500’den fazla şirketin verilerini analiz eden bir SaaS güvenlik şirketi olan Wing Security tarafından yakın zamanda yapılan bir inceleme, bazı endişe verici bilgiler ortaya çıkardı. Bu incelemeye göre, şirketlerin %84’ünde son 3 ayda ihlal edilen ortalama 3,5 SaaS uygulaması kullanan çalışanlar bulunuyor. Bu endişe verici olsa da, pek de şaşırtıcı değil. SaaS kullanımındaki katlanarak büyüme, güvenlik ve BT ekiplerinin hangi SaaS uygulamalarının ve nasıl kullanıldığına ayak uydurmakta zorlanmasına neden oluyor. Bu, SaaS’tan kaçınılması veya engellenmesi gerektiği anlamına gelmez; aksine, iş büyümesini sağlamak için SaaS uygulamalarının kullanılması gerekir. Ancak bunları kullanmak bir dereceye kadar dikkatli yapılmalıdır.
Hangi SaaS uygulamalarının riskli olduğunu belirleme
Bir uygulamanın riskli olup olmadığını belirlemede en sezgisel risk faktörü, onu aramak ve ihlal edilip edilmediğini görmektir. SaaS ile ilgili saldırıları giderek daha fazla gördüğümüz için, SaaS uygulamaları açıkça bir hedef haline geliyor. Bir ihlal, en azından SaaS satıcısı tamamen düzeltip iyileşene kadar (bu biraz zaman alabilir…) uzak durmanın açık bir göstergesidir. Ancak bir SaaS uygulamasının güvenli olup olmadığını belirlerken dikkate alınması gereken başka kriterler de vardır. Burada dikkate alınması gereken iki tane daha var:
- Uyumluluklar – Uygulama satıcısının sahip olduğu veya olmadığı güvenlik ve gizlilik uyumlulukları, güvenliğinin iyi bir göstergesidir. Bir SOC, HIPAA, ISO (liste uzayıp gidiyor…) güvence altına almak, şirketin katı düzenlemelere ve koşullara uyması gereken uzun ve titiz süreçler gerektirir. Bir şirketin uyumluluklarını bilmek, güvenlik düzeyini anlamak için zorunludur.
- Pazar varlığı – Bir uygulamanın iyi bilinen ve hesaplanan pazar yerlerinde bulunup bulunmadığının kontrol edilmesi, güvenlik önlemleriyle ilişkilendirilebilecek bütünlüğünü belirlerken de yararlı bir adımdır. Saygın pazar yerlerinde, başvuruların bir inceleme sürecinden geçmesi gerekir ve bir uygulamanın meşruiyetinin tartışmasız en önemli göstergelerinden biri olan kullanıcı incelemeleri aldıklarından bahsetmiyorum bile.
Hangi uygulamaların potansiyel olarak riskli olduğunu anlamak önemli olsa da bu kolay bir iş değildir. Ayrıca bu ilk adım da değil. Wing Security’ye göre, inceledikleri şirketlerin hepsinde kullanımda olan üç basamaklı yüksek sayıda SaaS uygulaması vardı. Güvenlik ekiplerinin sorması gereken ilk ve temel soru şudur:
Çalışanlar kaç tane SaaS uygulaması kullanıyor?
Açıkçası, SaaS’ın güvenli bir şekilde kullanılıp kullanılmadığını belirlemek, önce kaç tane SaaS uygulamasının kullanıldığını ve hangilerinin kullanıldığını keşfetmeden imkansızdır. Bu basit, ama basit değil. SaaS, tüm çalışanlar tarafından kullanılır ve SSO’yu zorunlu kılmak ve IAM sistemlerini kullanmak önemli ve yardımcı olsa da, SaaS uygulamalarının merkezi olmayan, erişilebilir ve çoğu zaman self servis doğası, çalışanların ihtiyaç duydukları hemen hemen tüm SaaS’ları yalnızca arama yaparak kullanmaya başlayabilecekleri anlamına gelir. çevrimiçi ve şirketlerinin çalışma alanına bağlayarak IAM’den kolayca kaçınıyor. Bu, özellikle ücretsiz bir araç veya ücretsiz bir sürümünü sağlayan birçok SaaS uygulaması düşünüldüğünde doğrudur.
