צרו קשר תנו פידבק
מאמרים

האתגר הכפול: ניהול ואבטחת Salesforce בעידן איומי הסייבר

24.12.2024
4 min
אייל נברו, Varonis, Sales Manager
האתגר הכפול: ניהול ואבטחת Salesforce בעידן איומי הסייבר

ארגונים רבים במגזר הפרטי והציבורי נדרשים להתמודד עם אתגרים רבים כגון גדילה מתמדת של מאגרי המידע והצורך לנהל אותם, הדרישה לשיפור וייעול מתמיד של  הקשר עם הלקוחות,  ביצוע אוטומציות של תהליכים, ניתוח נתונים ועוד. התלות הגוברת בנתונים דיגיטליים, והצורך בניהול שלהם, גורם לארגונים לרכוש ולהטמיע מערכות CRM כמו למשל Salesforce, שכבר מזמן הפכו למרכז העצבים של הארגון. אולם, ככל שהתלות במערכות אלה גדלה והמידע שנאגר במערכת רגיש יותר, כך גם גדלה החשיפה לאיומי סייבר. התקפות הסייבר המתוחכמות והתכופות הופכות את אבטחת המידע ב-Salesforce לאחד מהאתגרים המשמעותיים ביותר שמנהלי אבטחת המידע לא מודעים אליהם.

מנהלי מערכת הSalesforce או בשמם האדמיניסטרטורים, נדרשים למקצועיות גבוהה בהכרה טובה של יכולות המערכת וצורך מתמיד לעקוב אחר השינויים והעדכונים שבין גרסאות הSalesforce. את ההנחיות לניהול המערכת מקבלים האדמיניסטרטורים מהצד העסקי, אשר דחף וקידם את רכש מערכת הCRM, כאשר בראש סדר העדיפויות לוודא שמשתמשי המערכת יוכלו לבצע את עבודתם באופן רציף, שוטף ובמינימום מגבלות או סיבוכים. כמובן שיש גם את נושא אבטחת המידע, אבל האדמיניסטרטורים במקצועם הם לא אנשי security ומכאן גם הנושא פחות תופס את תשומת ליבם.

מעבר לעובדה שמערכת הSalesforce מהווה מאגר של מידע רגיש של הארגון ושל צרכני שירות מהארגונים, שעליו עלינו להגן, המערכת עצמה מהווה מאין "קופסא שחורה" עבור מנהל אבטחת המידע שלו אין הבנה או היכרות רבה עם השפה הסיילספורסית, מבנה מערכת ההרשאות, מהן ההרשאות המסוכנות, מה החשיפות הקיימות ועוד. בהעדר ידע על הסיכון, לא יכולים אנשי הsecurity ומנהל אבטחת המידע לתת הנחיות והוראות הגנה על המידע הרגיש.

להלן רשימה קצרה של חלק מהסיכונים הקיימים בSalesforce שחשוב שמנהלי אבטחת המידע יכירו והמלצות לביצוע עבור מנהלי אבטחת המידע:

מערכת הרשאות מורכבת – מכילה מאות סוגי הרשאות המאפשרות רמות גישה שונות למשתמשים השונים, לכל האובייקטים והשדות המערכת, בהתאם לתפקידם בארגון ולצרכיהם. ההרשאות מורכבות מפרופילים (Profiles), סט הרשאות (Permission Set) וקבוצת הרשאה (Permission Group). מאוד קשה לחקור איזו הרשאה ניתנה למי ודרך איפה יורשים אותה, זוהי פעולה שלוקחת בין כמה שעות לימים, תלוי ביכולות האדמיניסטרטור.

המלצות לביצוע – נסו להבין מתי הוקמה סביבת הSalesforce ועל ידי מי? בררו כמה אדמיניסטרטורים קיימים בסביבה, האם כולם נדרשים? האם יש משתמשים אדמיניסטרטורים שמתחברים שלא דרך הדומיין הארגוני? אילו סוגי הרשאות קיימים? התעניינו מהי מדיניות ההרשאות של צוות הSalesforce?

הרשאות מסוכנות – במערכת הSalesforce קיימות מספר הרשאות שנחשבות "בעייתיות" בעיניים של איש Security, לדוגמא:

  • הרשאה ליצירת לינק גישה לאובייקט או מסמך לכל אחד באינטרנט – רבים ממנהלי אבטחת המידע בכלל לא מכירים שקיימת אפשרות להוציא מידע מהסיילספורס אל מחו לארגון על ידי לינק Public.
  • הרשאה לייצור וייצוא דו"חות – נדרש להגביל את האפשרות הזו רק לגורמים הרלוונטיים ( אם בכלל) ולא לאפשר את ההרשאה לכלל הארגון, מחשש לדלף מידע רגיש.

המלצות לביצוע – אף על פי שזו משימה מאוד מורכבת, דרשו מהאדמיניסטרטורים לוודא למי קיימות ההרשאות הללו ובחנו שוב האם באמת נדרשת.

