Aktualizácie vydania Salesforce – varovný príbeh pre bezpečnostné tímy

Na prvý pohľad sa Salesforce javí ako klasická platforma Software-as-a-Service (SaaS). Niekto by mohol dokonca namietať, že Salesforce vynašiel trh SaaS. Čím viac ľudí však pracuje s plnou ponukou Salesforce, tým viac si uvedomuje, že presahuje možnosti tradičnej platformy SaaS.

Napríklad len málo ľudí hovorí o riadení bezpečnostných aspektov Aktualizácie vydania Salesforce. Zákazníci Salesforce môžu lepšie chrániť citlivé informácie, ak pochopia, čo sú aktualizácie vydania, prečo predstavujú bezpečnostné riziko a ako môžu bezpečnostné tímy riziko zmierniť.

Ako zabezpečiť správne konfigurácie pre vaše zabezpečenie Salesforce

Čo sú aktualizácie vydania Salesforce?

Keďže Salesforce neaktualizuje svoju platformu automaticky, nesleduje tradičný model SaaS. Napríklad väčšina platforiem SaaS má dva typy vydaní, bezpečnosť a vylepšenia produktu. Naliehavé aktualizácie zabezpečenia sú vydávané hneď, ako je známa bezpečnostná chyba, a vylepšenia produktov sú vydávané v pevných dátumoch, napríklad štvrťročne alebo mesačne. V rámci modelu SaaS dodávateľ automaticky aktualizuje platformu.

Zásady aktualizácií a opráv sú prospešné pre zákazníka a poskytovateľa SaaS. Zákazníci sa nemusia starať o aktualizáciu systému, aby sa mohli sústrediť na kľúčové aspekty svojho podnikania. Medzitým poskytovateľ SaaS nemusí vyvíjať viaceré verzie aktualizácií ani sa starať o najnovšiu verziu nainštalovanú zákazníkom.

Ešte lepšie je, že poskytovateľ SaaS sa nemusí obávať, že zákazníci zaznamenajú porušenie bezpečnosti, pretože automaticky nainštaluje bezpečnostnú opravu pre každého. To len uľahčuje život každému a je jedným z dôvodov, prečo sú platformy SaaS nesmierne populárne.

Aktualizácie Salesforce fungujú inak

Salesforce funguje inak, veľmi odlišne. Používajú hybridný systém, ktorý je v niektorých ohľadoch podobný tradičnému softvéru, ktorý vyžaduje, aby zákazník používal aktualizácie až do ukončenia životnosti a modernú platformu SaaS. Salesforce ponúka pravidelné sezónne aktualizácie služieb a bezpečnostné aktualizácie podľa potreby. Žiadna aktualizácia sa však neimplementuje automaticky.

Salesforce poskytuje správcom „ochrannú lehotu“, počas ktorej sa môžu rozhodnúť aktualizovať platformu. Na konci tohto obdobia Salesforce automaticky pretlačí aktualizáciu.

Napríklad Salesforce predstavil Vynútiť rozsah OAuth pre aplikácie Lightning bezpečnostnú aktualizáciu v lete 2021. Poskytovateľ odporúča, aby ju organizácie aplikovali do septembra 2021. Salesforce ju však nebude presadzovať až do zimy 2022. Ide o dôležitú bezpečnostnú aktualizáciu, no zákazníci si ju nemusia hneď inštalovať.

Prečo aktualizácie Salesforce fungujú inak

Aj keď Salesforce nabáda správcov, aby si prešli kontrolný zoznam a použili aktualizácie, uvedomuje si, že zákazníci sa spoliehajú na flexibilitu platformy a že zmeny môžu ovplyvniť prispôsobenia, ako je vlastný vývoj a integrácia.

Keďže každá aktualizácia môže byť pre organizáciu katastrofálna, Salesforce poskytuje zákazníkom čas na skontrolovanie obsahu aktualizácie a prípravu Salesforce organizácie pred aktiváciou zmien.

Aký význam majú aktualizácie zabezpečenia Salesforce?

Aktualizácie zabezpečenia Salesforce sú, ako už názov napovedá, z bezpečnostných dôvodov. Zverejňujú sa s cieľom opraviť bezpečnostný problém, zabrániť útokom a posilniť bezpečnostnú pozíciu nájomcu Salesforce. Zákazníci by si ich preto mali nainštalovať čo najskôr.

Akonáhle Salesforce zverejní aktualizáciu, zraniteľnosť, ktorú opravuje, sa stane všeobecne známou. Táto znalosť znamená, že slabosť sa rovná bežnej zraniteľnosti alebo expozícii (CVE), ale bez prideleného čísla. Zlí herci môžu ľahko získať prístup ku všetkým informáciám týkajúcim sa odhalenia a vytvoriť vektor útoku, ktorý využíva zverejnenú zraniteľnosť. Tým sú všetky organizácie, ktoré nevynútili aktualizáciu zabezpečenia, zraniteľné voči útoku.

Keďže väčšina útokov je založená na známych, publikovaných, 1-denné zraniteľnosti, čakanie na aplikáciu aktualizácie vytvára riziko narušenia údajov. Všetci zlí herci používajú 1jednodňové útoky, od detí so skriptami až po profesionálnych hackerov ransomvéru, keďže ich využitie je oveľa jednoduchšie ako hľadanie neznámej zraniteľnosti. Väčšina zlých aktérov hľadá nízko visiace ovocie – organizácie bez aktualizovaného softvéru alebo organizácie s laxným zabezpečením.

