Η ομάδα πληροφορικής σας μόλις ολοκλήρωσε μια εξαντλητική δοκιμή ασφαλείας. Το δίκτυο είναι κλειδωμένο. Η στοίβα τεχνολογίας του οργανισμού σας έχει επιβληθεί σε όλους τους τομείς MFA. Οι εργαζόμενοι μόλις ολοκλήρωσαν την εκπαίδευση κατά του phishing.
Και χθες, ο Bob από το Finance μοιράστηκε τις προβλέψεις εσόδων του τρίτου τριμήνου με έναν σύνδεσμο Φύλλων Google που ορίστηκε σε “οποιοσδήποτε με τον σύνδεσμο μπορεί να επεξεργαστεί”. Ο Μπομπ απλώς έκανε τη δουλειά του με τρόπο που του ταιριάζει. Ωστόσο, αυτό δεν εμποδίζει τον σύνδεσμο των Φύλλων Google του Bob να γίνει ο αδύναμος σύνδεσμος ολόκληρου του συστήματός σας.
Οι εσωτερικές απειλές συνήθως σημαίνουν δυσαρεστημένους υπαλλήλους που κλέβουν δεδομένα. Αλλά οι καλοπροαίρετοι άνθρωποι, όπως ο Bob, είναι πολύ πιο συνηθισμένο να αναζητούν υπολογιστικά φύλλα επειδή τα εγκεκριμένα εργαλεία τους δεν μπορούν να κάνουν όλα όσα χρειάζονται.
Ίσως αυτό το εύχρηστο λογισμικό ERP να κάνει το 90% της δουλειάς που χρειάζεται να κάνουν οι άνθρωποι, αλλά αυτό το τελευταίο 10% – είτε πρόκειται για μικροαλλαγές διαγραμμάτων είτε για εξαγωγή αναφορών PDF – απλώς δεν οδηγεί τα έργα στην τελική ευθεία.
Άρα οι άνθρωποι εξάγουν. Τραβούν δεδομένα σε υπολογιστικά φύλλα, το κάνουν να διαρκέσει 10% και μετά ίσως —ίσως— να ενημερώσουν ή να συμβιβάσουν το επίσημο σύστημα αργότερα. Αυτό το υπολογιστικό φύλλο είναι ακόμα εκεί έξω, αιωρείται για όποιον έχει τον σύνδεσμο. Ας το ονομάσουμε «σκιερό υπολογιστικό φύλλο».
Εδώ στο Grist Labs βλέπουμε ομάδες πληροφορικής να ασχολούνται με σκιώδη υπολογιστικά φύλλα σε καθημερινή βάση. Έχουμε δημιουργήσει μια βάση δεδομένων υπολογιστικών φύλλων ανοιχτού κώδικα για να σκοτώνουμε αυτές τις σκιές, αλλά περισσότερα για αυτό αργότερα. Αρχικά, ας δούμε γιατί τα σκιώδη υπολογιστικά φύλλα είναι πραγματικό πρόβλημα.
Πώς ένα σκιερό υπολογιστικό φύλλο γίνεται κίνδυνος ασφαλείας
Όταν οι ομάδες μετακινούν κρίσιμα δεδομένα σε υπολογιστικά φύλλα, συνήθως βλέπουμε ένα από τα δύο σενάρια, και τα δύο λιγότερο από ιδανικά:
Υπερκοινή χρήση από προεπιλογή
Κάποιος δημιουργεί ένα κύριο υπολογιστικό φύλλο για συνεργασία. Ορίζουν την κοινή χρήση σε “οποιονδήποτε στον οργανισμό με αυτόν τον σύνδεσμο” και τη στέλνουν μαζικά σε όλους σε ένα κανάλι Slack.
Τώρα ολόκληρη η εταιρεία σας μπορεί να έχει πρόσβαση σε δεδομένα μισθών, όρους πληρωμής πελατών, στρατηγικά σχέδια επέκτασης ή οτιδήποτε άλλο περιέχει αυτό το υπολογιστικό φύλλο. Οι περισσότεροι δεν θα το κάνουν, αλλά έχετε ήδη χάσει τον έλεγχο του ποιος μπορεί, πιθανότατα χωρίς καν τη δυνατότητα να ειδοποιηθείτε.
Πέρα από την ασφάλεια, ίσως αυτό το υπολογιστικό φύλλο αρχίζει να υπερβαίνει τα όρια των Φύλλων ή του Excel; Οι εργαζόμενοι κατασκευάζουν εφαρμογές σε υπολογιστικά φύλλα συνεχώς, απλώς δεν τις αποκαλούν πάντα εφαρμογές. Οι εύθραυστοι τύποι σε αυτά τα υπολογιστικά φύλλα που έχουν μετατραπεί σε εφαρμογές ενδέχεται να μετατρέψουν ένα τυπογραφικό λάθος σε μια αντιμετώπιση προβλημάτων 3 ωρών εργασίας.
