Herkes bir casus filmindeki çift taraflı ajan olay örgüsünü sever, ancak şirket verilerinin güvenliğini sağlama söz konusu olduğunda durum farklıdır. İster kasıtlı ister kasıtsız olsun, içeriden gelen tehditler meşru bir endişe kaynağıdır. CSA araştırmasıSaaS güvenlik olayı bildiren şirketlerin %26’sı içeriden biri tarafından saldırıya uğradı.
Birçok kişi için zorluk, bu tehditleri tam ihlallere yol açmadan önce tespit etmektir. Birçok güvenlik uzmanı, geçerli kimlik bilgileriyle bir şirket MFA yöntemi kullanarak oturum açan meşru bir yönetilen kullanıcıdan kendilerini korumak için yapabilecekleri hiçbir şey olmadığını varsayar. İçeridekiler normal iş saatleri içinde oturum açabilir ve uygulama içinde erişimlerini kolayca haklı çıkarabilir.
Hikayenin dönüm noktası: Doğru araçlar yerinde olduğunda, işletmeler olabilmek Kendilerini içerideki (ve dışarıdaki) düşmanlardan korumak.
Tüm SaaS yığınınızı hem iç hem de dış tehditlere karşı nasıl güvence altına alacağınızı öğrenin
ITDR ile Kimlik Merkezli Tehditleri Bastırmak
SaaS güvenliğinde Kimlik Tehdit Algılama ve Yanıtlama (BTDR) platformu, bir uygulamanın tehlikeye atıldığını gösteren davranışsal ipuçlarını arar. Bir SaaS uygulamasındaki her olay, uygulamanın olay günlükleri tarafından yakalanır. Bu günlükler izlenir ve şüpheli bir şey gerçekleştiğinde, Tehlike Göstergesi (IOC) adı verilen bir kırmızı bayrak kaldırır.
Dışarıdan gelen tehditlerde, bu IOC’lerin çoğu oturum açma yöntemleri ve cihazlarıyla ve erişim sağladıktan sonraki kullanıcı davranışlarıyla ilgilidir. İçeriden gelen tehditlerde, IOC’ler öncelikle davranışsal anomalilerdir. IOC’ler önceden belirlenmiş bir eşiğe ulaştığında, sistem uygulamanın tehdit altında olduğunu anlar.
Çoğu ITDR çözümü öncelikle uç nokta ve şirket içi Active Directory korumasını ele alır. Ancak, uygulamada derin uzmanlık gerektiren ve yalnızca birden fazla kaynaktan gelen şüpheli olayların çapraz referanslanması ve analiz edilmesiyle elde edilebilen SaaS tehditlerini ele almak üzere tasarlanmamıştır.
SaaS Dünyasında İçeriden Gelen Tehditlere Örnekler
- Veri Hırsızlığı veya Veri Sızdırılması: Özellikle kişisel e-posta adreslerine veya üçüncü taraflara gönderildiğinde, verilerin veya bağlantıların aşırı indirilmesi veya paylaşılması. Bu, bir çalışan işten çıkarıldıktan sonra ve bilgilerin bir sonraki görevinde yararlı olabileceğine inandığında veya çalışan çok mutsuzsa ve kötü niyetliyse meydana gelebilir. Çalınan veriler, fikri mülkiyet, müşteri bilgileri veya tescilli iş süreçlerini içerebilir.
- Veri Manipülasyonu: SaaS uygulamasındaki kritik verilerin silinmesi veya değiştirilmesi, potansiyel olarak finansal kayba, itibar kaybına veya operasyonel kesintiye neden olabilir.
- Kimlik Bilgilerinin Kötüye Kullanımı: Oturum açma kimlik bilgilerinin yetkisiz kullanıcılarla, isteyerek veya istemeden paylaşılması ve SaaS uygulamasının hassas alanlarına erişim sağlanması.
- Ayrıcalık İstismarı: Ayrıcalıklı bir kullanıcı, erişim haklarından yararlanarak yapılandırmaları değiştirebilir, güvenlik önlemlerini aşabilir veya kısıtlı verilere kişisel çıkar veya kötü niyetle erişebilir.
- Üçüncü Taraf Satıcı Riskleri: SaaS uygulamasına meşru erişimi olan yükleniciler veya üçüncü taraf satıcılar, erişimlerini kötüye kullanırlar.
- Gölge Uygulamalar: İçeridekiler, SaaS ortamına yetkisiz yazılım veya eklentiler yükleyerek potansiyel olarak güvenlik açıkları veya kötü amaçlı yazılımlar sunar. Bu kasıtlı değildir ancak yine de bir içeriden biri tarafından sunulur.
Bu IOC’lerin her biri tek başına bir içeriden tehdit olduğunu göstermez. Her eylemi haklı çıkarabilecek meşru operasyonel nedenler olabilir. Ancak, IOC’ler biriktikçe ve önceden tanımlanmış bir eşiğe ulaştıkça, güvenlik ekipleri kullanıcının bu eylemleri neden gerçekleştirdiğini anlamak için kullanıcıyı araştırmalıdır.
ITDR’nin SSPM ile nasıl birlikte çalıştığına daha yakından bakın
ITDR ve SSPM İçeriden Gelen Tehditleri Önlemek ve Algılamak İçin Nasıl Birlikte Çalışıyor?
İçeriden kaynaklanan tehditlere karşı mücadelede en önemli yaklaşımlardan biri de En Az Ayrıcalık İlkesi’dir (PoLP), çünkü çalışanların çoğu genellikle gerekenden daha fazla erişime sahiptir.
SaaS Güvenlik Duruş Yönetimi (SSPM) ve ITDR kapsamlı bir SaaS güvenlik programının iki parçasıdır. SSPM önlemeye odaklanırken, ITDR tespit ve yanıta odaklanır. SSPM güçlü bir Kimlik Öncelikli Güvenlik stratejisini uygulamak, belgelerdeki paylaşım ayarlarını izleyerek veri kaybını önlemek, kullanıcılar tarafından kullanılan gölge uygulamaları tespit etmek ve içeriden gelen tehditleri tespit etmek için tasarlanmış standartlara uyumu izlemek için kullanılır. Etkili ITDR’ler güvenlik ekiplerinin şüpheli faaliyetlerde bulunan kullanıcıları izlemesini sağlayarak, içeriden gelen tehditleri önemli bir zarara yol açmadan önce durdurmalarını sağlar.
15 dakikalık bir demo alın ve ITDR ve farklı kullanım durumları hakkında daha fazla bilgi edinin
Not: