Geçtiğimiz birkaç yılda SaaS, kurumsal BT’nin omurgası haline geldi. Tıbbi uygulamalar, hukuk firmaları ve finansal hizmet firmaları gibi hizmet işletmelerinin neredeyse tamamı SaaS tabanlıdır. Üreticiler ve perakendeciler de dahil olmak üzere hizmet dışı işletmelerin yazılımlarının yaklaşık %70’i bulutta bulunmaktadır.
Bu uygulamalar, minimum düzeyde hassas genel kurumsal bilgilerden son derece hassas fikri mülkiyet haklarına, müşteri kayıtlarına ve çalışan verilerine kadar zengin bir veri içerir. Tehdit aktörleri bu değişimi fark etti ve verilere erişmek amacıyla uygulamaları ihlal etmek için aktif olarak çalışıyor.
İşte 2024 için SaaS Güvenliğinin durumunu etkileyen en önemli trendler ve bu konuda yapabilecekleriniz.
SaaS’ın demokratikleşmesi
SaaS uygulamaları kuruluşların yazılım satın alma ve kullanma şeklini değiştirdi. İş birimleri, ihtiyaçlarına en uygun SaaS araçlarını satın alır ve benimser. Bu, uzun süredir yazılım tedarik etme ve kullanıma sunmadaki gecikmeler nedeniyle hüsrana uğrayan iş birimleri için güçlendirici olsa da kuruluşların verileri koruma yöntemlerini yeniden düşünmelerini gerektiriyor.
Güvenlik ekipleri şirket verilerinin güvenliğini sağlamanın yeni yollarını geliştirmek zorunda kalıyor. Bir uygulamaya erişim ve görünürlükten yoksun olduklarından, SaaS uygulamalarını kullanan bir iş birimine danışmanlık yapma rolüne yerleştirilirler. İşleri daha da karmaşık hale getirmek için, her SaaS uygulamasının farklı ayarları vardır ve güvenlik özelliklerini açıklamak için farklı terminoloji kullanır. Güvenlik ekipleri, uygulamalar arasındaki farklar nedeniyle herkese uygun tek bir kılavuz belge oluşturamıyor.
Güvenlik ekipleri iş birimleriyle işbirliği yapmanın yeni yollarını bulmalıdır. Her uygulama ayarı için görünürlük ve rehberlik sunan bir araca ihtiyaç duyuyorlar; böylece kendilerinin ve iş biriminin, yaptıkları yapılandırma seçimlerinin içerdiği riskleri ve sonuçları anlayabilirler.
ITDR Kritik Bir Güvenlik Ağı Oluşturuyor
Bir tehdit aktörü yüksek ayrıcalıklı bir hesaba erişim kazanırsa uygulama içinde sınırsız erişim elde eder. Kuruluşlar artık kimliğin, SaaS uygulamalarının fiili çerçevesi olduğunu anlıyor.
Tehdit aktörleri yetkili bir kullanıcı hesabını devraldıklarında, uygulamada istedikleri verilere doğru ilerlerken genellikle ortak taktikleri, teknikleri ve prosedürleri (TTP) izlerler. Uygulamada veya günlüklerde gerçekleştirilen eylemlere dayalı olabilecek güvenlik ihlali göstergelerini (IoC) geride bırakırlar.
Yeni yıla girerken daha fazla kuruluşun Kimlik Tehdidi Tespiti ve Yanıtı (ITDR) yaklaşımını benimsediğini göreceğiz. ITDR bu endişeyi hafifletiyor. Kimlik Güvenliği Duruş Yönetiminin önemli bir bileşeni olan ITDR yetenekleri, TTP’leri ve IoC’leri algılayabilir ve ardından olay müdahale ekibine bir uyarı gönderebilir. ITDR aracılığıyla kimlik sınırlarını aşmayı başaran tehdit aktörleri, kritik verileri çalmadan veya uygulamaya fidye yazılımı eklemeden önce durdurulabiliyor.
