Las aplicaciones ocultas, un segmento de TI oculta, son aplicaciones SaaS adquiridas sin el conocimiento del equipo de seguridad. Si bien estas aplicaciones pueden ser legítimas, operan dentro de los puntos ciegos del equipo de seguridad corporativa y exponen a la empresa a los atacantes.
Las aplicaciones ocultas pueden incluir instancias de software que la empresa ya está utilizando. Por ejemplo, un equipo de desarrollo puede incorporar su propia instancia de GitHub para mantener su trabajo separado del de otros desarrolladores. Es posible que justifiquen la compra señalando que GitHub es una aplicación aprobada, ya que otros equipos ya la utilizan. Sin embargo, dado que la nueva instancia se utiliza fuera de la vista del equipo de seguridad, carece de gobernanza. Puede almacenar datos corporativos confidenciales y no tener protecciones esenciales como MFA habilitada, SSO aplicado o podría sufrir controles de acceso débiles. Estas configuraciones incorrectas pueden generar fácilmente riesgos como el robo de código fuente y otros problemas.
Tipos de aplicaciones shadow
Las aplicaciones de sombra se pueden clasificar en función de su interacción con los sistemas de la organización. Dos tipos comunes son las aplicaciones de sombra aisladas y las aplicaciones de sombra integradas.
Aplicaciones de sombra independientes
Las aplicaciones independientes son aplicaciones que no están integradas con el ecosistema de TI de la empresa. Funcionan como una isla aislada de otros sistemas de la empresa y, a menudo, cumplen una función específica, como la gestión de tareas, el almacenamiento de archivos o la comunicación. Sin visibilidad sobre su uso, los datos corporativos pueden ser mal manejados, lo que lleva a la posible pérdida de información confidencial, ya que los datos se fragmentan en varias plataformas no aprobadas.
Aplicaciones de sombra integradas
Las aplicaciones ocultas integradas son mucho más peligrosas, ya que se conectan o interactúan con los sistemas aprobados de la organización a través de API u otros puntos de integración. Estas aplicaciones pueden sincronizar automáticamente los datos con otro software, intercambiar información con aplicaciones autorizadas o compartir el acceso entre plataformas. Como resultado de estas integraciones, los actores de amenazas podrían comprometer todo el ecosistema SaaS, y las aplicaciones ocultas podrían actuar como una puerta de acceso a los sistemas integrados.
Cómo las aplicaciones ocultas afectan la seguridad del SaaS
Vulnerabilidades de seguridad de datos
Uno de los principales riesgos de las aplicaciones ocultas es que pueden no cumplir con los protocolos de seguridad de la organización. Los empleados que utilizan aplicaciones no autorizadas pueden almacenar, compartir o procesar datos confidenciales sin el cifrado adecuado u otras medidas de protección implementadas. Esta falta de visibilidad y control puede provocar fugas de datos, infracciones o acceso no autorizado.
Riesgos regulatorios y de cumplimiento
Muchas industrias se rigen por marcos regulatorios estrictos (por ejemplo, GDPR, HIPAA). Cuando los empleados usan aplicaciones ocultas que no han sido examinadas ni aprobadas por los equipos de TI o cumplimiento de la organización, la organización puede violar estas regulaciones sin saberlo. Esto podría generar multas elevadas, acciones legales y daños a la reputación.
Aumento de la superficie de ataque
Las aplicaciones ocultas amplían la superficie de ataque de la organización y brindan más puntos de entrada a los cibercriminales. Es posible que estas aplicaciones no hayan reforzado sus controles de acceso, lo que permite a los piratas informáticos aprovecharlas y obtener acceso a las redes de la empresa.
Falta de visibilidad y control
Los departamentos de TI necesitan tener visibilidad sobre las aplicaciones que se utilizan dentro de la organización para administrar y proteger eficazmente los datos de la empresa. Cuando se utilizan aplicaciones ocultas, los equipos de TI pueden no ver las amenazas potenciales, no poder detectar transferencias de datos no autorizadas o no ser conscientes de los riesgos que surgen de las aplicaciones obsoletas o inseguras.
Descubra cómo un SSPM protege su pila SaaS y detecta aplicaciones ocultas
Cómo se descubren las aplicaciones ocultas
Gestión de la postura de seguridad de SaaS (PMS de seguridad) son esenciales para la seguridad de SaaS. No solo monitorean configuraciones, usuarios, dispositivos y otros elementos de la pila SaaS, sino que también son esenciales para detectar todas las identidades no humanas, incluidas las aplicaciones ocultas.
Los SSPM detectan todas las aplicaciones SaaS que se conectan a otra aplicación (SaaS a SaaS), lo que permite a los equipos de seguridad detectar aplicaciones ocultas integradas. También supervisan los inicios de sesión a través de SSO. Cuando los usuarios inician sesión en una nueva aplicación con Google, los SSPM crean un registro de ese inicio de sesión. Los agentes de dispositivos existentes que están conectados a su SSPM son una tercera forma de ver qué aplicaciones nuevas se han incorporado.
Además, los SSPM tienen nuevos métodos de detección de aplicaciones ocultas. Un enfoque innovador integra SSPM con los sistemas de seguridad de correo electrónico existentes. Cuando se introducen nuevas aplicaciones SaaS, normalmente generan una avalancha de correos electrónicos de bienvenida, que incluyen confirmaciones, invitaciones a seminarios web y consejos de incorporación. Algunas soluciones SSPM acceden directamente a todos los correos electrónicos y obtienen amplios permisos, lo que puede resultar intrusivo. Sin embargo, los SSPM más avanzados se integran con los sistemas de seguridad de correo electrónico existentes para recuperar de forma selectiva solo la información necesaria, lo que permite la detección precisa de aplicaciones ocultas sin extralimitarse.
Las herramientas de seguridad de correo electrónico analizan rutinariamente el tráfico de correo electrónico en busca de enlaces maliciosos, intentos de phishing, archivos adjuntos de malware y otras amenazas transmitidas por correo electrónico. Los SSPM pueden aprovechar los permisos ya otorgados a un sistema de seguridad de correo electrónico, lo que permite la detección de aplicaciones ocultas sin necesidad de otorgar permisos confidenciales a otra herramienta de seguridad externa.
Otro método para detectar aplicaciones ocultas implica integrar el SSPM con una herramienta de seguridad de extensión del navegador. Estas herramientas rastrean el comportamiento del usuario en tiempo real y pueden marcarlo.
Los navegadores seguros y las extensiones de navegador registran y envían alertas cuando los empleados interactúan con aplicaciones SaaS desconocidas o sospechosas. Estos datos se comparten con la plataforma SSPM, que los compara con la lista de SaaS autorizada de la organización. Si se detecta una aplicación SaaS oculta, SSPM activa una alerta. Esto permite que el equipo de seguridad incorpore y proteja adecuadamente la aplicación oculta o la desvincule.
A medida que las organizaciones siguen adoptando aplicaciones SaaS para mejorar la eficiencia y la colaboración, el aumento de las aplicaciones ocultas es una preocupación cada vez mayor. Para mitigar estos riesgos, los equipos de seguridad deben tomar medidas proactivas para descubrir y gestionar las aplicaciones ocultas, aprovechando su SSPM con capacidades de descubrimiento de aplicaciones ocultas.