Στη συνέχεια, σε μια προσπάθεια να αποτραπεί αυτό να συμβεί ξανά, προσθέτει μια φωτεινή κόκκινη σειρά πάνω από κάθε κρίσιμη ενότητα με την ένδειξη “ΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΜΗΝ ΑΓΓΙΖΕΤΕ ΑΥΤΗ ΤΗ ΦΟΡΜΟΥΛΑ, ΠΟΤΕ.” Ο Bob από το Finance αγγίζει αμέσως τη φόρμουλα.
Εξάπλωση υπολογιστικών φύλλων
Για να αποφευχθεί η υπερβολική κοινή χρήση, οι άνθρωποι νευριάζονται και δημιουργούν «ασφαλή» αντίγραφα. Αυτή η έκδοση για τα Οικονομικά, αυτή η έκδοση για την εκτελεστική ομάδα, άλλη για τον σύμβουλο που προσέλαβαν. Έξι εκδόσεις του ίδιου υπολογιστικού φύλλου κυκλοφορούν μέσω email, φακέλων Slack DM και SharePoint. Κάποιος προφανώς έχει ένα αντίγραφο και σε ένα προσωπικό Google Drive.
Ποιο από αυτά είναι κανονικό ή ακόμα και επίκαιρο; Ποιος έχει πρόσβαση σε τι; Όταν κάποιος βρίσκει ένα σφάλμα, ποιες εκδόσεις διορθώνονται; Και το πιο σημαντικό, τι είδους απειλή έκθεσης αποτελεί αυτό;
Δίνοντας προτεραιότητα στην προβολή, οι εργαζόμενοι έχουν επίσης θέσει σε κίνδυνο την ακεραιότητα και τώρα η διαδρομή ελέγχου σας έχει εξαφανιστεί.
Τι κρατά τους CISO σε λειτουργία τη νύχτα
Ο Bob προωθεί ένα υπολογιστικό φύλλο ανάλυσης πελατών σε έναν σύμβουλο που εργάζεται σε ένα έργο για αυτούς. Το υπολογιστικό φύλλο έχει πολλές καρτέλες. Ο σύμβουλος χρειάζεται απλώς την καρτέλα τρία. Η καρτέλα επτά, την οποία ξέχασε ο Μπομπ, περιέχει όρους συμβολαίου πελατών, ημερομηνίες ανανέωσης και τιμές για κορυφαίους λογαριασμούς.
Ο σύμβουλος δεν προσπαθεί να διαπράξει κλοπή ταυτότητας. Ωστόσο, πιθανότατα δεν δεσμεύονται από τις πολιτικές DLP του οργανισμού σας. Αυτές οι ευαίσθητες πληροφορίες βρίσκονται πλέον εκτός της περιμέτρου σας και δεν έχετε ιδέα πού θα μπορούσε να πάει στη συνέχεια.
Τα σκιώδη υπολογιστικά φύλλα δημιουργούν μια επιφάνεια επίθεσης που είναι αδύνατο να χαρτογραφηθεί. Εάν δεν γνωρίζετε πόσα διαφορετικά αντίγραφα υπάρχουν, πού ζουν ή ποιος έχει πρόσβαση και κατεβάσει αυτά, το μόνο που γνωρίζετε είναι ότι αντιμετωπίζετε πρόβλημα.
Όταν στην πραγματικότητα εμπλέκεται ένας κακός παράγοντας, τα κατακερματισμένα δεδομένα δημιουργούν εύλογη άρνηση. Χωρίς μια έγκυρη πηγή με αρχεία καταγραφής ελέγχου, δεν υπάρχει τρόπος να αποδειχθεί τι είχαν πρόσβαση, άλλαξαν ή εξήγαγαν σε ένα φύλλο.
Εάν το επίσημο σύστημα είναι πολύ άκαμπτο για να υποστηρίξει την πραγματική εργασία, οι άνθρωποι θα εργάζονται γύρω από αυτό κάθε φορά. Πώς το αντιμετωπίζετε αυτό;
Ο Grist παρέχει στις ομάδες την ευελιξία του υπολογιστικού φύλλου που χρειάζονται με τα στοιχεία ελέγχου πρόσβασης που απαιτεί το IT.
Λεπτομερή δικαιώματα, πλήρη αρχεία καταγραφής ελέγχου, ανοιχτού κώδικα και επιλογές ανάπτυξης που φιλοξενούνται από τον εαυτό σας. Δεν υπάρχει κλείδωμα πωλητή.
Γιατί οι προφανείς λύσεις αποτυγχάνουν
Η εκπαίδευση δεν θα διορθώσει ένα εργαλείο που δεν κάνει αυτό που χρειάζονται οι άνθρωποι. Επίσης, δεν μπορείτε να ρυθμίσετε την πολιτική σας πέρα από την αναπόφευκτη σύγκρουση μεταξύ των ελέγχων ασφαλείας και του «απλώς ολοκληρώνοντας τη δουλειά».
Τι γίνεται αν καταπολεμήσεις; Κλείδωμα κοινής χρήσης αρχείων και εφαρμογή DLP που επισημαίνει ή αποκλείει τα συνημμένα υπολογιστικών φύλλων που περιέχουν ευαίσθητα δεδομένα; Οι άνθρωποι συχνά βρίσκουν ακόμη λιγότερο ασφαλείς λύσεις –μονάδες USB, προσωπικούς λογαριασμούς Dropbox– επειδή έχουν δουλειές να κάνουν. Αυτό απλώς κάνει το πρόβλημα ακόμα πιο δύσκολο να εντοπιστεί.
