שנת 2025 לא הייתה שנה טובה עבור לקוחות Salesforce. קבוצת פשע מפוקפקת ביצעה סדרה של מתקפות על לקוחותיה, שבסופו של דבר השפיעו על ארגונים החל מענקיות טכנולוגיה כמו גוגל וסיסקו ועד למותגי יוקרה כמו שאנל ולואי ויטון. אפילו ספקי תשתית קריטיים כמו קוואנטס איירווייז, פדקס וטרנס יוניון ספגו תקיפה מצד התוקפים, המכונים Scattered LAPSUS$ Hunters, ShinyHunters, או וריאציות שלהן. הקבוצה, שנראית כקואליציה של חברים מכנופיות פשע שונות אחרות, פרצה, על פי הדיווחים, ליותר מ-760 ארגונים וכ-1.5 מיליארד רשומות.
אבל סיילספורס אומרת שזו לא בעיה שהיא יצרה בעצמה. כיצד הפכה מתקפה למקור הגדול ביותר של גניבת נתונים בשנת 2025, מבלי שהספק הודה באחריות כלשהי?
קל להבין מדוע סיילספורס סירבה לשאת באחריות במקרה זה. נראה שהתוקפים לא ניצלו פגיעויות כלשהן בפלטפורמה המקוונת של הספק.
במקום זאת, התוקפים חדרו למערכות Salesforce באמצעות פגמים באבטחת הלקוחות, כגון ניהול OAuth לקוי, אכיפה חסרה של MFA, בדיקת אינטגרציה לקויה ורגישות להנדסה חברתית.
שיטה אופיינית לקבלת גישה הייתה יצירת גרסה מזויפת של אפליקציית Salesforce Data Loader, בה משתמשים לקוחות כדי להוריד את נתוני Salesforce שלהם.
צוות Scattered LAPSUS$ השתמש בתוכנה המזויפת הזו כדי לשלוח קוד מכשיר לשרתי Salesforce, שאמור להיות מוזן על ידי משתמש Salesforce. לאחר מכן, אחד מחברי הכנופיה היה מתקשר לקורבן ומתחזה לעובד ממוקד התמיכה של החברה שלהם. הם היו מבקשים מהקורבן להתחבר ל-Salesforce ולהזין את קוד המכשיר, ובכך מאשרים מבלי משים שהאפליקציה המזויפת (שהם אינם יודעים עליה דבר) כלגיטימית. לאחר מכן, הפושעים מקבלים גישה לנתוני Salesforce הרגישים של חברת הקורבן.
כשלים אלה באבטחת הלקוחות אינם אנומליות. גרטנר צופה ש-99% מכשלים באבטחת ענן עד 2025 יהיו באשמת הלקוח. מחקר שנערך לאחרונה על ידי AppOmni גם כן מופעים ש-70% מאירועי SaaS נובעים משילוב של בעיות הרשאה הנשלטות על ידי הלקוח ותצורות שגויות.
הבנת מודל האחריות המשותפת
החשש כאן הוא שלקוחות של תוכנות של ספקים עלולים להיתפס בתחושת ביטחון כוזבת על ידי הסתמכות על פלטפורמת הספק בלבד, במיוחד כאשר תוכנה זו מאוחסנת בענן. אבל במציאות, אבטחת פלטפורמת הספק אינה שווה ערך באופן אוטומטי לאבטחת נתונים.
אפילו לתעשיית הענן יש שם לכך: אחריות משותפת. זוהי הבנה הדדית של היכן מסתיימת האחריות של ספק השירות/מארח התוכנה, ומתחילה האחריות של הלקוח. נראה כי ארגונים רבים אינם מבינים זאת; 53% מהנשאלים ב-AppOmni המתארים את עצמם כבטוחים באבטחה עושים זאת על סמך חוזק הבקרות של הספקים שלהם. כפי שמעידים התקפות Salesforce, אפילו אלו שכן מבינים זאת לעתים קרובות אינם מטפלים באבטחה מספיק טוב בצד שלהם של הקו הזה.
עבור פלטפורמות Salesforce ו-SaaS, הספק בדרך כלל מכסה תשתית פלטפורמה מאובטחת, קוד אפליקציה מרכזי, ערבויות זמינות ותכונות אבטחה מובנות כמו יכולות MFA והצפנה. זה משאיר את הלקוחות אחראים על אמצעים כגון ניהול חשבונות משתמשים, אכיפת MFA וניהול אסימוני OAuth, יישום גישה עם הרשאות מוגבלות, טיפול באינטגרציות של צד שלישי וקביעת תצורה מתאימה של הגדרות אבטחה.
בנוסף, זו אחריות המשתמשים להכשיר את הצוות בנוגע לאיומי אבטחה. בהתחשב בהנדסה החברתית המעורבת במתקפות אלו, נראה שזו הייתה נקודת תורפה. עם זאת, גם אם התוקפים אכן יצליחו להטעות את המשתמשים, צריך להיות אלמנט של ניטור פעילות המשתמשים וגילוי אנומליות.
כיצד מסגרות תאימות יכולות לסייע במניעת הפרות אלו
אלו הן נקודות תורפה ש-ISO 27001:2022, SOC 2 ו-NIS 2 מטפלים בהן במפורש באמצעות בקרת גישה, פיקוח על ספקים ודרישות ניהול תצורה. חברות צריכות לבחון את תקני התפעול הללו כדי לשפר את עמדתן ולהימנע מלהפוך לעוד אחת ברשימת המותגים הנחשבים למותגים נידונים.
לדוגמה, סדרת בקרת הגישה A.5.15 דורש קביעת מדיניות בקרת גישה מתועדת על ידי יישום עקרונות "צורך לדעת" ו"צורך להשתמש". A.5.16 מטפל בניהול זהויות, בעוד ש- A.5.17 בוחן את ניהול מידע האימות, הדורש אחסון והעברה מאובטחים, הצפנה במנוחה ובמעבר, ורוטציה קבועה.
A.5.18 מכסה זכויות גישה. זה דורש תהליכים פורמליים להקצאה, שינוי וביטול של זכויות גישה, באישור מבעלי הנכסים, וביקורות סדירות לפחות פעם בשנה. מנהלי תאימות יכולים גם לעיין בסעיף A.8.2, המסדיר זכויות גישה מועדפות.
בקרות אלו דורשות רישומים מרכזיים, ביקורות סדירות ואימות לגיטימיות לפני מתן גישה. אלו בדיוק האמצעים שהיו מונעים מקורבנות הנדסה חברתית לאשר אפליקציות זדוניות.
זו לא הפעם הראשונה שאנו רואים חברות סובלות מפריצות עקב בחירות התצורה שלהן (או בורות לגבי בחירות כאלה). סדרת הפריצות שמשפיעות על לקוחות Snowflake בשנת 2024 עולה בראש, נובעות מגינובי אישורים וחוסר ב-MFA (למרות ש-Snowflake הציעה MFA). ככל שחברות מסתמכות יותר ויותר על SaaS ומכניסות את הנתונים הרגישים ביותר שלהן לתשתיות אלו, האחריות מוטלת עליהן להבטיח שהן מגנים כראוי על השערים הדיגיטליים שלהן למערכות אלו.
