İşbirliği, SaaS uygulamaları için güçlü bir satış noktasıdır. Microsoft, Github, Miro ve diğerleri, yazılım uygulamalarının, kullanıcıların daha fazlasını yapmasına olanak tanıyan işbirliğine dayalı doğasını desteklemektedir.
Dosyalara, depolara ve panolara bağlantılar herkesle, her yerde paylaşılabilir. Bu, bölgelere ve departmanlara dağılmış çalışanlar arasındaki işbirliğini teşvik ederek daha güçlü kampanyalar ve projeler oluşturmaya yardımcı olan ekip çalışmasını teşvik eder.
Aynı zamanda veri SaaS platformlarının açıklığı da sorunlu olabiliyor. A 2023 anketi Cloud Security Alliance ve Adaptive Shield tarafından yapılan bir araştırma, son iki yıldaki güvenlik olaylarının %58’inin veri sızıntısından kaynaklandığını tespit etti. Açıkçası paylaşım iyidir ancak veri paylaşımının kontrol altına alınması gerekir. Çoğu SaaS uygulamasının paylaşımı kontrol edecek mekanizmaları vardır. Bu araçlar, şirket kaynaklarının halka açık web’de görüntülenmeye açık olmamasını sağlamada oldukça etkilidir. Bu makalede üç yaygın veri sızıntısı senaryosu incelenecek ve güvenli paylaşım için en iyi uygulamalar önerilecektir.
Nasıl yapılacağını öğreninSaaS’ınızdan herkese açık olarak paylaşılan dosyalar
Özel Kodun Herkese Açık Hale Getirilmesi
GitHub depolarının veri sızıntısı konusunda uzun bir geçmişi var. Bu veri sızıntıları genellikle geliştiricinin yanlışlıkla özel depoları açığa çıkardığı veya bir yöneticinin işbirliğini kolaylaştırmak için izinleri değiştirdiği kullanıcı hatasından kaynaklanır.
GitHub sızıntıları, platformunun özel kodu ve dahili araçları internete sızan X (eski adıyla Twitter) dahil olmak üzere büyük markaları etkiledi. GitHub sızıntıları genellikle OAuth belirteçleri, API anahtarları, kullanıcı adları ve parolalar, şifreleme anahtarları ve güvenlik sertifikaları dahil olmak üzere hassas sırları açığa çıkarır.
Özel kod ve şirket sırları sızdırıldığında iş sürekliliği riske girebilir. GitHub depolarındaki kodun güvenliğini sağlamak en önemli öncelik olmalıdır.
Herkese Açık Takvimlerin Şaşırtıcı Riskleri
Görünüşte, herkese açık olarak paylaşılan takvimler çok fazla güvenlik riski oluşturmayabilir. Takvimler hassas verilerle tanınmaz. Gerçekte, kuruluşların siber suçluların eline geçmesini istemeyeceği bir bilgi hazinesi içerirler.
Takvimler, video konferans bağlantıları ve parolaları içeren toplantı davetlerini içerir. Bu bilgilerin halka açık tutulması, toplantınıza istenmeyen veya kötü niyetli katılımcıların gelmesine neden olabilir. Takvimler aynı zamanda gündemleri, sunumları ve diğer hassas materyalleri de içerir.
Takvimlerdeki bilgiler kimlik avı veya sosyal mühendislik saldırılarında da kullanılabilir. Örneğin, Alice’in takvimine erişimi olan bir tehdit aktörü, Bob’la saat 3’te bir görüşme yaptığını görürse, tehdit aktörü, Alice’in asistanı gibi görünerek Bob’u arayabilir ve Bob’un toplantıdan önce bazı hassas bilgileri e-postayla göndermesini talep edebilir.
Dış Hizmet Sağlayıcılarla İşbirliği Yapmak
SaaS uygulamaları ajanslar ve diğer hizmet sağlayıcılarla çalışmayı kolaylaştırsa da bu işbirlikleri genellikle projeye kısa süreliğine gelen üyeleri içerir. Yönetilmediği sürece, paylaşılan belgeler ve işbirliği panoları proje üzerinde çalışan herkesin materyallere her zaman erişmesini sağlar.
Proje sahipleri sıklıkla ajans için bir kullanıcı adı oluşturacak veya anahtar dosyalarını bağlantıya sahip olan herkesle paylaşacaktır. Bu, yönetimi basitleştirir ve lisanslar açısından tasarruf sağlayabilir. Ancak proje sahibi, materyallere kimlerin erişebileceği ve üzerinde çalışabileceği konusundaki kontrolü devretmiştir.
Dış ekipteki herkesin yalnızca özel proje dosyalarına erişimi olmakla kalmaz, aynı zamanda kullanıcı adını ve şifreyi hatırlamaları halinde şirketten ayrıldıktan sonra da bu erişimi sıklıkla korurlar. Kaynaklar, bağlantıya sahip herhangi bir kişiyle paylaşıldığında, bağlantıyı kişisel e-posta hesaplarına kolayca iletebilir ve dosyalara istedikleri zaman erişebilirler.
 |
| Şekil 1: Dokümanları paylaşan çalışan şirketten ayrıldıktan sonra bile kullanıcılar paylaşılan Google Dokümanlarına erişime devam ediyor |
Hangi yapılandırmaların verilerinizi herkese açık hale getirdiğini keşfedin.
Güvenli Dosya Paylaşımı için En İyi Uygulamalar
Kaynakların paylaşımı iş operasyonlarının önemli bir yönüdür. SaaS Güvenlik firması Adaptive Shield, şirketlerin harici kullanıcılarla dosya paylaşırken bu en iyi uygulamaları takip etmesini öneriyor.
- Dosyaları her zaman bireysel kullanıcılarla paylaşın ve bir tür kimlik doğrulaması isteyin.
- Asla “bağlantıya sahip olan herkes” aracılığıyla paylaşımda bulunmayın. Mümkün olduğunda yönetici bu özelliği devre dışı bırakmalıdır.
- Uygulamalar izin verdiğinde paylaşılan dosyaya bir son kullanma tarihi ekleyin.
- Dosya paylaşım davetlerine bir son kullanma tarihi ekleyin.
- Artık kullanılmayan herhangi bir genel belgenin paylaşım izinlerini kaldırın.
Ek olarak kuruluşlar, herkese açık olarak paylaşılan kaynakları tespit edebilecek ve bunları düzeltme için işaretleyebilecek bir SaaS güvenlik aracı aramalıdır. Bu yetenek, şirketlerin halka açık olarak paylaşılan dosyalarla ilgili aldıkları riski anlamalarına yardımcı olacak ve onları risk altındaki dosyaların güvenliğini sağlamaya yönlendirecek.
Nasıl olduğunu öğrenin Kaynak Envanteri kamuya açık tüm kaynakları tanımlayabilir.
