SEC, SaaS’a ücretsiz geçiş hakkı vermiyor. “Kayıt yaptıranlar” olarak bilinen ilgili kamu şirketleri, artık SaaS sistemlerinde depolanan veriler ve bunlara bağlı 3. ve 4. taraf uygulamalar için siber olay açıklaması ve siber güvenliğe hazırlık gerekliliklerine tabidir.
Yeni siber güvenlik zorunlulukları Şirket içinde, bulutta veya SaaS ortamlarında depolanan ve bir ihlal nedeniyle açığa çıkan veriler arasında hiçbir ayrım yapmayın. SEC’in kendi sözleriyle: “Makul bir yatırımcının, yalnızca veriler bir bulut hizmetinde barındırıldığı için önemli bir veri ihlalini önemsiz olarak göreceğine inanmıyoruz.”
Bu gelişen yaklaşım, SaaS güvenlik eksikliklerinin sürekli olarak manşetlere çıkması ve teknoloji liderlerinin tartışması nedeniyle ortaya çıkıyor SEC siber güvenliği nasıl değiştirebilir? Hem SolarWinds’i hem de CISO’sunu dolandırıcılıkla suçladıktan sonra.
SaaS ve SaaS’tan SaaS’a Bağlantı Riskleri SEC ve Kuruluşunuz İçin Neden Önemli?
SaaS güvenliğinin algısı ve gerçekliği çoğu durumda birbirinden kilometrelerce uzaktadır. SaaS güvenlik lideri AppOmni’nin SaaS Güvenlik Durumu raporu kuruluşların %71’inin SaaS siber güvenlik olgunluklarını orta ila yüksek olarak derecelendirdiğini, ancak %79’unun son 12 ay içinde bir SaaS siber güvenlik olayı yaşadığını gösterdi.
SEC, SaaS güvenliğinin de eksik olduğunu düşünüyor ve yeni yaklaşımı için “siber güvenlik olaylarının yaygınlığında önemli bir artış” olduğunu öne sürüyor. Bu endişeler elbette SaaS’a güvenen az sayıdaki kayıt yaptıranlarla sınırlı değildir. Statista, 2022 yılı sonu itibarıyla ortalama küresel organizasyonun 130 SaaS uygulamasını kullandığını bildiriyor.
Veri sızıntısı riski, SaaS’ın her yerde bulunması ve güvenlik açığıyla sınırlı değildir. SaaS platformlarından daha fazla değer elde etmek için, kuruluşlar rutin olarak SaaS’tan SaaS’a bağlantılar kurar (3. taraf uygulamaları SaaS sistemlerine bağlamak), bu bağlantılar ister BT tarafından onaylansın, isterse gizli bir şekilde entegre edilmiş olsun. gölge BT. Çalışanlar yapay zeka çözümlerini SaaS uygulamalarına giderek daha fazla bağladıkça, CISO’ların denetlediği dijital ekosistemler daha fazla birbirine bağlı ve belirsiz hale geliyor.
Güvenlik Ekibiniz 3. Taraf Uygulamaları İzleyebilir mi? Takımların %60’ı Yapamıyor
Güvenlik ekipleri bu konunun ele alındığını düşünüyor ancak veriler kendi adına konuşuyor: Kuruluşların %79’u SaaS ihlallerine maruz kaldı. AppOmni raporu, SaaS güvenliğindeki şaşırtıcı gizli çatlakları ortaya çıkarıyor. Savunmasız olup olmadığınızı görmek için şimdi indirin.
Karmaşık SaaS’tan SaaS’a bağlantılar geliştikçe yönetim zorlukları ve siber güvenlik riskleri katlanarak artıyor. Bu bağlantılar genellikle organizasyonel üretkenliği artırırken, SaaS’tan SaaS’a uygulamalar birçok gizli riski de beraberinde getirir. CircleCI’nin ihlaliörneğin, sektör lideri CI/CD aracıyla SaaS’tan SaaS’a bağlantıları olan sayısız işletmenin riske atılması anlamına geliyordu. Aynı durum, yakın zamanda siber olaylara maruz kalan Qlik Sense, Okta, LastPass ve benzeri SaaS araçlarına bağlı kuruluşlar için de geçerlidir.
SaaS’tan SaaS’a bağlantılar güvenlik duvarının dışında mevcut olduğundan, Bulut Erişimi Güvenlik Aracıları (CASB’ler) veya Güvenli Web Ağ Geçitleri (SWG’ler) gibi geleneksel tarama ve izleme araçları tarafından tespit edilemezler. Bu görünürlük eksikliğinin yanı sıra, bağımsız satıcılar sıklıkla SaaS çözümlerini piyasaya sürüyorlar. Tehdit aktörlerinin OAuth token ele geçirme yoluyla tehlikeye atabileceği güvenlik açıkları, bir kuruluşun en hassas verilerine gizli yollar oluşturarak. AppOmni bunu bildiriyor çoğu kuruluşta 256 benzersiz SaaS’tan SaaS’a bağlantı kuruludur tek bir SaaS örneğinde.
