Pembaruan Rilis Salesforce — Kisah Peringatan untuk Tim Keamanan

Pembaruan Rilis Salesforce — Kisah Peringatan untuk Tim Keamanan

Di permukaan, Salesforce tampak seperti platform Software-as-a-Service (SaaS) klasik. Seseorang bahkan mungkin berpendapat bahwa Salesforce menemukan pasar SaaS. Namun, semakin banyak orang bekerja dengan penawaran penuh Salesforce, semakin mereka menyadari bahwa itu melampaui kemampuan platform SaaS tradisional.

Misalnya, hanya sedikit orang yang berbicara tentang mengelola aspek keamanan Pembaruan Rilis Tenaga Penjualan. Dengan memahami apa itu Pembaruan Rilis, mengapa mereka menimbulkan risiko keamanan, dan bagaimana tim keamanan dapat mengurangi risiko, pelanggan Salesforce dapat melindungi informasi sensitif dengan lebih baik.

Bacaan Lainnya

Cara memastikan konfigurasi yang tepat untuk keamanan Salesforce Anda

Apa itu Pembaruan Rilis Salesforce?

Karena Salesforce tidak secara otomatis memperbarui platformnya, ia tidak mengikuti model SaaS tradisional. Misalnya, sebagian besar platform SaaS memiliki dua jenis rilis, keamanan, dan peningkatan produk. Pembaruan keamanan yang mendesak dirilis segera setelah kerentanan keamanan diketahui, dan peningkatan produk dirilis pada tanggal tetap, seperti triwulanan atau bulanan. Sebagai bagian dari model SaaS, vendor secara otomatis memperbarui platform.

Kebijakan pembaruan dan penambalan menguntungkan pelanggan dan penyedia SaaS. Pelanggan tidak perlu khawatir untuk memperbarui sistem sehingga mereka dapat fokus pada aspek inti bisnis mereka. Sementara itu, penyedia SaaS tidak perlu mengembangkan beberapa versi pembaruan atau khawatir tentang versi terbaru yang diinstal oleh pelanggan.

Lebih baik lagi, penyedia SaaS tidak perlu khawatir pelanggan akan mengalami pelanggaran keamanan karena secara otomatis menginstal patch keamanan untuk semua orang. Itu hanya membuat hidup semua orang lebih mudah dan merupakan salah satu alasan mengapa platform SaaS sangat populer.

Pembaruan Tenaga Penjualan Bekerja Secara Berbeda

Tenaga penjualan bekerja secara berbeda, sangat berbeda. Mereka menggunakan sistem hibrid yang dalam beberapa hal serupa dengan perangkat lunak tradisional yang mengharuskan pelanggan menerapkan pembaruan hingga EOL dan platform SaaS modern. Salesforce menawarkan pembaruan layanan musiman reguler dan pembaruan keamanan sesuai kebutuhan. Namun, tidak ada pembaruan yang diterapkan secara otomatis.

Salesforce memberi admin “masa tenggang” di mana mereka dapat memilih untuk memperbarui platform. Pada akhir periode ini, Salesforce mendorong pembaruan secara otomatis.

Misalnya, Salesforce memperkenalkan Terapkan Cakupan OAuth untuk Aplikasi Lightning pembaruan keamanan di Musim Panas 2021. Penyedia merekomendasikan agar organisasi menerapkannya sebelum September 2021. Namun, Salesforce tidak akan menerapkannya hingga Musim Dingin 2022. Ini adalah pembaruan keamanan yang penting, tetapi pelanggan tidak perlu segera menginstalnya.

Mengapa Pembaruan Tenaga Penjualan Bekerja Secara Berbeda

Meskipun Salesforce mendorong admin untuk menjalankan daftar periksa dan menerapkan pembaruan, Salesforce menyadari bahwa pelanggan mengandalkan fleksibilitas platform dan bahwa perubahan dapat memengaruhi penyesuaian, seperti pengembangan dan integrasi khusus.

Karena pembaruan apa pun dapat menjadi bencana besar bagi organisasi, Salesforce memberi waktu kepada pelanggan untuk meninjau konten pembaruan dan menyiapkan Salesforce organisasi sebelum mengaktifkan perubahan.

Apa pentingnya Pembaruan Keamanan Salesforce?

Pembaruan Keamanan Salesforce, seperti namanya, untuk tujuan keamanan. Mereka diterbitkan untuk memperbaiki masalah keamanan, mencegah serangan, dan memperkuat postur keamanan penyewa Salesforce. Oleh karena itu, pelanggan harus menginstalnya sesegera mungkin.

Setelah Salesforce memublikasikan pembaruan, kerentanan yang ditambalnya menjadi pengetahuan umum. Pengetahuan ini berarti kelemahannya sama dengan kerentanan atau keterpaparan umum (CVE) tetapi tanpa nomor yang ditetapkan. Aktor jahat dapat dengan mudah mendapatkan akses ke semua informasi mengenai paparan dan membuat vektor serangan yang memanfaatkan kerentanan yang dipublikasikan. Ini menempatkan semua organisasi yang belum menerapkan pembaruan keamanan rentan terhadap serangan.