Τι γίνεται με τη δημιουργία μιας εσωτερικής εφαρμογής προσαρμοσμένης ειδικά στον τρόπο λειτουργίας της ομάδας σας; Τώρα εξετάζετε έξι μήνες χρόνου ανάπτυξης και 200.000 $+ σε κόστος.
Μέχρι να καλύψετε τις απαιτήσεις, να προσλάβετε εργολάβους και να πλοηγηθείτε στις προμήθειες, η ομάδα που χρειαζόταν μια λύση πριν από εννέα μήνες έχει ήδη κυκλοφορήσει δώδεκα ακόμη σκιώδη υπολογιστικά φύλλα. Και όταν η επιχείρηση χρειάζεται αναπόφευκτα μετατόπιση, είναι ένα διαρκές παιχνίδι κάλυψης. Οι προσαρμοσμένες κατασκευές λύνουν το πρόβλημα ευελιξίας και ασφάλειας δημιουργώντας ένα βάρος συντήρησης που δεν τελειώνει ποτέ.
Διαπιστώσαμε ότι οι άνθρωποι χρησιμοποιούν υπολογιστικά φύλλα επειδή ένα υπολογιστικό φύλλο είναι πραγματικά καλό για τα περισσότερα πράγματα. Είναι μια καθολική διεπαφή που κατανοούν οι περισσότεροι. Πολλές πλατφόρμες SaaS είναι ουσιαστικά ένα υπολογιστικό φύλλο με μια φανταχτερή διεπαφή χρήστη. Η καταπολέμηση των υπολογιστικών φύλλων συχνά σημαίνει ότι πολεμάτε την πλειοψηφία του οργανισμού σας.
Έτσι, εάν δεν μπορείτε να καταπολεμήσετε το υπολογιστικό φύλλο, γιατί να μην το ασφαλίσετε;
Grist: όπου τα υπολογιστικά φύλλα βγαίνουν από τη σκιά
Στη Grist Labs, έχουμε ξεκινήσει να δημιουργήσουμε λογισμικό που διατηρεί τα καλύτερα υπολογιστικά φύλλα και αποφεύγει τα χειρότερα. Ιδρυθήκαμε από έναν πρώην μηχανικό των Φύλλων Google, πολύ εξοικειωμένος με τα δυνατά και τα αδύνατα σημεία του κλασικού πίνακα πίνακα. Το Grist δημιουργήθηκε για να μοιάζει και να μοιάζει με υπολογιστικό φύλλο, αλλά είναι χτισμένο πάνω σε μια σχεσιακή βάση δεδομένων που επιτρέπει λεπτομερή έλεγχο πρόσβασης βάσει ρόλων.
Μπορείτε να φιλοξενήσετε το Grist στη δική σας υποδομή, πράγμα που σημαίνει ότι τα ευαίσθητα δεδομένα δεν φεύγουν ποτέ από το περιβάλλον σας. Το RBAC μας μπορεί να ρυθμιστεί σε επίπεδο στήλης και γραμμής, που σημαίνει ότι οι χρήστες μπορούν να συνεργάζονται σε πραγματικό χρόνο, ενώ όλοι, από εξωτερικούς εργολάβους έως στελέχη, βλέπουν μόνο ό,τι πρέπει χωρίς να δημιουργούν αντίγραφα. Είναι μια πραγματική και μοναδική πηγή αλήθειας.
Επιπλέον, μπορείτε να περιορίσετε την ικανότητα του Bob να ανακατεύει ξανά σημαντικές φόρμουλες.
Μπορείτε να συνδέσετε το Grist στο SSO σας και να το εκτελέσετε πίσω από ένα VPN ή ακόμα και με διάκενο αέρα. Η έκδοση Enterprise περιλαμβάνει πρόσθετους ελέγχους διαχειριστή. Μεταξύ άλλων, αυτό σας επιτρέπει να δείτε μια λίστα με όλα τα έγγραφα που μοιράζονται με συνδέσμους σε όλη την εγκατάστασή σας ή να επιβεβαιώσετε σε τι ακριβώς μπορεί να έχει πρόσβαση ο Bob. Μπορείτε επίσης να ενεργοποιήσετε την καταγραφή ελέγχου που συνδέεται με το εξωτερικό σας σύστημα SIEM.
Όταν έχετε εργαλεία οικείας αίσθησης που έχουν νόημα για τους χρήστες σας, η υιοθέτηση είναι δυνατή. Αντί να καταπολεμάτε την εμπειρία υπολογιστικών φύλλων, χρησιμοποιήστε το ως μια κοινή βασική διεπαφή που λειτουργεί για όλους, εκτός από πιθανούς κακούς ηθοποιούς.
Ελάτε να δείτε την εξέλιξη των υπολογιστικών φύλλων μόνοι σας σήμερα.
Χορηγός και γραμμένος από Αλεσμα.
VIA: bleepingcomputer.com