Yatırımcıları ve piyasayı etkileyebilecek verilere artık genişleyen dijital kanallar ağı üzerinden erişilebilir ve hacklenebilir.
“Veriyi Takip Et” Yeni “Parayı Takip Et”
SEC, yatırımcıları korumak ve “adil, düzenli ve verimli pazarları” sürdürmekle görevli olduğundan, kayıt sahiplerinin SaaS ve SaaS’tan SaaS’a bağlantılarını düzenlemek, ajansın yetki alanına giriyor. Siber güvenlik kuralları duyurusunda SEC başkanı, “Bir şirketin bir yangında fabrikasını kaybetmesi veya bir siber güvenlik olayında milyonlarca dosyayı kaybetmesi yatırımcılar için önemli olabilir” dedi.
İhlallerin kapsamı ve sıklığı, SEC’in siber risk alanındaki düzenleyici genişlemesinin temelini oluşturuyor. SaaS ihlalleri ve olayları düzenli aralıklarla meydana geliyor halka açık şirketler genelinde ve AppOmni 2022’den 2023’e kadar saldırılarda %25’lik bir artış gözlemledi. IBM şunu hesaplıyor: Veri ihlalinin maliyeti tüm zamanların en yüksek seviyesi olan 4,45 milyon dolara ulaştı 2023’te.
Açıklama gereklilikleri medyanın en fazla ilgisini çekse de, yeni SEC düzenlemeleri aynı zamanda önleme tedbirlerini de belirtiyor. CISO’lar, “siber güvenlik tehditlerinden kaynaklanan maddi risklerin değerlendirilmesi, tanımlanması ve yönetilmesi” ile yönetim kurulunun ve yönetimin siber güvenlik riski ve tehdit gözetimindeki rolünü paylaşmaya yönelik süreçlerini tanımlamalıdır.
Onları sevin ya da nefret edin, bu kurallar SaaS müşterilerini daha iyi siber güvenlik hijyeni benimsemeye zorluyor. Olan biteni ve kuruluşunuzun bu konuda ne yaptığını ve yapmakta olduğunu mümkün olduğunca doğrudan ve samimi bir şekilde açıklamak, yatırımcıların güvenini artırır, mevzuata uygunluğu sağlar ve proaktif bir siber güvenlik kültürünü teşvik eder.
SaaS’ta en iyi saldırı aşılmaz bir savunmadır. Hassas verilerinize erişimi olan her SaaS sisteminin ve SaaS’tan SaaS’a bağlantının riskinin değerlendirilmesi ve yönetilmesi yalnızca zorunlu değildir, aynı zamanda veri ihlallerinden kaçınmak ve etkilerini en aza indirmek için de gereklidir.
SaaS Sistemlerinizi ve SaaS’tan SaaS’a Bağlantılarınızı Nasıl Korur ve İzlersiniz?
SaaS güvenlik riskini ve duruşunu manuel olarak değerlendirmenin yükü, SaaS güvenlik duruşu yönetimi (SSPM) aracı. SSPM ile tüm SaaS uygulamalarındaki yapılandırmaları ve izinleri izleyebilir, ayrıca bağlı yapay zeka araçları da dahil olmak üzere SaaS’tan SaaS’a bağlantıların izinlerini ve erişimini anlayabilirsiniz.
Kayıt yaptıranların, etkili risk yönetimi için SaaS’tan SaaS’a tüm bağlantılara ilişkin kapsamlı bir anlayışa sahip olmaları gerekir. Bu, tüm bağlantıların ve bunları kullanan çalışanların bir envanterini, bu bağlantıların temas ettiği verileri ve bu 3. taraf araçlara verilen SaaS sistemlerine yönelik izin düzeylerini içermelidir. SSPM, SaaS’tan SaaS’a güvenliğin tüm bu yönlerini değerlendirir.
SSPM ayrıca, duruşun kontrol altında kalmasını sağlamak için güvenlik ve BT ekiplerini yapılandırma ve izin sapmaları konusunda uyaracaktır. Ayrıca olağandışı bir IP adresinden veya coğrafi konumdan kaynaklanan kimlik ihlali girişimi gibi şüpheli etkinlikleri de algılayacak ve uyarı verecektir.
CISO’lar ve ekipleri, veri ihlali riskini azaltacak uygun duruş ve tehdit tespit araçları olmadan hazırlık gereksinimlerini karşılamakta zorluk yaşayabilir. SSPM, şirketlerin dört günlük süre içinde kapsamlı ve gerçeklere dayalı açıklamalar hazırlamasına yardımcı olmak için etkinlik günlüklerini merkezileştirir ve normalleştirir.
SEC’in bu yeni kuralları nasıl uygulayacağını yalnızca zaman gösterecek. Ancak bu düzenlemeler yarın ortadan kalksa bile SaaS güvenliğinin artırılması, veri piyasalarının ve yatırımcıların güvendiği verilerin korunması açısından hayati önem taşıyor.