Karena sebagian besar serangan didasarkan pada kerentanan 1 hari yang diketahui, dipublikasikan, menunggu untuk menerapkan pembaruan menciptakan risiko pelanggaran data. Semua aktor jahat menggunakan serangan 1 hari, mulai dari skrip anak-anak hingga peretas ransomware profesional, karena mempersenjatai mereka jauh lebih mudah daripada mencari kerentanan yang tidak diketahui. Kebanyakan aktor jahat mencari buah-buahan yang menggantung rendah – organisasi tanpa perangkat lunak yang diperbarui atau yang memiliki keamanan yang lemah.

Inilah sebabnya mengapa profesional keamanan menyebut periode dari kerentanan hingga organisasi yang memberlakukan pembaruan keamanan sebagai jendela emas untuk serangan. Oleh karena itu, sangat penting untuk memperbarui semua perangkat lunak ke versi stabil terbaru dan menginstal pembaruan keamanan sesegera mungkin.

Kasus kontrol akses untuk pengguna tamu

Ini bukan hanya cerita hipotetis atau menarik. Pada bulan Oktober 2020, peneliti keamanan Aaron Costello menemukan bahwa pengaturan izin kontrol akses di Salesforce mungkin memungkinkan pengguna yang tidak diautentikasi (“pengguna tamu”) untuk mengakses lebih banyak informasi daripada yang dimaksudkan dengan menggunakan kelemahan kumulatif di Salesforce, termasuk

  • instans Salesforce lama dan tidak aman,
  • konfigurasi default bermasalah,
  • keterlibatan dan kemampuan lanjutan dari metode “@AuraEnabled”.

Salesforce menyarankan langkah-langkah keamanan untuk pengguna tamu, objek, dan API, sementara juga mendorong Pembaruan Keamanan di rilis Musim Dingin ’21 dan Musim Semi ’21 berikut.

Di antara Pembaruan Keamanan adalah Hapus Lihat Semua Izin Pengguna dari Profil Pengguna Tamu dan Kurangi Izin Objek untuk Pengguna Tamu.

Kedua saran tersebut secara langsung mengatasi akar penyebab ancaman keamanan. Masalahnya, ini terlalu sedikit terlambat karena aktor jahat telah mengetahui kerentanan tersebut sejak Oktober 2020. Pada saat Salesforce mendorong pembaruan ke penyewa yang berbeda, admin perlu mengaktifkan pembaruan secara manual. Ini berarti bahwa pelanggan mungkin berisiko selama 6 – 9 bulan sebelum memperbaiki kerentanan itu sendiri.

Tanggung jawab tim keamanan untuk Salesforce Security

Sementara Salesforce memberikan nilai bagi organisasi, pendekatannya untuk mengelola pembaruan keamanan menjadikannya jenis SaaS yang unik. Selain itu, ini adalah sistem yang sangat kompleks dengan ribuan konfigurasi. Meskipun banyak yang tampaknya tidak penting bagi keamanan, mereka sebenarnya dapat memengaruhi postur penyewa Salesforce.

Oleh karena itu, CISO atau tim keamanan perlu dilibatkan lebih dari biasanya saat mengelola Salesforce. Mereka perlu:

  • pastikan konfigurasi dilakukan dengan mempertimbangkan keamanan,
  • memantau perubahan,
  • pastikan pembaruan tidak memperburuk postur keamanan organisasi,
  • bersikeras bahwa Pembaruan Keamanan diinstal sesegera mungkin
  • pastikan kebersihan keamanan tenant Salesforce baik.

Untungnya, kategori SManajemen Postur Keamanan aaS (SSPM) alat mengatasi tugas ini, dan Adaptive Shield adalah solusi terdepan di pasar dalam kategori ini untuk mengaktifkan postur keamanan SaaS yang optimal secara otomatis.

Bagaimana Adaptive Shield dapat membantu mengamankan Salesforce?

Adaptive Shield memahami kerumitan mengamankan Salesforce, di antara banyak platform SaaS lainnya, karena Adaptive Shield memberi tim keamanan perusahaan kendali penuh atas aplikasi SaaS organisasi mereka dengan visibilitas, wawasan terperinci, dan perbaikan di semua aplikasi SaaS.

Platform ini membantu admin Salesforce, CISO, dan tim keamanan melacak dan memantau pengaturan dan pembaruan konfigurasi dengan pemeriksaan keamanan yang memastikan bahwa penyewa Salesforce dikonfigurasi dan diamankan dengan benar. Ini termasuk izin pemantauan, metode “@AuraEnabled”, keamanan API, dan otentikasi.

Adaptive Shield juga memberikan informasi mitigasi berbasis prioritas yang jelas sehingga admin dan tim keamanan dapat dengan cepat mengamankan penyewa Salesforce untuk mempertahankan postur keamanan yang kuat. Platform Adaptive Shield membuat tugas mengamankan penyewa Salesforce dari yang rumit, rumit, dan memakan waktu — menjadi pengalaman yang mudah, jelas, cepat, dan dapat dikelola. Ini mencegah kerentanan seperti contoh di atas dengan memutus rantai kesalahan konfigurasi dan pembaruan yang tidak diterapkan.

Hubungi kami untuk memastikan Salesforce Anda, atau aplikasi SaaS lainnya, aman hari ini.

Catatan: Artikel ini ditulis oleh Hananel Livneh, Analis Produk Senior di Adaptive Shield.

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait