Los equipos de seguridad están familiarizados con las amenazas que emanan de aplicaciones de terceros que los empleados agregan para mejorar su productividad. Estas aplicaciones están diseñadas inherentemente para brindar funcionalidad a los usuarios al conectarse a una aplicación «central», como Salesforce, Google Workspace o Microsoft 365. Las preocupaciones de seguridad se centran en los alcances de permiso que se otorgan a las aplicaciones de terceros y el potencial de un actor de amenazas para hacerse cargo de las aplicaciones principales y abusar de esos permisos.
No existe una preocupación real de que la aplicación, por sí sola, comience a eliminar archivos o compartir datos. Como tal, las soluciones SaaS Security Posture Management (SSPM) pueden identificar aplicaciones integradas de terceros y presentar sus alcances de permisos. Luego, el equipo de seguridad realiza una evaluación de riesgos, equilibrando los beneficios que ofrece la aplicación con sus alcances de permisos antes de decidir si mantener o desacoplar las aplicaciones.
Sin embargo, los actores de amenazas han cambiado el campo de juego con la introducción de aplicaciones maliciosas. Estas aplicaciones no añaden nada de valor a la aplicación central. Están diseñados para conectarse a una aplicación SaaS y realizar actividades no autorizadas con los datos que contiene. Cuando estas aplicaciones se conectan a la pila principal de SaaS, solicitan ciertos alcances y permisos. Estos permisos permiten que la aplicación pueda leer, actualizar, crear y eliminar contenido.
Las aplicaciones maliciosas pueden ser nuevas en el mundo SaaS, pero es algo que ya hemos visto en los dispositivos móviles. Los actores de amenazas crearían una aplicación de linterna simple, por ejemplo, que podría descargarse a través de la tienda de aplicaciones. Una vez descargadas, estas aplicaciones minimalistas solicitarían conjuntos de permisos absurdos y luego extraerían datos del teléfono.
Descubra cómo puede protegerse contra aplicaciones maliciosas de terceros
Conectarse
Los actores de amenazas están utilizando sofisticados ataques de phishing para conectar aplicaciones maliciosas a aplicaciones SaaS principales. En algunos casos, los empleados son dirigidos a un sitio aparentemente legítimo, donde tienen la oportunidad de conectar una aplicación a su SaaS.
En otros casos, un error tipográfico o un nombre de marca levemente mal escrito podría llevar a un empleado a un sitio de aplicación maliciosa. A partir de ahí, como señala Eliana V en este episodio de Seguridad SaaS al alcance de la mano, Son solo unos pocos clics antes de que la aplicación se conecte a la aplicación SaaS principal con permisos suficientes para llevar a cabo acciones maliciosas.
Otros actores de amenazas pueden publicar aplicaciones maliciosas en tiendas de aplicaciones, como Salesforce AppExchange. Estas aplicaciones pueden ofrecer funcionalidad, pero en lo más profundo de su interior se esconden actos maliciosos esperando ser llevados a cabo.
Al igual que en el mundo móvil, muchas veces las aplicaciones maliciosas realizarán la funcionalidad que prometieron. Sin embargo, están en condiciones de atacar cuando sea necesario.
Peligros de las aplicaciones maliciosas
Las aplicaciones maliciosas plantean una serie de peligros. En un ejemplo extremo, pueden cifrar datos y organizar un ataque de ransomware SaaS.
- Violaciones de datos – Las aplicaciones maliciosas de terceros pueden acceder a registros confidenciales de empleados o clientes almacenados en la aplicación SaaS. Una vez accedida, la aplicación maliciosa puede extraer datos y publicarlos en línea o retenerlos para pedir un rescate.
- Compromiso del sistema – las aplicaciones maliciosas pueden utilizar los permisos que se les otorgan para cambiar la configuración dentro de la aplicación SaaS principal o agregar nuevos usuarios con altos privilegios. Luego, esos usuarios pueden acceder a la aplicación SaaS a voluntad y lanzar ataques futuros, robar datos o interrumpir operaciones.
- Comprometer la confidencialidad – la aplicación maliciosa puede robar datos confidenciales o secretos comerciales. Luego, esos datos pueden publicarse en línea, lo que genera importantes pérdidas financieras, daños a la reputación y la posibilidad de multas gubernamentales onerosas.
- Violaciones de cumplimiento – Al acceder a los datos dentro de la aplicación SaaS, la aplicación maliciosa puede poner a una organización en riesgo de incumplimiento. Esto puede afectar las relaciones con socios, clientes y reguladores, y potencialmente dar lugar a sanciones financieras.
- Problemas de desempeño – Las aplicaciones maliciosas pueden interferir con el rendimiento del sistema al cambiar las configuraciones de acceso de los usuarios, deshabilitar funciones y causar problemas de latencia y desaceleración.
Descubra cómo puede descubrir y proteger sus aplicaciones de terceros
Protegiendo sus aplicaciones principales
Proteger los datos almacenados dentro de la aplicación SaaS debería ser una de las principales prioridades del equipo de seguridad. Para hacerlo, requieren capacidades de detección de amenazas de SaaS que puedan identificar aplicaciones maliciosas antes de que dañen los datos de SaaS.
Esto significa obtener visibilidad de cada aplicación de terceros conectada a sus aplicaciones centrales, sus permisos e información contextual que delinea lo que hace la aplicación. Además, la configuración de seguridad de sus aplicaciones centrales debe configurarse para evitar ataques maliciosos o limitar sus daños. Estas configuraciones incluyen requerir la aprobación del administrador para conectar aplicaciones, limitar el acceso que tienen las aplicaciones de terceros y permitir que solo se integren aplicaciones que provengan de un mercado de aplicaciones aprobado para la aplicación central.
Un SSPM, como Adaptive Shield, con capacidad de detección de aplicaciones de interconectividad, conectado a su pila SaaS completa voluntad detectar una aplicación maliciosa. Con el SSPM correcto, puede asegurarse de que sus configuraciones sean suficientes para evitar que aplicaciones maliciosas se apoderen de sus aplicaciones centrales. También puede activar alertas cuando los conjuntos de permisos de la aplicación son demasiado altos o usar IA para descubrir anomalías u otros identificadores de perfil únicos que indican que una aplicación es maliciosa, lo que permite a su equipo de seguridad mantener seguras sus aplicaciones centrales.
