Şunu hayal edin: Kuruluşun harici yöneticisi MFA’yı kendileri için devre dışı bırakmaya çalıştığından, Salesforce gibi şirket CRM’sine şirket çapında bir kilitlenme. Güvenlik ekibine danışmayı düşünmüyorlar ve güvenlik sonuçlarını, yalnızca ekiplerinin oturum açma bilgilerini kullanması için ihtiyaç duydukları kolaylığı dikkate almıyorlar.
Ancak bu CRM, MFA’yı en üst düzey güvenlik ayarı olarak tanımlar; örneğin Salesforce’un bir “Yüksek Güvenceli Oturum Açma Değeri” yapılandırması vardır ve güvenlik önlemi olarak tüm kullanıcıları anında kilitler. Tüm organizasyon durma noktasına gelir ve hüsrana uğrar ve kafası karışır.
Bu bir kerelik bir olay değildir, iş açısından kritik SaaS uygulamalarının yöneticileri genellikle güvenlik departmanının dışında oturur ve derin bir kontrole sahiptir. Eğitimsiz ve güvenlik önlemlerine odaklanmayan bu yöneticiler, kendi departman KPI’ları için çalışıyor. Örneğin, Hubspot genellikle pazarlama departmanına aittir, benzer şekilde Salesforce genellikle iş departmanına vb. aittir. İş departmanları bu uygulamalara sahiptir çünkü işlerini verimli bir şekilde yapmalarını sağlayan şey budur. Ancak paradoks, kuruluşun SaaS uygulama yığınını güvence altına almanın güvenlik ekibinin sorumluluğunda olması ve SaaS uygulamasının tam kontrolü olmadan bu görevi etkin bir şekilde yürütememeleri gerçeğinde yatmaktadır.
bu 2022 SaaS Güvenlik Anketi RaporuCSA ve Adaptive Shield tarafından yürütülen , bugün CISO’lardan ve güvenlik uzmanlarından gelen verileri sunarak bu paradoksun gerçekliğini araştırıyor. Bu makale, yanıtlayanlardan önemli veri noktalarını keşfedecek ve güvenlik ekipleri için çözümün ne olabileceğini tartışacaktır.
Güvenlik ekiplerinizin tüm SaaS uygulamalarının kontrolünü nasıl yeniden kazanabileceğini öğrenin.
SaaS Uygulamaları İşletme Departmanlarının Elinde
Tipik bir kuruluşta, bulut veri platformları, dosya paylaşımı ve işbirliği uygulamalarından CRM, proje ve iş yönetimi, pazarlama otomasyonu ve çok daha fazlasına kadar çok çeşitli SaaS uygulamaları kullanılır (bkz. şekil 1). Her bir SaaS uygulamasına duyulan ihtiyaç, kuruluşun gerektirdiği belirli bir niş rolü doldurur. Tüm bu SaaS uygulamalarının kullanımı olmadan, bir işletme kendi KPI’larına ulaşmak için gecikebilir veya daha fazla zaman alabilir.
bu 2022 SaaS Güvenlik Anketi Raporu bu uygulamaların %40’ının satış, pazarlama, hukuk vb. gibi güvenlik dışı ekiplere ait olduğunu ve yönetildiğini bildiriyor (bkz. Şekil 2). Güvenlik ve BT ekiplerinin SaaS uygulama yönetimi için ana hedef olduğu bildirilse de, iş departmanlarının %40’ının da yer alması ve tam erişime sahip olması tehdit ortamını karmaşıklaştırıyor.
İş uygulamalarının sahiplerinin, optimum kullanım için ilgili SaaS uygulamalarına yüksek düzeyde erişim sağlaması gerektiğinden, güvenlik ekipleri bu sahipliği elinden alamaz. Yine de, derinlemesine güvenlik bilgisi veya kazanılmış menfaat (çalışma ürünlerine yansıyan bir güvenlik KPI’sı) olmadan, güvenlik ekibinin işletme sahibinin SaaS’lerinde yüksek düzeyde güvenlik sağlamasını beklemesi makul değildir.
