Spoiler Uyarısı: M365 ve Google Workspace kullanan 10.000 SaaS kullanıcısına sahip kuruluşlarda ortalama 4.371 ek bağlı uygulama.
SaaS’tan SaaS’a (üçüncü taraf) uygulama yüklemeleri artıyor durmaksızın dünya çapındaki kuruluşlarda. Bir çalışan, verimliliğini veya üretkenliğini artırmak için ek bir uygulamaya ihtiyaç duyduğunda, yüklemeden önce nadiren iki kez düşünür. Çoğu çalışan, içeriği okuma, güncelleme, oluşturma ve silme yeteneği gibi kapsamlar gerektiren bu SaaS-SaaS bağlantısının kuruluşlarının saldırı yüzeyini önemli ölçüde artırdığının farkında bile değil.
Üçüncü taraf uygulama bağlantıları genellikle güvenlik ekibinin görüşü dışında gerçekleşir ve oluşturdukları risk düzeyini anlamak için incelenmez.
Adaptive Shield’in son raporu, Üçüncü Taraf Bağlantılı Uygulamaların Risklerini ve Gerçeklerini Ortaya Çıkarma, bu konudaki verilere dalar. Kuruluşların sahip olduğu ortalama SaaS-to-SaaS uygulama sayısını ve sundukları risk düzeyini inceler. İşte ilk 5 bulgu.
1 Numaralı Bulgu: Bağlantılı Uygulamalar Derin Çalışıyor
Rapor, iki uygulamayla entegre olan uygulamaların kapsamının net bir resmini çizdiği için Google Workspace ve Microsoft 365’e (M365) odaklanıyor.
Ortalama olarak, M365 kullanan 10.000 SaaS kullanıcısına sahip bir şirket, kendi uygulama paketine bağlı 2.033 uygulamaya sahiptir. Google Workspace’i kullanan bu büyüklükteki şirketler, ortalama 6.710 bağlantılı uygulama ile miktarın üç katından fazlasına sahiptir.
Daha küçük şirketler bile bağışık değildir. Rapor, M365 kullanan şirketlerin kullanıcı başına ortalama 0,2 uygulama, Google Workspace kullanan şirketlerin ise kullanıcı başına ortalama 0,6 uygulama olduğunu ortaya koydu.
2. Bulgu: Ne kadar çok çalışan, o kadar çok uygulama
Araştırma, çoğu büyüme eğrisinin aksine, kullanıcı başına uygulama sayısının kritik bir kullanıcı kitlesine ulaştıktan sonra sabitlenmediğini veya sabitlenmediğini gösteriyor. Aksine, uygulama sayısı, kullanıcı sayısıyla birlikte büyümeye devam ediyor.
Şekil 1’de görüldüğü gibi, 10.000-20.000 çalışanı olan Google Workspace kullanan şirketlerde ortalama 14.000 benzersiz bağlantılı uygulama vardır. Bu devam eden büyüme, güvenlik ekipleri için şok edici ve yüksek hacimli uygulamaları manuel olarak keşfetmelerini ve yönetmelerini neredeyse imkansız hale getiriyor.
 |
| Şekil 1: Kullanıcılara göre Google Workspace ile entegre edilen ortalama uygulama sayısı |
2023 SaaS’tan SaaS’a Erişim Raporunun tamamı için burayı tıklayın.
Bulgu #3: SaaS’tan SaaS’a Uygulama Riski Yüksek
Üçüncü taraf uygulamaları, temel SaaS uygulamalarıyla entegre olduklarında, bir OAuth işlemi kullanarak erişim elde ederler. Bu sürecin bir parçası olarak, uygulamalar belirli kapsamlar talep eder. Bu kapsamlar, uygulamalara çok fazla güç verir.
Yüksek riskli kapsamlar arasında M365 uygulamalarının %15’i, kullanıcının erişebildiği tüm dosyaları silme yetkisi istiyor. Yüksek riskli kapsamların %40’ının tüm Google Drive dosyalarını silme olanağına sahip olduğu Google Workspace uygulamalarında durum daha da korkutucu hale geliyor.
Bu izin sekmesinde gösterildiği gibi, uygulama açıkça tüm Google Dokümanlar dokümanlarını, Google Drive dosyalarını, Google Slaytlar sunularını ve Google E-Tablolar e-tablolarını görmek, düzenlemek, oluşturmak ve silmek için izin istiyor.
