As equipes de segurança estão familiarizados com as ameaças provenientes de aplicativos de terceiros que os funcionários adicionam para melhorar sua produtividade. Esses aplicativos são inerentemente projetados para fornecer funcionalidade aos usuários conectando-se a um aplicativo "hub", como Salesforce, Google Workspace ou Microsoft 365. As preocupações de segurança centram-se nos escopos de permissão concedidos aos aplicativos de terceiros e no potencial para um agente de ameaça para assumir o controle dos aplicativos principais e abusar dessas permissões.
Não há nenhuma preocupação real de que o aplicativo, por si só, comece a excluir arquivos ou compartilhar dados. Como tal, as soluções SaaS Security Posture Management (SSPM) são capazes de identificar aplicações integradas de terceiros e apresentar seus escopos de permissão. A equipe de segurança faz então uma avaliação de risco, equilibrando os benefícios que o aplicativo oferece com seus escopos de permissão antes de decidir se deseja manter ou desacoplar os aplicativos.
No entanto, os ofensores mudaram o campo de jogo com a introdução de aplicativos maliciosos. Esses aplicativos não agregam nada de valor ao aplicativo hub. Eles são projetados para se conectar a um aplicativo SaaS e realizar atividades não autorizadas com os dados contidos nele. Quando esses aplicativos se conectam à pilha SaaS principal, eles solicitam determinados escopos e permissões. Essas permissões permitem que o aplicativo leia, atualize, crie e exclua conteúdo.
Aplicativos maliciosos podem ser novos no mundo SaaS, mas é algo que já vimos em dispositivos móveis. Os atores da ameaça criariam um aplicativo de lanterna simples, por exemplo, que poderia ser baixado na app store. Depois de baixados, esses aplicativos minimalistas solicitavam conjuntos de permissões absurdos e, em seguida, exploravam os dados do telefone.
Os ofensores estão usando ataques de phishing sofisticados para conectar aplicativos maliciosos a aplicativos SaaS principais. Em alguns casos, os funcionários são direcionados a um site aparentemente legítimo, onde têm a oportunidade de conectar um aplicativo ao seu SaaS.
Em outros casos, um erro de digitação ou um nome de marca ligeiramente incorreto pode levar um funcionário ao site de um aplicativo malicioso. A partir daí, como Eliana V aponta neste episódio do SaaS Security on Tap, bastam alguns cliques para que o aplicativo seja conectado ao aplicativo SaaS principal com permissões suficientes para realizar ações maliciosas.
Outros ofensores são capazes de publicar aplicativos maliciosos em lojas de aplicativos, como o Salesforce AppExchange. Esses aplicativos podem oferecer funcionalidade, mas escondidos lá no fundo estão ações maliciosas esperando para serem executadas.
Como no mundo móvel, muitas vezes os aplicativos maliciosos executam a funcionalidade prometida. No entanto, eles estão em posição de atacar quando necessário.
Existem vários perigos representados por aplicativos maliciosos. Em um exemplo extremo, eles podem criptografar dados e realizar um ataque de ransomware SaaS.
Violações de dados – aplicativos maliciosos de terceiros podem acessar registros confidenciais de funcionários ou clientes armazenados no aplicativo SaaS. Uma vez acessado, o aplicativo malicioso pode exfiltrar dados e publicá-los on-line ou retê-los como resgate.
Comprometimento do sistema – aplicativos maliciosos podem usar as permissões concedidas a eles para alterar configurações no aplicativo SaaS principal ou adicionar novos usuários com alto privilégio. Esses usuários podem então acessar o aplicativo SaaS à vontade e lançar ataques futuros, roubar dados ou interromper operações.
Comprometer a confidencialidade – o aplicativo malicioso pode roubar dados confidenciais ou segredos comerciais. Esses dados podem então ser publicados online, levando a perdas financeiras significativas, danos à reputação e potencial para multas governamentais onerosas.
Violações de conformidade – ao acessar dados dentro do aplicativo SaaS, o aplicativo malicioso pode colocar uma organização em risco de não conformidade. Isto pode impactar os relacionamentos com parceiros, clientes e reguladores e potencialmente levar a penalidades financeiras.
Problemas de desempenho – aplicativos maliciosos podem interferir no desempenho do sistema, alterando as configurações de acesso dos usuários, desabilitando recursos e causando problemas de latência e lentidão.
Proteger os dados armazenados no aplicativo SaaS deve ser uma das principais prioridades da equipe de segurança. Para fazer isso, eles exigem recursos de detecção de ameaças SaaS que possam identificar aplicativos maliciosos antes que danifiquem os dados SaaS.
Isso significa obter visibilidade de todos os aplicativos de terceiros conectados aos seus aplicativos hub, suas permissões e informações contextuais que delineiam o que o aplicativo faz. Além disso, as configurações de segurança dos seus aplicativos hub devem ser configuradas para evitar ataques maliciosos ou limitar seus danos. Essas configurações incluem exigir a aprovação do administrador para conectar aplicativos, limitar o acesso que aplicativos de terceiros têm e permitir a integração apenas de aplicativos provenientes de um mercado de aplicativos aprovado para o aplicativo hub.
Um SSPM, como o Adaptive Shield, com capacidade de detecção de aplicativos de interconectividade, conectado à sua pilha SaaS completa detectará um aplicativo malicioso. Com o SSPM certo, você pode garantir que suas configurações sejam suficientes para evitar que aplicativos maliciosos assumam o controle de seus aplicativos de hub. Ele também pode acionar alertas quando os conjuntos de permissões do aplicativo são muito altos ou usar IA para descobrir anomalias ou outros identificadores de perfil exclusivos que indicam que um aplicativo é malicioso, permitindo que sua equipe de segurança mantenha seus aplicativos de hub seguros.
Comentários