ITDR’nin bu SaaS Güvenlik trendlerini bugün ele almanıza nasıl yardımcı olabileceğini öğrenin
Sınır Ötesi Uyumluluk Daha Fazla Kiracının Güvence Altına Alınması Anlamına Geliyor
Küresel şirketler, bir ülkeden diğerine giderek farklı düzenleme gereklilikleriyle karşı karşıya kalıyor. Sonuç olarak, verileri farklı düzenlemelere uygun olarak segmentlere ayırma çabasının bir parçası olarak 2024 yılında coğrafi bölgeye özgü kiracıların sayısında bir artış görülecek.
Çoğu SaaS uygulama fiyatlandırmasının kiracılar yerine abonelere dayalı olması nedeniyle bu değişikliğin yazılım maliyetleri üzerinde sınırlı bir etkisi olacaktır. Ancak bunun güvenlik üzerinde önemli bir etkisi olacaktır. Her kiracının bağımsız olarak yapılandırılması gerekecektir ve uygulamanın bir örneğinin güvenli olması tüm kiracıların güvenli olduğu anlamına gelmez.
Tüm bu kiracıların güvenliğini sağlamak için güvenlik ekipleri, her ek kiracı için ekstra ücret ödemeden uygulama kıyaslamalarını belirlemelerine, kiracıları karşılaştırmalarına ve güvenlik ayarlarını yan yana görüntülemelerine olanak tanıyan bir güvenlik çözümü aramalıdır. Şirketler, kuruluş genelinde en iyi uygulamaları uygulayarak tüm kiracılarını güvende tutabilir.
 |
| Şekil 1: Adaptive Shield’ın tüm Salesforce kiracılarını izleme ve sunma platformu |
Yanlış Yapılandırılan Ayarlar Yeni Açıklara Yol Açıyor
ServiceNow’daki varsayılan yanlış yapılandırma, Ekim ayında yaygın paniğe yol açtı. Uygulamanın Erişim Kontrol Listelerinin bir parçası olan ayar, yetkisiz kullanıcıların kayıtlardan veri çıkarmasına olanak tanıyordu. Yanlış yapılandırma binlerce şirketi etkiledi. Mayıs ayında Salesforce Topluluğu’nda yaşanan benzer bir yanlış yapılandırma da önemli sayıda şirketi etkilemiş ve veri ihlallerine yol açmıştı.
Bu gibi yanlış yapılandırmaların şirketlere büyük zarar verme potansiyeli vardır. Şirketler ile paydaşları arasındaki güveni sarsacak veri sızıntılarına yol açıyor ve sızdırılan verinin niteliğine bağlı olarak ağır cezalara dönüşme potansiyeli taşıyor.
Yanlış yapılandırmaları güvence altına almak, bir kuruluşun bu istismarların operasyonlarını etkilemesini ve kârlılıklarına zarar vermesini önlemek için en iyi şansıdır.
Üçüncü Taraf Uygulamalara Artan Güven, SaaS Riskini Artırıyor
Üçüncü taraf uygulamalar son kullanıcılar için gerçek değer katar. Süreçleri iyileştirir, işlevselliği genişletir ve verileri birden fazla uygulama arasında bağlarlar. Kullanıcılar bu SaaS uygulamalarına tek bir tıklamayla bağlanır ve anında iş akışlarını iyileştirmeye başlar.
Mart 2023’te Adaptive Shield bir yayınladı rapor 10.000-20.000 kullanıcıyla Google Workplace’i kullanan kuruluşların yalnızca Google Workplace’e ortalama 13.913 üçüncü taraf uygulamasının bağlandığını gösteriyor. Bunların %89’u gibi şaşırtıcı bir oran, yüksek veya orta riskli izinler talep etti. Bu yüksek riskli uygulamaların çoğu bir kez kullanılıp unutuluyor veya az sayıda çalışan tarafından kullanılıyor. Ancak, bu hareketsiz veya az kullanılan uygulamalar bile önemli izinlere sahiptir ve bir SaaS uygulamasının güvenliğini ihlal etmek veya ihlal etmek için kullanılabilir.