Akılda ki, SaaS uygulama keşfi ayrıca ücretsiz, self servis bir araç olarak sağlanır bu nedenle yukarıda belirtilen soruyu cevaplamak yeterince kolay olmalıdır. SaaS kullanımına ilişkin net bir harita oluşturulduktan sonraki adım, riskli SaaS uygulamalarının belirlenmesidir. Riskli uygulamalar bu şekilde sınıflandırıldıktan sonra, onları kuruluşa bağlayan kullanıcılardan aldıkları jetonları iptal etmek önemlidir. Bu, yerinde uygun bir araç olmadan uzun ve külfetli bir süreç olabilir (Wing, ücretsiz sürümünde başka bir yetenek olarak riskli uygulama kaldırma sunar, ancak premium teklifinde kaldırılan bazı sınırlamalar vardır).
SaaS kullanımının güvenli olmasını sağlamak, iki soru daha sorup yanıtlamayı gerektirir:
1. SaaS uygulamalarına hangi izinler verildi?
Muhtemelen tüm uygulamaların her zaman risk getirmediğini söylemeye gerek yok. Bir SaaS uygulaması ihlal edilse bile, getirebileceği riskin büyük ölçüde kendisine verilen izinlere bağlı olduğunu da eklemekte fayda var. Hemen hemen tüm SaaS uygulamaları, tasarlandıkları hizmeti sağlamak için şirket verilerine erişmek için bir dereceye kadar izin gerektirir. İzinler, salt okunurdan, kullanıcı adına e-posta göndermek gibi SaaS uygulamasının kullanıcı adına hareket etmesine izin veren yazma izinlerine kadar uzanır. Uygun SaaS güvenlik duruşu yönetimi, kullanıcılar tarafından bir uygulamaya verilen izinlerin izlenmesi ve ona yalnızca gerekli izinlerin verildiğinden emin olunması anlamına gelir.
2. Bu uygulamaların içinde ve arasında akan veriler nelerdir?
Günün sonunda, iş bilgileri, Pii veya kod olsun, her şey kritik şirket verilerini korumakla ilgilidir. Verilerin birçok formatı vardır ve birçok farklı şekilde akar. SaaS’ın tüm iş birimlerinde ve ekiplerde ve kuruluştaki herkes tarafından benzersiz şekilde kullanılması, güvenli veri paylaşımı için tasarlanmamış SaaS uygulamaları kullanılarak veri paylaşımı riski oluşturur. Ayrıca SaaS uygulamaları arasında verilerin paylaşılması riskini de beraberinde getirir. Günümüzde, birçok SaaS uygulaması birbirine bağlıdır ve birinin eklenmesi, diğerlerinin bir alt kümesine erişim sağlayabilir. Dev bir karşılıklı bağlantı ve veri paylaşımı ağıdır.
Temel bilgilerle başlayın – SaaS katmanınızı tanıyın
SaaS güvenliği bunaltıcı olabilir. Sürekli gelişen yeni, sağlam bir sınırdır. Ayrıca, güvenlik ekiplerinin yüzleşmesi gereken uzun bir risk listesindeki başka bir risktir. SaaS güvenliğini çözmenin anahtarı, hangi uygulamaların kullanıldığını bilmektir. Bu temel ilk adım, SaaS gölge BT sorununa ışık tutar ve güvenlik ekiplerinin SaaS güvenlik risklerinin aciliyetini ve büyüklüğünü doğru bir şekilde değerlendirmesine olanak tanır. Kullanımdaki SaaS’ın miktarını ve yapısını kesin olarak bilmek karmaşık veya pahalı olmamalıdır. Bunu çözebilecek birçok araç var ve şunları yapabilirsiniz: Wing’i deneyin. güvenliğin ücretsiz çözümü neyle karşı karşıya olduğun hakkında bir fikir edinmek için.