Vuosi 2025 ei ole ollut hyvä Salesforcen asiakkaille. Epäilyttävä rikollisryhmä toteutti useita hyökkäyksiä asiakkaitaan vastaan, ja hyökkäykset vaikuttivat lopulta organisaatioihin, jotka vaihtelivat teknologiajättiläisistä, kuten Google ja Cisco, luksusbrändeihin, kuten Chaneliin ja Louis Vuittoniin. Hyökkääjät, joita kutsutaan joko Scattered LAPSUS$ Huntersiksi, ShinyHuntersiksi tai niiden muunnelmiksi, ovat sotkeneet jopa kriittisen infrastruktuurin tarjoajia, kuten Qantas Airwaysia, FedExiä ja TransUnionia. Ryhmä, joka näyttää olevan koalitio, johon kuuluu jäseniä useista muista rikollisjengeistä, on tiettävästi vaarantanut yli 760 organisaatiota ja noin 1.5 miljardia tietuetta.
Mutta Salesforcen mukaan tämä ei ole sen itsensä aiheuttama ongelma. Miten hyökkäyksestä tuli vuoden 2025 suurin tietovarkauksien lähde ilman, että toimittaja myönsi vastuutaan?
On helppo ymmärtää, miksi Salesforce kieltäytyi vastaamasta tähän ongelmaan. Hyökkääjät eivät näytä hyödyntäneen mitään haavoittuvuuksia toimittajan verkkoalustalla.
Sen sijaan hyökkääjät pääsivät Salesforce-järjestelmiin asiakkaiden tietoturva-aukkojen, kuten riittämättömän OAuth-hallinnan, puuttuvan MFA-valvonnan, heikon integraatioiden tarkistuksen ja sosiaalisen manipuloinnin alttiuden, kautta.
Tyypillinen tapa päästä käsiksi dataan oli luoda väärennetty versio Salesforce Data Loader -sovelluksesta, jota asiakkaat käyttävät Salesforce-datansa lataamiseen.
Scattered LAPSUS$ -tiimi käytti tätä väärennettyä ohjelmistoa lähettääkseen laitekoodin Salesforcen palvelimille. Salesforce-käyttäjän oli tarkoitus syöttää koodi. Sitten yksi jengin jäsenistä soitti uhrille ja teeskenteli olevansa yrityksensä tukipalvelusta. He pyysivät uhria kirjautumaan Salesforceen ja syöttämään laitekoodin, tietämättään vahvistaen väärennetyn sovelluksen (josta he eivät tiedä mitään) aidoksi. Tämän jälkeen rikolliset saivat pääsyn uhriyrityksen arkaluontoisiin Salesforce-tietoihin.
Nämä asiakastietoturvan puutteet eivät ole poikkeamia. Gartner ennustaa että 99 % pilvipalveluiden tietoturvaongelmista vuoteen 2025 mennessä on asiakkaan syytä. AppOmnin tuore tutkimus myös osoittaa että 70 % SaaS-tapauksista johtuu sekä asiakkaan hallitsemista käyttöoikeusongelmista että virheellisistä määritysvirheistä.
Jaetun vastuun mallin ymmärtäminen
Huolena on, että toimittajaohjelmistojen asiakkaat saattavat saada väärän turvallisuuden tunteen luottamalla pelkästään toimittajan alustaan, varsinkin kun ohjelmisto on isännöity pilvessä. Todellisuudessa toimittajan alustan turvallisuus ei kuitenkaan automaattisesti tarkoita tietoturvaa.
Pilvipalvelualalla on tälle jopa nimi: jaettu vastuu. Se on yhteisymmärrys siitä, missä palveluntarjoajan/ohjelmistoisännän vastuu päättyy ja asiakkaan vastuu alkaa. Monet yritykset eivät näytä ymmärtävän tätä; 53 % AppOmni-vastaajista, jotka kuvailevat itseään luottavaisiksi tietoturvaan, tekevät niin toimittajiensa vahvojen valvontamekanismien perusteella. Kuten Salesforce-hyökkäykset osoittavat, jopa ne, jotka ymmärtävät sen, eivät usein käsittele tietoturvaa riittävän hyvin omalla puolellaan.