Daha fazla uygulama geliştirildikçe ve çalışanlar üçüncü taraf uygulamalarını kendi yığınlarına entegre ederken güvenlik ekiplerine danışmak yerine kendi kararlarını kullandıkça, üçüncü taraf uygulamaların kullanımı da artıyor. Güvenlik ekipleri, tüm entegre uygulamalarına yönelik görünürlük geliştirmeli ve talep edilen izinler, uygulamanın kuruluşa sağladığı değer ve oluşturduğu riskler hakkında bilgi sahibi olmalıdır.
 |
| Şekil 2: Adaptive Shield platformu, entegre üçüncü taraf uygulamalarını, bunların risk puanlarını ve verilen kapsamları gösterir |
Evden Çalışmak Hiçbir Yere Gitmediği İçin Güvenceye Alınacak Birden Fazla Cihaz
2023 yılında tüm çalışanların yaklaşık %40’ı en azından zamanın bir kısmında evden çalışıyordu. WFHResearch’e göre çalışanların yaklaşık %12’si yalnızca evlerinde çalışırken, diğer %28’i ise hibrit rollere sahip.
Bu rakamlar, kullanıcıların iş hesaplarına kişisel cihazlardan giriş yapmasından endişe duyan güvenlik personelinin kafasını karıştırmalıdır. Güvenlik ekiplerinin en büyük endişelerinden biri, yüksek ayrıcalıklara sahip kullanıcıların, yönetilmeyen veya güvenli olmayan bir cihaz kullanarak hesaplarına giriş yapmasıdır. Bu cihazlar kritik güvenlik açıklarına sahip olabilir ve yeni bir saldırı vektörü oluşturabilir. Pek çok ekip için SaaS uygulamasına erişmek için hangi cihazların kullanıldığını söylemenin veya bu cihazların güvenli olup olmadığını görmenin neredeyse hiçbir yolu yoktur.
Kuruluşlar SaaS Güvenliğini Sağlamak İçin SSPM’ye Dönüyor
Tüm bu eğilimler, SaaS güvenliğiyle ilgili meşru endişelere işaret etse de, SaaS Güvenlik Duruşu Yönetimi (SSPM) araçları, Adaptive Shield gibi ITDR yetenekleriyle birleştiğinde, SaaS yığınını tamamen güvence altına alabilir. SSPM’ler, bir uygulamanın duruşunu zayıflatan yapılandırma sapmalarını arayarak yapılandırmaları otomatik olarak izlemek üzere tasarlanmıştır. SaaS Güvenlik Araştırmasında, 2024 Planları ve Öncelikleri Cloud Security Association ve Adaptive Shield tarafından yapılan araştırmaya göre katılımcıların %71’i, şirketlerinin geçtiğimiz yıl SaaS güvenlik araçlarına yatırımlarını artırdığını ve %80’i ya SSPM’ye dava açtığını ya da önümüzdeki 18 ay içinde bir yatırım yapmayı planladığını söyledi.
SSPM’ler, aynı uygulamanın birden fazla kiracısı için temel oluşturma araçları sağlayabilir ve kullanıcıların en iyi uygulamaları oluşturmasına, farklı örneklerden ayarları karşılaştırmasına ve SaaS yığınının genel duruşunu iyileştirmesine olanak tanır.
SSPM’ler ayrıca üçüncü taraf uygulamaları tespit edip izliyor, entegre uygulamaları çok fazla erişim talep ediyorsa kullanıcıları uyarıyor ve entegre uygulamalar uykuda olduğunda güvenlik ekibini güncelliyor. Kurumsal SaaS uygulamalarında yönetilmeyen veya güvenli olmayan cihazların kullanımını önlemek için kullanıcıları izler ve uygulamalara erişmek için kullanılan cihazları izler. Ayrıca yerleşik iletişim araçları, iş birimlerinin, uygulamalarının güvenliğinin sağlanmasında güvenlik personeliyle işbirliği yapmasını kolaylaştırır.
SaaS uygulamalarının popülaritesi iyi bir sebepten dolayı arttı. Kuruluşların gerektiği gibi ölçeklenmesine, o anda ihtiyaç duydukları uygulamalara abone olmalarına ve bazı BT yatırımlarını sınırlamalarına olanak tanır. SSPM ile bu uygulamaların güvenliği de sağlanabilir.
