SaaS yığınlarını güvenli tutmak söz konusu olduğunda, BT ve güvenlik ekiplerinin, SaaS yığınlarını tehditlerden en iyi şekilde korumak için yanlış yapılandırmaların algılanmasını ve düzeltilmesini kolaylaştırabilmesi gerekir. Bununla birlikte, şirketler giderek daha fazla uygulamayı benimserken, SaaS güvenlik araçları ve personelindeki artış, 2022 SaaS Güvenlik Anketi Raporu.
Adaptive Shield tarafından Cloud Security Alliance (CSA) ile birlikte tamamlanan anket raporu, günümüzde CISO’ların büyüyen SaaS uygulaması saldırı yüzeyini nasıl yönettiğini ve kuruluşlarını güvence altına almak için attıkları adımları inceliyor.
Rapor, kuruluşların en az %43’ünün bir SaaS yanlış yapılandırmasının bir sonucu olarak bir güvenlik olayı yaşadığını; ancak, diğer %20’lik “emin değilim” ile gerçek sayı şu şekilde olabilir: %63 kadar yüksek. Bu rakamlar, bir IaaS yanlış yapılandırması nedeniyle güvenlik olayları yaşayan kuruluşların %17’si ile karşılaştırıldığında özellikle dikkat çekicidir.
Bunu akılda tutarak, soru şu: ne kadar hızlı vardır SaaS yanlış yapılandırmaları algılandı ve sorunun düzeltilmesi ne kadar sürüyor? Bu soruları yanıtlamak için, bir SSPM çözümü uygulayan ve uygulamayan kuruluşlar arasında bir ayrım yapmak önemlidir.
Manuel Algılama ve Düzeltme
Henüz bir SSPM’ye katılmamış kuruluşlar için, BT ve güvenlik ekipleri, SaaS yığınlarının güvenliğini sağlamak için uygulamaların birçok yapılandırmasını yalnızca manuel olarak kontrol edebilir. Bu, güvenlik ekiplerinin yalnızca yanlış yapılandırmaları düzeltmekle kalmayıp, aynı zamanda bu yanlış yapılandırmalardan herhangi birini manuel olarak tespit etmek için düzenli güvenlik kontrolleri yapması gerektiği anlamına gelir. Bu eylemlerden herhangi birinin tamamlanması ne kadar uzun sürerse, şirket tehditlere o kadar uzun süre maruz kalır.
SaaS güvenlik algılamasını ve iyileştirmesini nasıl hızlı takip edeceğinizi öğrenin >>>
Kuruluşların güvenlik ekipleri için en büyük sorunlardan biri, ezici miktarda manuel çalışmadır. Günümüzde şirketler, her biri yüzlerce konfigürasyona sahip, daha sonra yüz binlerce çalışana göre ayarlanması gereken düzinelerce iş açısından kritik öneme sahip düzinelerce uygulamaya güveniyor.
Şekil 2’de görüldüğü gibi ankete katılanların yaklaşık yarısı (%46) SaaS güvenliklerini ayda bir veya daha az sıklıkta kontrol ediyor ve diğer %5’i ise hiç kontrol etmiyor. Görünüşe göre güvenlik ekipleri iş yükünden bunalmış durumda ve tüm ayarların ve izinlerin üstesinden gelmek için mücadele ediyor. Kuruluşlar giderek daha fazla uygulamayı benimsemeye devam ettikçe, tüm yapılandırmalara ilişkin görünürlük boşlukları büyüyor.
 |
| Şekil 2. SaaS Güvenlik Yapılandırma Kontrollerinin Sıklığı |
Bir güvenlik kontrolü başarısız olduğunda, güvenlik ekipleri içeri girmeli ve kontrolün tam olarak neden başarısız olduğunu ve bunu düzeltmek için en iyi hareket tarzını anlamalıdır. Şekil 3’te görüldüğü gibi yaklaşık 4 kuruluştan 1’inin manuel olarak düzeltme yaparken bir yanlış yapılandırmayı çözmesi bir hafta veya daha uzun sürer. Genel olarak, kendi SaaS güvenliğini yönetmeye çalışan güvenlik ekipleri yalnızca bunalmakla kalmaz, aynı zamanda organizasyonu daha uzun süre açıkta bırakır.
 |
| Şekil 3. Saas Yanlış Yapılandırmalarını Düzeltme Süresi |
SSPM, İyileştirme ve Tespiti Nasıl Takip Ediyor?
Adaptive Shield gibi SSPM kullanan kuruluşlar, güvenlik kontrollerini daha sık tamamlayabilir ve yanlış yapılandırmaları daha kısa bir süre içinde düzeltebilir. Bir SSPM, güvenlik ekiplerinin hem endüstri standartlarına hem de şirket politikasına uygun olarak sık sık kontroller yapmasını sağlar. 2022 SaaS Güvenlik Anketi Raporu, bu kuruluşların çoğunluğunun (%78) Şekil 4’te görüldüğü gibi haftada bir veya daha sık güvenlik kontrolleri gerçekleştirdiğini tespit etti.
 |
| Şekil 4. SaaS Güvenlik Yapılandırma Kontrollerinin Sıklığının Karşılaştırılması |
Bir yanlış yapılandırma tespit edildiğinde, SSPM kullanan kuruluşların %73’ü bunu bir gün içinde, %81’i ise bir hafta içinde çözdü (şekil 5’te görüldüğü gibi). yanlış yapılandırmalar değil, aynı zamanda risk ve yapılandırma zayıflığını da değerlendirecek ve sorunun nasıl düzeltileceği konusunda tam talimat sağlayacaktır.
 |
| Şekil 5. Hatalı Yapılandırmaları Düzeltme Süresinin Karşılaştırılması |
Çözüm
SSPM, yalnızca güvenlik ekiplerinin üzerindeki iş yükünü azaltmakla kalmaz, aynı zamanda her bir SaaS uygulaması ve ayarları konusunda uzman olma ihtiyacını da ortadan kaldırır. 2022 SaaS Güvenlik Anketi Raporu’nda sunulan veriler, SSPM kullanan ve kullanmayan şirketler arasındaki büyük farkları vurgulayarak bir SSPM’nin ne kadar değerli olduğunu gösteriyor. Uyarlanabilir KalkanSaaS güvenlik algılama ve iyileştirme içindir.
