylančiais API ir dirbtiniu intelektu. Tai sukuria daug gerų dalykų, bet ir tiek pat blogų dalykų. Kai įmonės perkelia savo bendradarbiavimo sistemas iš vietinių į
PCM: Be abejo, tai visi geri dalykai. Taigi kur prasideda problemos?
GA: Ši technologija leidžia žmonėms, norintiems padaryti žalos kitiems, pasinaudoti šiomis atviromis API ir šiomis naujomis įrašų sistemomis. Blogi pasaulio veikėjai taip pat pasinaudoja debesijos naujovėmis ir naudoja AI, mašininį mokymąsi (ML) ir pigią debesų kompiuteriją remdami išpuolius su šiomis API. Jie ieško pažeidžiamumų ir mėgdžioja vartotojų elgesį, kad galėtų apeiti žinomas gynybos priemones ir įsiskverbti į organizacijas naudodamiesi, kas, manoma, gana saugia gynyba, ir, kad neliktų blogos informacijos.
Taigi tai yra tobula audra, kai verslas nori daugiau patogumo, nes blogi dalyviai gali panaudoti šias API ir įsitraukti į tas sistemas. Iš esmės tai yra abipusiai užtikrintos sunaikinimo varžybos.
PCM: Pateikite konkretaus tipo išpuolių pavyzdį. Ar piktybinis veikėjas sukurtų iš pažiūros nekenksmingą tokios programos kaip „Slack“ programą, kurią darbuotojas būtų apgavęs įdiegti?
GA: Piktnaudžiavimo „Slack“ API naudojimu pavyzdys yra tai, kad galite sukurti trečiosios šalies programą „Slack“, kuri gali sujungti jūsų „Slack“ sąskaitą su ryšių su klientais valdymo (CRM) platforma, pavyzdžiui, „Salesforce“. Kažkas įmonėje galėjo atsisiųsti ir įdiegti programą, o tada šią Trojos „Slack“ programą, kuri, atrodo, yra paprasta jungtis, asmuo gali lengvai įgalioti įmonėje. Netikėtai dabar jūs turite šį mažą robotą, sėdintį kažkieno darbo vietoje, kuris gali kalbėtis tiek su „Slack“, tiek su „Salesforce“ ir išplisti duomenis be įmonės žinios. Ir tai tik vienas mažas pavyzdys. Tai galite pritaikyti praktiškai bet kuriai platformai, turinčiai atvirą API.
PG atveju pasaulyje esantys žmonės, norintys daryti žalingus dalykus, naudojasi PG norėdami išsiaiškinti, kaip išnaudoti sistemas, rinkti duomenis ir atskleisti juos žurnalistams ir kitiems. Tai turi sukelti problemų ir paveikti rinkimus, paveikti ekonomiką, paveikti verslo stabilumą ir pan. Tai gali įvykti labai įvairiai. Tai gali būti ML modelis, išmokytas ieškoti konkrečios informacijos, arba robotas, kuris atrodo realus asmuo, kuris galėtų paprašyti darbuotojų informacijos. Yra daugybė pažeidžiamumų, kuriuos šios bendradarbiavimo priemonės atveria organizacijoms.
Kita tendencija, kurią matome, yra departamentai ir komandos, perkantys ar įgyvendinantys sprendimus, netyčia jungiantys viešus dalykus į privatų tinklą, kuris yra ne IT skyriaus kompetencijoje. Nuo tada, kai šios bendradarbiavimo priemonės buvo priimtos, IT departamentams kilo problemų, norint užkirsti kelią tiems, kurie iš tikrųjų gali įdiegti ir valdyti daiktus įmonės tinkle, kad būtų uždrausta tokio tipo ryšiams nutikti. Jei kuriam nors darbuotojui leidžiama pridėti programą prie bendrovės „Asana“ komandos, ji gali būti pražūtinga.
PCM: Šios atakos yra baisios, be abejo, tačiau tai yra nepaprastai naudingi įrankiai. Sunku įsivaizduoti, kad dauguma įmonių atsisako šių programų, kai joms buvo suteikta prieiga prie tokio pobūdžio patogumų. Kaip verslas turėtų saugoti save?
GA: Tai visiškai tiesa; šios programos yra čia, kad liktų. Jie įrodė, kad gali padėti pagerinti gyvenimą dirbant.
Yra keletas dalykų, kuriuos… įmonės gali padaryti, kad išliktų saugios. Pirmiausia reikia užtikrinti, kad IT skyrius žinotų apie visas įdiegtas programas ir visas šias trečiųjų šalių jungtis, kurios yra įdiegtos į šias programas. Įsitikinkite, kad jie buvo peržiūrėti ar patikrinti, patikrinant akis, kad įsitikintumėte, jog tai nėra iš tikrųjų į Trojaną panašūs išpuoliai, sukurti kažkam priversti juos įdiegti.
Antras dalykas, kurį turėtų daryti klientai, yra savo tiekėjo saugumo ir geriausios praktikos standartų tikrinimas. Čia yra puiki trečiųjų šalių svetainė, kuri padeda IT skyriams atlikti patikrinimą, vadinama „Enterpriseready.io“. Galite ten nuvykti ir patikrinti ir įsitikinti, ar jame yra visi reikiami valdikliai, kad būtų užtikrinta labai saugi darbo aplinka. Taigi viskas susiję su privatumu, užtikrinant pakankamą galimybę užblokuoti valdiklius, kad API turi prieigą prie audito ir tokią
Be to, verta paminėti, kad daugeliui šių bendradarbiavimo sprendimų yra leidimų kontrolė, kad būtų galima kovoti su būtent tokiu dalyku. Galite sugriežtinti leidimus dėl integracijų, kurias gali atlikti šios programos, ir kas jas valdo. Jei sukonfigūruosite šiuos leidimus, IT sutaupys daug darbo, nes reikia stebėti, kokios programos yra įdiegtos.