Verileri kontrol etmeye alışkın güvenlik ekipleri için bu tür izin setleri rahatsız edicidir. Birçok uygulamanın, yazılım geliştirmelerinde güvenliğe öncelik vermemiş olabilecek bireysel geliştiriciler tarafından oluşturulduğu düşünüldüğünde, bu izinler, tehdit aktörlerine şirket verilerine erişmek ve bunları çalmak veya şifrelemek için ihtiyaç duydukları her şeyi sağlar. Bir tehdit aktörü olmasa bile, yazılımdaki bir hatanın şirketin verileri üzerinde feci sonuçları olabilir.
Şekil 2: Üçüncü taraf bir uygulamadan Yüksek Riskli İzin İsteği
Bulgu #4: Bağlantılı Uygulamalar Ayrıca Muazzam Bir Genişliğe Sahiptir
Rapor, iki büyük SaaS uygulamasını derinlemesine incelerken, Salesforce (ve Slack) ile ilgili araştırmaları da yayınlıyor. Salesforce, örnek başına ortalama 41 entegre uygulama alır. Bunun anlamı dikkat çekicidir.
Salesforce, öncelikle şirketin küçük bir alt kümesi tarafından kullanılır. Bu açıdan İK, geliştiriciler ve finans ekipleri tarafından kullanılan Workday, Github ve ServiceNow’a benzer. 10.000 çalışanı olan tipik bir şirket, yığınında çoğu burada tartışılan uygulamalar gibi daha küçük departmanlar tarafından kullanılan 350’den fazla SaaS uygulamasına sahiptir.
Salesforce’un benzer uygulamalar için tipik olduğunu varsayarsak, 40 uygulamayla entegre olan bu 350 uygulamanın her biri, denkleme 14.000 ek üçüncü taraf uygulaması ekler.
5. Bulgu: M365 ve Google Workspace Benzer Sayıda Yüksek Riskli Uygulamalara Sahip
Daha ilginç çıkarımlardan biri, Google Workspace ile karşılaştırıldığında Microsoft’a bağlanan yüksek hacimli yüksek riskli uygulamalardı. Uygulamalar, zamanın %39’unda M365’ten yüksek riskli izinler ister; Google Workspace uygulamaları, yalnızca %11 oranında yüksek riskli izinler ister. Gerçek sayılar açısından, M365 kullanan 10.000 SaaS kullanıcısına sahip bir şirkette ortalama bir kurulumda 813 adet yüksek riskli uygulama bulunurken, Google Workspace’te 738 adet yüksek riskli uygulama bulunur.
Büyük olasılıkla, bu eşitsizlik uygulama oluşturma sürecinden kaynaklanmaktadır. Google, yüksek riskli (bunlara Kısıtlayıcı diyor) izinler isteyen uygulamaların incelenmesini şart koşuyor. İnceleme süreci, orta düzeyde veya hassas izinler isteyenler için çok daha kolaydır. Microsoft, istenen kapsamları önem düzeyleriyle etiketlemez. Bu gözetim eksikliği, M365 ile bağlanan uygulamaların yüksek riskli kapsamlar talep etmesini çok daha kolaylaştırır.
SaaS Güvenliği Çoğu Kişinin Sandığından Çok Daha Karmaşık
Raporu okumanın genel çıkarımı, SaaS yazılımının güvenliğini sağlamanın muazzam zorluğudur. Güvenlik ekiplerinin, SaaS yığınına bağlı olan binlerce uygulamaya yönelik görünürlüğe ve yüksek riskli her bağlı uygulama için bir maliyet-fayda analizi yapmasına ihtiyaç duyduğu açıktır.
Adaptive Shield gibi SaaS güvenlik çözümleri, güvenlik ekiplerine diğer önemli SaaS güvenlik özelliklerinin yanı sıra bağlı uygulamaları ve bunların kapsamlarını görmek için gereken görünürlüğü sağlar. Bu bilgilerle donanan güvenlik ekipleri, uygulamalarının güvenlik duruşunu sağlamlaştırmak ve verilerin yanlış ellere geçmesini önlemek için çok daha iyi bir konumda olacak.
SaaS Stack’inize kaç SaaS-to-SaaS uygulamasının bağlı olduğunu görmek için bir demo planlayın
