Geçtiğimiz Ocak ayında, Wing Security (Wing) adlı bir SaaS Security Posture Management (SSPM) şirketi, ücretsiz SaaS-Shadow BT keşif çözümünün piyasaya sürülmesiyle ses getirdi. Bulut tabanlı şirketler, “freemium” modelinde çalışan tamamen ücretsiz, self servis bir ürün aracılığıyla çalışanlarının SaaS kullanımı hakkında bilgi edinmeye davet edildi. Bir kullanıcı çözümden etkilenirse ve daha fazla bilgi edinmek veya düzeltme eylemi gerçekleştirmek isterse, kurumsal çözümü satın alabilir.
“Bugünün ekonomik gerçekliğinde, menkul kıymet bütçeleri zorunlu olarak kısılmadı, ancak alıcılar satın alma kararlarında çok daha dikkatli ve haklılar. Bilmediğiniz şeyi güvence altına alamayacağınıza inanıyoruz, bu nedenle bilmek temel bir meta olmalıdır. Bir zamanlar. SaaS saldırı katmanınızın büyüklüğünü anlarsanız, onu nasıl çözeceğiniz konusunda bilinçli bir karar verebilirsiniz. Keşif, doğal ve temel ilk adımdır ve herkes tarafından erişilebilir olmalıdır.” Wing’in Kurucu Ortağı ve CTO’su Galit Lubetzky Sharon şunları söyledi:
Şirket, lansmandan sonraki ilk birkaç hafta içinde 200’den fazla şirketin kendi programlarına kaydolduğunu bildirdi. self servis ücretsiz keşif aracı, şirketin mevcut müşteri tabanına ekleniyor. Geçenlerde bir yayınladılar bulgular hakkında kısa rapor SaaS kullanımını açıklayan yüzlerce şirketten ve rakamlar rahatsız edici.
Artan SaaS Kullanımının Somut Riskleri
Şirketlerin %71,4’ünde çalışanlar, son üç ayda ihlal edilmiş ortalama 2,4 SaaS uygulamasını kullanıyor. SaaS uygulamalarının ortalama %58’i yalnızca bir çalışan tarafından kullanılıyor. Kuruluşların SaaS kullanıcılarının dörtte biri haricidir. Bu rakamlar, diğer ilginç verilerle birlikte, şirketin raporunda, neden böyle olduğuna inandıkları ve dikkate alınması gereken risklere ilişkin açıklamalarla birlikte yer almaktadır.
SaaS kullanımı genellikle merkezi değildir ve yönetimi zordur ve avantajları, yönetilmediğinde güvenlik riskleri de oluşturabilir. IAM/IM sistemleri, kuruluşların çalışanlarının SaaS kullanımının bir kısmı üzerinde kontrolü yeniden kazanmasına yardımcı olurken, bu kontrol BT/Güvenliğin bildiği onaylı SaaS uygulamalarıyla sınırlıdır. Buradaki zorluk, SaaS uygulamalarının genellikle BT veya güvenlik ekipleri dahil edilmeden çalışanlar tarafından alınmasıdır. Başka bir deyişle, bu SaaS Shadow IT’dir. Bu, özellikle kredi kartı gerektirmeyen veya ücretsiz bir sürüm sunan birçok SaaS uygulaması için geçerlidir.
Yaygın senaryo, bir iş sorununa hızlı bir çözüm arayan, genellikle uzaktaki bir çalışanın senaryosudur. Çözüm genellikle çalışanın çevrimiçi bulduğu, izin verdiği (bunlar okuma ve yazma izinleri olabilir, hatta çalıştırılabilir) ve sonra tamamen unuttuğu bir uygulamadır. Bu, çeşitli güvenlik risklerine yol açabilir.
SaaS ile ilgili riskler üç farklı türde kategorize edilebilir:
İlgili uygulamalar
Örnekler, düşük güvenlik puanına sahip riskli uygulamaları içerir ve bu uygulamaların savunmasız olma olasılığının daha yüksek olduğunu gösterir. Ve yakın zamanda güvenliği ihlal edilmiş ancak kuruluşun verileri üzerinde izinlere sahip olan ve bu verileri anında tehlikeye atan uygulamalar. Wing, ücretsiz çözümünde bulunan her uygulamaya bir güvenlik puanı ekler ve kullanıcıları SaaS yığınlarındaki riskli uygulamalar konusunda uyarır.
SaaS uygulamalarının doğası gereği getirdiği risklerin diğer örnekleri, bilinen ve onaylanmış SaaS’ın “bindirilmesi” olan 3. taraf SaaS uygulamalarını içerir. Veya nadiren verilen yüksek izinler verilen uygulamalar: Wing’e göre, kullanıcılar tarafından uygulamalara verilen tüm izinlerin %73,3’ü 30 günden uzun süredir kullanımda değildi. Bu, şu soruyu akla getiriyor: Onları isteyen uygulamayı kullanmıyorken, kuruluşunuzun verilerine neden açık kapılar bırakıyorsunuz?
İlgili Kullanıcılar
İnsan faktörünü kimse göz ardı edemez. Ne de olsa, SaaS genellikle onu kullanan çalışan tarafından doğrudan devreye alınır. İzinleri veren onlar, her zaman bu izinlerin ardındaki anlamın farkında değiller. Wing’in ücretsiz çözümü burada da yardımcı oluyor: Wing, bulunan ilk 100 uygulama için onları kullanan kullanıcıların bir listesini sunuyor. Kullanıcıların kim olduğu, harici kullanıcılar ve uygulamalar genelinde kullanıcı tutarsız davranışları hakkında tam bilgi için Wing, kurumsal sürümünü sunar.
İlgili Veriler
Veri güvenliğiyle ilişkili riskler çok fazladır ve bunlarla ilgilenen DLP’ler ve DSPM’ler gibi eksiksiz bir ürün kategorisine sahiptir. Bununla birlikte, çalışanların kullandığı SaaS uygulamaları söz konusu olduğunda, veriyle ilgili sorunlar, dosya paylaşımı için tasarlanmamış uygulamalarda paylaşılan hassas dosyalardan, genel kanallarda paylaşılan sırlardan (Slack yaygın bir örnektir) ve hatta devasa miktarlardan oluşabilir. çalışanların harici olarak paylaştığı ve sonra unuttuğu, bu harici bağlantıyı tamamen açık bırakan dosyalar. SaaS ortamını temiz tutmak, yalnızca uygulamaları ve kullanıcıları korumaktan değil, aynı zamanda bu uygulamaların içinde ve arasında bulunan bilgileri yönetmekten oluşur.
Sonuç olarak, SaaS uygulamalarının kullanımı hızla artmaya devam ederken, SaaS-Shadow BT keşfi, BT ve güvenlik ekipleri için kritik bir endişe alanı haline geldi. SaaS uygulamaları işletmelere sayısız fayda sağlarken, yönetilmediklerinde önemli güvenlik riskleri de oluştururlar. Bu riskler, ihlal edilmiş uygulamaların kullanımı, aşırı izin verilmesi, kullanıcı tutarsızlıkları ve veri güvenliği sorunlarını içerir.
Kuruluşların, bilinçli kararlar almak ve bu riskleri azaltmak için düzeltici önlemler almak için çalışanlarının SaaS kullanımına ilişkin görünürlüğe sahip olması çok önemlidir. 2023’te beklenti, temel SaaS-Gölge BT keşfinin artık bir maliyeti olmaması, çünkü SaaS ortamlarını güvence altına almayı amaçlayan kuruluşlar için temel bir meta olması gerektiğidir.