Dado que muchos de los ciberataques de 2023, muy publicitados, giran en torno a una o más aplicaciones SaaS, SaaS se ha convertido en un motivo de auténtica preocupación en muchas discusiones en las salas de juntas. Más que nunca, considerando que las aplicaciones GenAI son, de hecho, aplicaciones SaaS.
Wing Security (Wing), una empresa de seguridad SaaS, realizó un análisis de 493 empresas que utilizan SaaS en el cuarto trimestre de 2023. Su estudio revela cómo las empresas utilizan SaaS hoy en día y la amplia variedad de amenazas que resultan de ese uso. Este análisis único proporciona información poco común e importante sobre la amplitud y profundidad de los riesgos relacionados con SaaS, pero también proporciona consejos prácticos para mitigarlos y garantizar que SaaS pueda usarse ampliamente sin comprometer la postura de seguridad.
La versión TL;DR de seguridad SaaS
2023 trajo algunos ejemplos ahora notorios de jugadores maliciosos que aprovechan o atacan directamente a SaaS, incluido el grupo norcoreano UNC4899, el grupo de ransomware 0ktapus y el ruso Midnight Blizzard APT, que apuntaban a organizaciones conocidas como JumpCloud, MGM Resorts y Microsoft (respectivamente). , y probablemente muchos otros que a menudo pasan sin anunciarse.
La primera idea de esta investigación consolida el concepto de que SaaS es la nueva cadena de suministro, proporcionando un marco casi intuitivo sobre la importancia de asegurar el uso de SaaS. Estas aplicaciones son claramente una parte integral del conjunto de herramientas y proveedores de la organización moderna. Dicho esto, ya quedaron atrás los días en los que cada tercero con acceso a los datos de la empresa tenía que pasar por la aprobación de seguridad o de TI. Incluso en las empresas más rigurosas, cuando un empleado diligente necesita una solución rápida y eficiente, la buscará y la utilizará para realizar su trabajo más rápido y mejor. Nuevamente, piense en el uso generalizado de GenAI y el panorama es claro.
Como tal, cualquier organización preocupada por la seguridad de su cadena de suministro debe adoptar medidas de seguridad SaaS. Según la técnica MITRE ATT&CK ‘Trusted Relationships’ (T1199), un ataque a la cadena de suministro ocurre cuando un atacante apunta a un proveedor para explotarlo como un medio para infiltrarse en una red más amplia de empresas. Al confiar datos confidenciales a proveedores externos de SaaS, las organizaciones se exponen a riesgos en la cadena de suministro que van más allá de las preocupaciones de seguridad inmediatas.
Cuatro riesgos comunes de SaaS
Hay varias razones y formas en las que se ataca a SaaS. La buena noticia es que la mayoría de los riesgos pueden mitigarse significativamente cuando se monitorean y controlan. Capacidades básicas de seguridad de SaaS son incluso gratisadecuado para organizaciones que recién están comenzando a desarrollar su postura de seguridad SaaS o que necesitan compararla con su solución actual.
1) SaaS en la sombra
El primer problema con el uso de SaaS es el hecho de que a menudo pasa completamente desapercibido: la cantidad de aplicaciones utilizadas por las organizaciones suele ser un 250% mayor de lo que revela una consulta básica y de uso frecuente del espacio de trabajo.
Entre las empresas analizadas:
- El 41% de las solicitudes fueron utilizadas por una sola persona, lo que dio lugar a una larga cola de solicitudes no autorizadas.
- 1 de cada 5 usuarios utilizaba aplicaciones que nadie más dentro de su organización utilizaba, lo que creaba tensiones en materia de seguridad y recursos.
- El 63% de las aplicaciones de un solo usuario ni siquiera fueron accedidas en un período de 3 meses, lo que plantea la pregunta: ¿por qué mantenerlas conectadas a los datos de la empresa?
- El 96,7% de las organizaciones utilizó al menos una aplicación que tuvo un incidente de seguridad el año anterior, lo que consolida el riesgo continuo y la necesidad de una mitigación adecuada.
2) Omisión de MFA
La investigación de Wing indica una tendencia en la que los usuarios optan por utilizar un nombre de usuario/contraseña para acceder a los servicios que necesitan, evitando las medidas de seguridad vigentes (ver imagen 1).
 |
| Imagen 1: De la investigación de Wing Security, sin pasar por MFA. |
3) Fichas olvidadas
Los usuarios otorgan tokens a las aplicaciones que necesitan; esto es necesario para que las aplicaciones SaaS cumplan su propósito. El problema es que estos tokens a menudo se olvidan después de algunos o solo un uso. La investigación de Wing reveló una gran presencia de tokens no utilizados durante un período de 3 meses, lo que creó una superficie de ataque innecesariamente grande para muchos clientes (Imagen 2).
4) El nuevo riesgo de la IA en las sombras
A principios de 2023, los equipos de seguridad se concentraron principalmente en unos pocos servicios selectos de renombre que ofrecían acceso a modelos basados en IA. Sin embargo, a medida que avanzaba el año, miles de aplicaciones SaaS convencionales adoptaron modelos de IA. La investigación muestra que el 99,7% de las empresas utilizaban aplicaciones con capacidades de IA integradas.
Las organizaciones debían aceptar términos y condiciones actualizados que permitieran a estas aplicaciones utilizar y perfeccionar sus modelos utilizando los datos más confidenciales de las organizaciones. A menudo, estos términos y condiciones revisados pasaron desapercibidos, junto con el uso de la propia IA.
Hay diferentes formas en que las aplicaciones de IA pueden utilizar sus datos para sus modelos de entrenamiento. Esto puede realizarse en forma de conocer sus datos, almacenarlos e incluso hacer que un humano los revise manualmente para mejorar el modelo de IA. Según ala, Esta capacidad es a menudo configurable y totalmente evitable.siempre que no se pase por alto.
Resolviendo los desafíos de seguridad de SaaS en 2024
El informe termina con una nota positiva y enumera ocho formas en que las empresas pueden mitigar la creciente amenaza de la cadena de suministro de SaaS. Incluido:
- En curso descubrimiento de TI en la sombra y gestión.
- Priorizar la corrección de configuraciones erróneas de SaaS
- Optimice la detección de anomalías con marcos predefinidos y automatice cuando sea posible.
- Descubra y supervise todas las aplicaciones SaaS que utilizan IA y supervise constantemente su SaaS para detectar actualizaciones en sus términos y condiciones relacionados con el uso de IA.
Para obtener la lista completa de hallazgos, consejos para garantizar el uso seguro de SaaS y un pronóstico de seguridad de SaaS para 2024, Descargue el reporte completo aquí.