To je dôvod, prečo odborníci v oblasti bezpečnosti označujú obdobie od zraniteľnosti až po vynútenie aktualizácie zabezpečenia zo strany organizácie za zlaté okno pre útoky. Z tohto dôvodu je dôležité čo najskôr aktualizovať všetok softvér na najnovšiu stabilnú verziu a nainštalovať aktualizácie zabezpečenia.

Prípad riadenia prístupu pre hosťujúcich používateľov

Toto nie je len hypotetický alebo zaujímavý príbeh. V októbri 2020 bezpečnostný výskumník Aaron Costello zistil, že nastavenia povolení riadenia prístupu v Salesforce môžu umožniť neovereným používateľom (ďalej len „hosťujúci používatelia“) prístup k viac informáciám, než sa zamýšľalo, pomocou kumulatívnych nedostatkov v Salesforce, vrátane

  • staré a nezabezpečené inštancie Salesforce,
  • problematické predvolené konfigurácie,
  • spoluúčasť a pokročilé schopnosti metód „@AuraEnabled“.

Salesforce navrhol bezpečnostné opatrenia pre hosťujúcich používateľov, objekty a rozhrania API a zároveň presadil aktualizácie zabezpečenia v nasledujúcich vydaniach Winter ’21 a Spring ’21.

Medzi aktualizácie zabezpečenia patrili Odstrániť oprávnenie na zobrazenie všetkých používateľov z používateľských profilov hosťa a Znížte povolenia objektov pre používateľov typu Guest.

Oba návrhy priamo riešia hlavnú príčinu bezpečnostnej hrozby. Problémom je, že to bolo príliš neskoro, pretože zlí herci vedeli o zraniteľnosti od októbra 2020. V čase, keď Salesforce poslal aktualizácie rôznym nájomníkom, správcovia museli aktualizácie aktivovať manuálne. To znamená, že zákazník mohol byť ohrozený kdekoľvek 6 – 9 mesiacov pred samotným odstránením zraniteľnosti.

Bezpečnostný tím je zodpovedný za bezpečnosť Salesforce

Zatiaľ čo Salesforce poskytuje organizáciám hodnotu, jeho prístup k správe bezpečnostných aktualizácií z neho robí jedinečný typ SaaS. Navyše ide o mimoriadne zložitý systém s tisíckami konfigurácií. Aj keď sa mnohé nezdajú dôležité pre bezpečnosť, v skutočnosti môžu ovplyvniť pozíciu nájomcu Salesforce.

Preto je potrebné, aby tím CISO alebo bezpečnostný tím bol zapojený viac, ako by to bolo normálne pri riadení Salesforce. Potrebujú:

  • uistite sa, že konfigurácie sú vykonávané s ohľadom na bezpečnosť,
  • sledovať zmeny,
  • uistite sa, že aktualizácie nezhoršia bezpečnostnú pozíciu organizácie,
  • trvať na tom, aby boli aktualizácie zabezpečenia nainštalované čo najskôr
  • uistite sa, že hygiena bezpečnosti nájomcu Salesforce je dobrá.

Našťastie kategória nástrojov SaaS Security Posture Management (SSPM) rieši tieto úlohy a Adaptive Shield je v tejto kategórii popredné riešenie na trhu, ktoré automaticky umožňuje optimálne nastavenie zabezpečenia SaaS.

Ako môže Adaptive Shield pomôcť zabezpečiť Salesforce?

Adaptive Shield chápe zložitosť zabezpečenia Salesforce, okrem mnohých iných platforiem SaaS, pretože Adaptive Shield poskytuje podnikovým bezpečnostným tímom úplnú kontrolu nad aplikáciami SaaS ich organizácií s viditeľnosťou, podrobnými prehľadmi a nápravou vo všetkých aplikáciách SaaS.

Platforma pomáha správcom Salesforce, CISO a bezpečnostným tímom sledovať a monitorovať nastavenia a aktualizácie konfigurácie pomocou bezpečnostných kontrol, ktoré zaisťujú, že nájomník Salesforce je správne nakonfigurovaný a zabezpečený. Zahŕňa to povolenia na monitorovanie, metódy „@AuraEnabled“, zabezpečenie API a autentifikáciu.

Adaptive Shield tiež poskytuje jasné informácie o zmiernení na základe priorít, takže správcovia a bezpečnostné tímy môžu rýchlo zabezpečiť nájomcu Salesforce, aby si zachoval silnú bezpečnostnú pozíciu. Platforma Adaptive Shield si kladie za úlohu zabezpečiť nájomcu Salesforce od ťažkopádneho, zložitého a časovo náročného – po jednoduché, jasné, rýchle a spravovateľné prostredie. Tým sa zabráni takým zraniteľnostiam ako v príklade vyššie prerušením reťazca nesprávnych konfigurácií a nevynútených aktualizácií.

Kontaktujte nás, aby ste sa uistili, že váš Salesforce alebo akákoľvek iná aplikácia SaaS je zabezpečená ešte dnes.

Poznámka: Tento článok napísal Hananel Livneh, Senior Product Analyst v Adaptive Shield.