Le applicazioni Salesforce Cloud come Sales Cloud, Service Cloud o Experience Cloud sono ormai diventate un servizio business-critical per le organizzazioni in tutta una serie di settori e mercati verticali. Data la loro popolarità, però, hanno attirato l'attenzione dei cyber criminali che mirano a sfruttarle per ottenere accesso non autorizzato ai dati e alle reti di queste aziende.

Molti professionisti della sicurezza Salesforce presumono che la sicurezza dei loro dati sia una responsabilità di Salesforce.

Così non è: il cliente è sempre responsabile di tutto ciò che carica nella piattaforma, così come della gestione della sicurezza dei dispositivi e delle credenziali utilizzate per accedere alla piattaforma.

Se vuoi proteggere in modo proattivo il tuo ambiente Salesforce Cloud, è importante comprendere i metodi utilizzati dagli attaccanti e cosa si può fare per contrastarli. Questi metodi spaziano dal phishing e dall'invio di URL malevoli fino al social engineering e allo sfruttamento delle piattaforme client-facing per caricare direttamente contenuti "armati" nel cloud.

L'uso della Kill Chain per stabilire quale può essere la modalità di approccio di un attaccante alla tua organizzazione consente di comprendere più facilmente i passaggi minimi che un attaccante dovrebbe compiere per mettere a segno un attacco. In questo modo è possibile creare controlli di prevenzione e rilevamento per contrastarli.

Il modello di Kill Chain di WithSecure™ è stato adattato da quello originariamente creato da Lockheed-Martin e ampiamente utilizzato e accettato nel settore. Abbiamo aggiunto alcuni passaggi supplementari, frutto della nostra esperienza nella ricerca e nella lotta agli attacchi.

1. Ricognizione È la prima fase in cui un potenziale attaccante osserva l'organizzazione e la rete dall'esterno, alla ricerca di vulnerabilità da sfruttare. In un contesto Salesforce, può comportare il rilevamento dei portali Community, dei moduli "Web-to-case" o degli indirizzi email utilizzati per il flusso "email-to-case".
2. Consegna / armamento Se il veicolo dell'attacco è l'email, si tratta letteralmente del recapito di un'email a un dipendente. L'attacco può essere eseguito anche attraverso una Community Salesforce, il caricamento diretto di file o la condivisione di URL tramite Salesforce. L'armamento talvolta è indicato come passaggio supplementare e può avvenire prima o dopo il recapito. Si tratta della fase in cui l'attaccante utilizza ciò che ha trovato durante la ricognizione per inserire contenuti malevoli nel metodo di consegna. In genere questo avviene prima dell'invio, ma una nuova tecnica utilizzata dagli attaccanti prevede l'invio di un URL che non è ancora infetto e pertanto appare perfettamente legittimo alle soluzioni di sicurezza standard, per poi aggiungere il payload in un momento successivo.
3. Exploit La fase di exploit, o esecuzione del codice, è il momento dell'attacco in cui il codice malevolo viene eseguito nell'ambiente target. Può avvenire in vari modi, come l'abuso di funzionalità di formati di file come documenti di Microsoft Office, file PDF e script. Gli attaccanti possono anche sfruttare vulnerabilità note o sconosciute (zero-day) nei software più diffusi.
4. C2 C2 è l'abbreviazione con cui gli esperti della sicurezza designano la fase di comando e controllo in cui l'attaccante utilizza il sistema compromesso per attivare o controllare il malware nella rete dell'organizzazione.
5. Persistenza Una volta ottenuto l'accesso alla rete, l'attaccante vuole rimanere al suo interno e agire inosservato, in modo da continuare a sottrarre dati o raggiungere i suoi altri obiettivi. A questo scopo utilizza vari metodi come l'invio di file o URL malevoli ad altri utenti, che possono essere interni o esterni all'ambiente Salesforce Cloud.
6. Ricognizione interna Quando ha accesso al sistema, l'attaccante eseguirà un altro passaggio di ricognizione per cercare altre informazioni sull'organizzazione e sulla rete. In Salesforce questo può tradursi nell'accesso ai dettagli di contatto dei partner e clienti all'interno del CRM o nell'individuazione degli altri sistemi connessi a Salesforce.
7. Movimento laterale La ricognizione interna consente all'attaccante di identificare altre aree della rete o dell'infrastruttura dell'organizzazione in cui possono essere presenti i dati che sta cercando. Può utilizzare svariate tecniche per accedere a quelle aree.
8. Bersaglio L'ultima fase della Kill Chain è il momento in cui l'attaccante riesce a raggiungere almeno in parte i propri obiettivi. Questo può includere tutta una serie di operazioni come il furto di dati, la manipolazione di un target, l'esecuzione di pagamenti fraudolenti o il danneggiamento del sistema, a seconda delle motivazioni alla base.

Per contrastare gli attacchi, la soluzione WithSecure™ Cloud Protection for Salesforce mette in atto un primo e fondamentale intervento: la scansione attiva dei file e degli URL ogni volta che vengono caricati o scaricati da Salesforce. Questo consente di rilevare i contenuti malevoli e impedirne il caricamento in tempo reale.

Inoltre, esamina gli URL ogni volta che vengono utilizzati. In questo modo contrasta, ad esempio, le Kill Chain "email-to case" illustrate prima, in cui l'attaccante procede all'armamento solo in un secondo momento per ingannare il sistema di sicurezza.

WithSecure™ Cloud Protection for Salesforce utilizza WithSecure™ Security Cloud, una piattaforma di sicurezza multilivello in grado di rilevare le minacce avanzate. La sua crescente knowledge base di minacce avanzate è alimentata dai dati provenienti da sistemi client e servizi automatizzati di analisi delle minacce.

Per rilevare e prevenire minacce avanzate e attacchi, è importante che le organizzazioni implementino soluzioni multilivello che coprano tutti gli endpoint, le reti e le applicazioni cloud.

La soluzione Cloud Protection for Salesforce di WithSecure™ è stata creata e progettata in collaborazione con Salesforce per integrare le sue soluzioni di sicurezza. Questo significa che la puoi acquisire direttamente da AppExchange e l'architettura Cloud-to-Cloud elimina la necessità di middleware. Si tratta di una soluzione unica nel suo genere, pensata espressamente per proteggere i servizi Salesforce Cloud in modo proattivo.