 |
| Şekil 2. SaaS uygulamalarını yöneten Departmanlar, 2022 SaaS Güvenlik Anketi Raporu |
SaaS Uygulama Sahipliği Paradoksunu Çözmek
Yanlış yapılandırma kaynaklı güvenlik olaylarının ana nedeni sorulduğunda (şekil 3), anket raporunun katılımcıları bunları ilk dördünde gösterdi: (1) Güvenlik ayarlarına erişimi olan çok fazla departman var; (2) Güvenlik ayarları değiştirildiğinde görünürlük eksikliği (3) SaaS güvenlik bilgisi eksikliği; (4) Uygunsuz kullanıcı izinleri. Açık veya zımni tüm bu nedenler, SaaS Uygulama Sahipliği Paradoksuna atfedilebilir.
Yanlış yapılandırmalardan kaynaklanan güvenlik olaylarının önde gelen nedeni, güvenlik ayarlarına erişimi olan çok fazla departmana sahip olmaktır. Bu, bir sonraki neden ile el ele gider – güvenlik değişiklikleri değiştirildiğinde görünürlük eksikliği. Bir işletme departmanı, güvenlik departmanına danışmadan veya bu departmanı bilgilendirmeden kullanım kolaylığını optimize etmek için bir uygulama ayarında değişiklik yapabilir.
Ayrıca, kötüye kullanılan kullanıcı izinleri, uygulamanın güvenliğine dikkat etmeyen bir işletme departmanı sahibinden kolayca kaynaklanabilir. Kullanıcılara genellikle ihtiyaç duymadıkları ayrıcalıklı izinler verilir.
Güvenlik Ekipleri Kontrolü Nasıl Yeniden Kazanabilir?
Bu paylaşılan sorumluluk modeliyle, bu iletişim boşluğunu kapatmanın tek etkili yolu, bir SaaS Güvenlik Duruş Yönetimi platformundan (SSPM) geçiyor. “Gartner Hype Cycle for Cloud Security, 2021’de Bulunması Gereken 4 Olması Gereken Teknoloji” bölümünde, güvenlik risklerini sürekli olarak değerlendirmek ve SaaS uygulamalarının güvenlik duruşunu yönetmek için MUTLAKA OLMASI GEREKEN bir çözüm olarak selamlanan böyle bir çözüm, güvenlik ekibini herhangi bir konuda uyarabilir. uygulama sahibi tarafından yapılan uygulama yapılandırma değişikliği ve bunun bir biletleme veya işbirliği yönetim sistemi aracılığıyla nasıl düzeltileceği konusunda net yönergeler sağlar.
Kuruluşun güvenlik ekibinin sahip olduğu ve yönettiği bir SSPM çözümü ile güvenlik ekibi, şirketin tüm SaaS uygulamalarının ve kullanıcı rolleri ve izinleri dahil olmak üzere güvenlik ayarlarının tam görünürlüğünü elde edebilir. W
Kuruluşlar bunu bir adım daha ileri götürebilir ve uygulama sahiplerinin sahip oldukları uygulamalardaki tüm yapılandırmaları aktif olarak kontrol edebilmeleri ve denetleyebilmeleri için SSPM platformuna katılmasını sağlayabilir. Kapsamlı bir yönetici özelliği kullanarak (şekil 4) güvenlik ekibi, uygulama sahiplerine sahip oldukları uygulamalara erişim izni verebilir ve güvenlik sorunlarını çözebilir, ile birlikte onların denetimi ve yönlendirilmesi.
İşletme departmanlarının SaaS uygulaması güvenlik ayarlarına erişimini ortadan kaldırmanın bir yolu yoktur ve işletme departmanlarından kaynaklanabilecek riski azaltmak için kuruluş genelindeki kullanıcılar temel SaaS güvenliği konusunda eğitilmelidir, ancak bu her zaman olmaz veya sadece yeterli değil. Kuruluşların, güvenlik ekibi için görünürlük ve kontrol sağlayarak, yapılandırma sapmalarında uyarı vererek, SaaS uygulamaları ve kapsamlı yöneticiler içindeki eylemlere ilişkin öngörü sağlayan denetim günlüklerini sağlayarak bu durumlardan kaçınmaya yardımcı olan bir çözüm uygulaması gerekir.