Les équipes de sécurité sont familiarisées avec les menaces émanant d’applications tierces que les employés ajoutent pour améliorer leur productivité. Ces applications sont intrinsèquement conçues pour fournir des fonctionnalités aux utilisateurs en se connectant à une application « hub », telle que Salesforce, Google Workspace ou Microsoft 365. Les problèmes de sécurité se concentrent sur les étendues d’autorisation accordées aux applications tierces et sur le potentiel de un acteur menaçant pour prendre le contrôle des applications principales et abuser de ces autorisations.
Il n’y a pas vraiment de risque que l’application, à elle seule, commence à supprimer des fichiers ou à partager des données. En tant que telles, les solutions SaaS Security Posture Management (SSPM) sont capables d’identifier les applications tierces intégrées et de présenter leurs étendues d’autorisation. L’équipe de sécurité procède ensuite à une évaluation des risques, en équilibrant les avantages offerts par l’application avec ses étendues d’autorisation avant de décider de conserver ou de dissocier les applications.
Cependant, les acteurs malveillants ont changé les règles du jeu avec l’introduction d’applications malveillantes. Ces applications n’ajoutent rien de valeur à l’application hub. Ils sont conçus pour se connecter à une application SaaS et effectuer des activités non autorisées avec les données qu’elles contiennent. Lorsque ces applications se connectent à la pile SaaS principale, elles demandent certaines étendues et autorisations. Ces autorisations permettent ensuite à l’application de lire, mettre à jour, créer et supprimer du contenu.
Les applications malveillantes sont peut-être nouvelles dans le monde SaaS, mais c’est quelque chose que nous avons déjà vu dans le mobile. Les acteurs malveillants créeraient par exemple une simple application de lampe de poche qui pourrait être téléchargée via l’App Store. Une fois téléchargées, ces applications minimalistes demanderaient des ensembles d’autorisations absurdes, puis exploiteraient les données du téléphone.
Découvrez comment vous protéger contre les applications tierces malveillantes
Se connecter
Les auteurs de menaces utilisent des attaques de phishing sophistiquées pour connecter des applications malveillantes aux applications SaaS principales. Dans certains cas, les employés sont dirigés vers un site d’apparence légitime, où ils ont la possibilité de connecter une application à leur SaaS.
Dans d’autres cas, une faute de frappe ou un nom de marque légèrement mal orthographié pourrait diriger un employé vers le site d’une application malveillante. A partir de là, comme le souligne Eliana V dans cet épisode de La sécurité SaaS à portée de main, il suffit de quelques clics avant que l’application soit connectée à l’application SaaS principale avec suffisamment d’autorisations pour effectuer des actions malveillantes.
D’autres acteurs malveillants sont capables de publier des applications malveillantes sur les magasins d’applications, comme Salesforce AppExchange. Ces applications peuvent offrir des fonctionnalités, mais elles cachent au plus profond d’elles-mêmes des actes malveillants qui attendent d’être commis.
Comme dans le monde mobile, les applications malveillantes exécutent souvent les fonctionnalités promises. Cependant, ils sont en mesure de faire grève si nécessaire.
Dangers des applications malveillantes
Les applications malveillantes présentent un certain nombre de dangers. Dans un exemple extrême, ils peuvent chiffrer les données et lancer une attaque de ransomware SaaS.
- Violations de données – des applications tierces malveillantes peuvent accéder aux dossiers sensibles des employés ou des clients stockés sur l’application SaaS. Une fois accessible, l’application malveillante peut exfiltrer les données et les publier en ligne ou les conserver contre une rançon.
- Compromission du système – les applications malveillantes peuvent utiliser les autorisations qui leur sont accordées pour modifier les paramètres de l’application SaaS principale ou ajouter de nouveaux utilisateurs disposant de privilèges élevés. Ces utilisateurs peuvent ensuite accéder à volonté à l’application SaaS et lancer de futures attaques, voler des données ou perturber les opérations.
- Compromettre la confidentialité – l’application malveillante peut voler des données confidentielles ou des secrets commerciaux. Ces données peuvent ensuite être publiées en ligne, entraînant des pertes financières importantes, une atteinte à la réputation et de lourdes amendes gouvernementales.
- Violations de conformité – en accédant aux données de l’application SaaS, l’application malveillante peut exposer une organisation à un risque de non-conformité. Cela peut avoir un impact sur les relations avec les partenaires, les clients et les régulateurs, et potentiellement entraîner des sanctions financières.
- Les problèmes de performance – les applications malveillantes peuvent interférer avec les performances du système en modifiant les configurations d’accès des utilisateurs, en désactivant des fonctionnalités et en provoquant des problèmes de latence et de ralentissement.
Découvrez comment découvrir et sécuriser vos applications tierces
Protéger vos applications principales
La protection des données stockées dans l’application SaaS devrait être l’une des principales priorités de l’équipe de sécurité. Pour ce faire, ils ont besoin de capacités de détection des menaces SaaS capables d’identifier les applications malveillantes avant qu’elles n’endommagent les données SaaS.
Cela signifie gagner en visibilité sur chaque application tierce connectée à vos applications hub, sur leurs autorisations et sur les informations contextuelles décrivant ce que fait l’application. De plus, les paramètres de sécurité de vos applications hub doivent être configurés pour empêcher les attaques malveillantes ou limiter leurs dommages. Ces paramètres incluent l’exigence de l’approbation de l’administrateur pour connecter des applications, la limitation de l’accès des applications tierces et l’autorisation d’intégrer uniquement des applications provenant d’un marché d’applications approuvé pour l’application hub.
Un SSPM, comme Adaptive Shield, avec la capacité de détection d’applications d’interconnectivité, connecté à votre pile SaaS complète volonté détecter une application malveillante. Avec le bon SSPM, vous pouvez vous assurer que vos configurations sont suffisantes pour empêcher les applications malveillantes de prendre le contrôle de vos applications hub. Il peut également déclencher des alertes lorsque les ensembles d’autorisations d’application sont trop élevés ou utiliser l’IA pour découvrir des anomalies ou d’autres identifiants de profil uniques indiquant qu’une application est malveillante, permettant ainsi à votre équipe de sécurité de garantir la sécurité de vos applications hub.