עבודה על יותר מסביבת Salesforce אחת – בארגונים רבים ישנה יותר מסביבת Salesforce אחת, לפעמים סביבת ניסוי, לפעמים מספר סביבות אחת לכל שירות/חברה והאדמיניסטרטורים משתמשים בסביבות השונות כדי לבצע ניסויים ובחינות לפני ביצוע פעולות בסביבת ייצור. ברבות מהחברות, מידע רגיש מוצא דרך להופיע גם בסביבת ניסוי/טסט, סביבה שהפיקוח עליה הוא הרבה פחות אדוק מבחינת Security.

המלצות לביצוע – הנחו למחוק כל מידע רגיש אם נמצא כזה, בסביבות שהן לא היצור / production. וודאו מה עולה לסביבות הטסט ולמי יש גישה אליהן?

מידע רגיש – אין למנהלי אבטחת המידע או מנהלי הSalesforce דרך לדעת ולמצוא היכן נמצא המידע הרגיש, האם בקובץ שמצורף לקריאת שירות? האם באחד השדות שבתוך נתוני הלקוח? אם לא ניתן לדעת איפה המידע הרגיש, לא ניתן להגן עליו מפני דלף, שיתוף עודף מחות לארגון ובתוכו, ועוד.

המלצות לביצוע – העזרו באדמיניסטרטורים על מנת להבין איזה מידע נשמר בSalesforce הארגוני שלכם, האם מידע רגיש חשוף לכלל העובדים? האם ניתן לשתף מידע על ידי יצירת לינק? אם תצליחו למפות את מיקום המידע הרגיש, תוכלו להנחות כיצד לאבטח אותו. 

מיסקונפיגורציות / misconfigurations – ה-בעיה של רוב אפליקציות הSaaS. הגדרה לא נכונה של מקים המערכת או שינוי שבוצע בעקבות שדרוג או עדכון גרסה יכול להביא לחשיפה לא מתוכננת.

המלצות לביצוע – לדרוש ממנהל המערכת להכיר את הBest practices, להסביר את החשיבות של מעקב אחר פרסומים והמלצות בנושאי קינפוג נכון של המערכת.  

התקנת אפליקציות צד 3 ללא צורך באישור אבטחת המידע – אדמיניסטרטורים רבים מורידים אפליקציות צד 3 לתוך מערכת הSalesforce במטרה לייעל את העבודה ולחסוף הרבה זמן בביצוע פעולות או ניתוח נתונים. ישנה הרשאה מסוכנת (מצטרפת לאלה שברשימה למעלה) המאפשרת התקנת אפליקציות. אפליקציה לא מקורית, כזו המכילה חולשה מובנת או נוצרה למטרות חדירה לארגון עלולה לפגיעה באמינות המידע, דלף או גניבה של מידע.

המלצות לביצוע – נדרש להנחות את מנהלי הSalesforce להגביל למינימום הנדרש את המשתמשים שיכולים להתקין אפליקציות ובמידע ועולה צורך, שיעברו דרך צוות Security לאישור ובדיקה של אמינות האפליקציות.

אתרי Salesforce – מה שבעבר נקרא community site, מאפשר שיפור חווית לקוח, ניהול תקשורת, שיתוף של מסמכים, הרשמה לכנסים, ועוד. גם אתרי הSalesforce מכילים מיסקונפיגורציות מובנות במיוחד בנושא ההרשאות שניתנות למשתמשי Guest, וכך, בפועל במקום לקבל גישה למידע ספציפי, מקבלים גישה עודפת למידע שלא נדרו לו.

המלצות לביצוע – חשוב להכיר האם בארגון שלכם יש אתרי Salesforce, מהם הסיכונים וההרשאות שניתנות למשתמשי Guest שצורכים מידע מאתרי הSalesforce. כמו כן, מומלץ לבצע סימולציות ובחינות של הנושא על ידי גורמי מקצוע.  

לסיכום: ישנם עוד סיכונים נוספים במערכת הSalesforce ומנהלי אבטחת מידע נדרשים להכיר ולשפר את ההיכרות עם אותן החשיפות. הדרך הטובה ביותר להכיר מה מצב הסביבה, הוא על ידי ביצוע סקר סיכונים ובכך לקבל תמונה של מה הבעיות עמן אנו מתמודדים ולהבין מה הדרך לצמצום ושיפור ההגנה על הסביבה.

חברת Varonis, מפתחת ומשווקת פתרונות Data Security Posture Management (DSPM) לשרתי Onprem, תשתיות ענן, אפליקציות SaaS, ועוד. ל-Varonis אפשרות לבצע סקר סיכונים ללא עלות לסביבות Salesforce ולהציג מפת סיכונים וחשיפות, כולל הסבר מקיף על מה נדרש על מנת לתקן ולשפר. בנוסף, מערכת Varonis זמינה לרכישה דרך ברובד 5

תתחילו להגדיל את העסק שלכם יחד איתנו
מוזמנים לפנות אלינו בכל שאלה, בקשה ועניין, אנו נחזור אליכם בהקדם