Salesforce- ja SaaS-alustojen osalta toimittaja kattaa tyypillisesti turvallisen alustainfrastruktuurin, ydinsovelluskoodin, saatavuustakuut ja sisäänrakennetut suojausominaisuudet, kuten MFA-ominaisuudet ja salauksen. Tämä jättää asiakkaat vastuulle toimenpiteistä, kuten käyttäjätilien hallinnasta, MFA:n valvonnasta ja OAuth-tokenien hallinnasta, pienimpien oikeuksien käyttöönotosta, kolmansien osapuolten integraatioiden käsittelystä ja suojausasetusten asianmukaisesta määrittämisestä.
Käyttäjien vastuulla on myös kouluttaa henkilöstöä tietoturvauhkien varalta. Ottaen huomioon näihin hyökkäyksiin liittyvän sosiaalisen manipuloinnin, tämä näyttää olleen heikko kohta. Vaikka hyökkääjät onnistuisivatkin huijaamaan käyttäjiä, käyttäjien toimintaa tulisi seurata ja poikkeavuuksia havaita.
Kuinka vaatimustenmukaisuuskehykset voivat auttaa estämään näitä rikkomuksia
Nämä ovat heikkouksia, joihin ISO 27001:2022, SOC 2 ja NIS 2 käsittelevät nimenomaisesti pääsynvalvontaa, toimittajien valvontaa ja konfiguraation hallintaa koskevien vaatimusten kautta. Yritysten tulisi tarkastella näitä toimintastandardeja parantaakseen asemaansa ja välttääkseen joutumisen jälleen yhdeksi hylättyjen tuotemerkkien listalla.
Esimerkiksi pääsynhallintasarja A.5.15 edellyttää dokumentoitujen käyttöoikeuskäytäntöjen laatimista toteuttamalla tiedonhankinnan ja käytön tarveperiaatteita. A.5.16 käsittelee identiteetin hallintaa, kun taas A.5.17 käsittelee todennustietojen hallintaa, joka edellyttää turvallista tallennusta ja siirtoa, salausta sekä säilytystilassa että siirron aikana sekä säännöllistä kierrätystä.
A.5.18 kattaa käyttöoikeudet. Se edellyttää muodollisia prosesseja käyttöoikeuksien myöntämiseksi, muuttamiseksi ja peruuttamiseksi, joihin tarvitaan omaisuuden omistajien valtuutus ja säännöllisiä tarkastuksia vähintään kerran vuodessa. Vaatimustenmukaisuudesta vastaavat henkilöt voisivat myös tarkastella etuoikeutettuja käyttöoikeuksia koskevaa A.8.2 kohtaa.
Nämä kontrollit edellyttävät keskitettyjä rekistereitä, säännöllisiä tarkastuksia ja käyttöoikeuksien oikeellisuuden varmentamista ennen käyttöoikeuksien myöntämistä. Juuri nämä toimenpiteet olisivat estäneet sosiaalisen manipuloinnin uhreja valtuuttamasta haitallisia sovelluksia.
Tämä ei ole ensimmäinen kerta, kun yritykset kärsivät tietomurroista omien kokoonpanovalintojensa (tai niiden tietämättömyyden) vuoksi. Mieleen tulee Snowflaken asiakkaisiin vuonna 2024 vaikuttaneiden tietomurtojen sarja, joka johtui aiemminkin varastetuista tunnistetiedoista ja monityhjennyksen (MFA) puutteesta (vaikka Snowflake tarjosi MFA:ta). Koska yritykset luottavat yhä enemmän SaaS-palveluihin ja sijoittavat arkaluontoisimpia tietojaan näihin infrastruktuureihin, niiden vastuulla on varmistaa, että ne suojaavat omia digitaalisia porttejaan näihin järjestelmiin asianmukaisesti.
