No es ninguna novedad decir que las aplicaciones SaaS han cambiado la forma en que operamos, tanto en nuestra vida personal como profesional. Habitualmente dependemos de aplicaciones remotas y basadas en la nube para llevar a cabo nuestras funciones básicas, con el resultado de que el único perímetro real de nuestras redes se ha convertido en las identidades con las que iniciamos sesión en estos servicios.
Lamentablemente, como suele suceder, nuestro apetito por mejores flujos de trabajo, colaboración y comunicaciones superó nuestra voluntad de asegurarnos de que estas herramientas y procesos fueran seguros cuando los conectamos a nuestros entornos, transfiriendo el control de la seguridad de nuestros datos. Cada una de estas aplicaciones solicita distintas cantidades de permisos para acceder a nuestros datos, que a menudo dependen de los servicios de otros proveedores, lo que no crea una red, sino una maraña de complejidades interdependientes que se ha vuelto tan compleja que la mayoría de los equipos de seguridad y TI ni siquiera saben cuántas aplicaciones SaaS están conectadas, y mucho menos cuáles son o sus permisos de acceso.
Nuestra tentación colectiva –y comprensible– por la flexibilidad y la escalabilidad nos llevó a donde estamos ahora: la mayoría de nosotros no puede operar en empresas modernas sin aplicaciones SaaS porque se han vuelto vitales para nuestras operaciones, pero nos encontramos vulnerables a ataques a estos servicios y aplicaciones basados en la nube.
Los actores de amenazas entienden el modelo «como servicio» tan bien como cualquiera, y a menudo venden ransomware como servicio en la red oscura a sus afiliados. Entienden que atacar a estos proveedores de aplicaciones SaaS de terceros conduce no solo a las joyas de la corona de una empresa, sino a muchas. Vimos un Aumento del 68% en ataques desde aplicaciones de terceros en 2023, y todos los investigadores coinciden en que esa cifra solo aumentará a medida que la adopción de SaaS siga aumentando.
Afortunadamente, hay medidas que se pueden tomar para desenredar esta maraña de hilos de SaaS que los equipos de TI y seguridad de todo el mundo tienen que resolver.
Aprenda a obtener visibilidad de los archivos compartidos públicamente desde sus aplicaciones SaaS
Comprenda su entorno SaaS y shadow IT
Parece muy sencillo: si necesitas proteger algo, primero debes saber que está ahí. Sin embargo, como sabemos, cuando se trata de SaaS, nunca es sencillo.
La TI en la sombra (cualquier herramienta o programa que se instala y tiene acceso a los datos de la empresa sin que los equipos de TI o de seguridad lo sepan) está muy extendida. Piense en lo siguiente: cuando alguien del área de marketing necesita usar una nueva herramienta de diseño disponible como aplicación SaaS, inicia sesión, le otorga acceso a sus archivos compartidos para facilitar las cargas y descargas, y no quiere pasar por TI para que la apruebe por diversas razones (demora demasiado, la solicitud puede ser rechazada, tienen un plazo ajustado, etc.). Estas aplicaciones suelen tener una inmensa cantidad de visibilidad y permisos sobre los datos de la empresa sin que nadie del área de seguridad sepa siquiera que existen o esté atento a comportamientos sospechosos.
Para comprender el alcance del problema y por qué es necesario obtener una visión completa de su entorno SaaS, hagamos algunos cálculos aproximados.
- La mayoría de las empresas tienen, en promedio, ~500 aplicaciones comerciales Conectado con su entorno.
- De ellos, aproximadamente el 49 % están sancionados/aprobados por TI/seguridad y ~51% son aplicaciones no sancionadas.
- Cada aplicación normalmente tiene 9 usuarios por aplicación
- Si multiplicamos el número de usuarios por aplicación (9) por el número de aplicaciones no autorizadas (~255), eso equivale a un promedio de 2.295 vectores de ataque potencialmente únicos que los equipos de TI y seguridad desconocen y que a los actores de amenazas les encanta explotar.
Por eso, el paso más importante es comprender cuántas aplicaciones están conectadas a su entorno, qué están haciendo, cuáles son sus permisos y su actividad. Estos permisos y supervisión también deben realizarse de forma continua: nunca se sabe cuándo alguien puede pasar por alto al departamento de TI y agregar una nueva aplicación o servicio y otorgarle acceso total a sus datos.
Descubra todas las aplicaciones conectadas a sus datos, incluidas las aplicaciones ocultas
Cierra las vías abiertas a tus datos
Una vez que tenga el control de sus aplicaciones, es hora de modelar sus permisos y asegurarse de que estas aplicaciones y usuarios no tengan permisos excesivos. Esto también requiere un monitoreo constante: a menudo, estas aplicaciones pueden cambiar sus estructuras de permisos para requerir más acceso sin dejarlo en claro.
Recientemente, la serie de infracciones de alto perfil, todas asociadas con el proveedor de almacenamiento en la nube Snowflake, ha puesto de relieve Cómo las organizaciones son vulnerables A menudo, sucede lo mismo en este sentido. Ticketmaster, Santander Bank y Advance Auto Parts fueron víctimas del mismo ataque, que fue el resultado de credenciales robadas en el pasado, un proveedor de almacenamiento externo (Snowflake) que permitió que estas bóvedas de almacenamiento en la nube se configuraran sin un IDP o MFA, y empresas que eludieron las mejores prácticas para configurar sus datos masivos para que estuvieran protegidos solo por contraseñas.
Para dar el primer paso en la protección de su ecosistema SaaS, las empresas deben básicamente mapearlo: comprender todas las aplicaciones conectadas, las identidades asociadas y las acciones. Esto puede requerir mucho trabajo y es solo la punta del iceberg. También existe la esperanza de que los empleados culpables digan con sinceridad que usaron una aplicación no autorizada.
Para evitar una infracción, las empresas deben:
- Conozca todas las aplicaciones SaaS utilizadas (tanto las conocidas como las desconocidas), especialmente aquellas con necesidades de acceso profundo o que contienen datos propietarios o de clientes.
- Asegúrese de que las aplicaciones de alto riesgo estén protegidas con IDP, MFA, etc.
- Asegúrese de que los usuarios de esas aplicaciones no tengan privilegios excesivos
- Estar alerta y poder tomar medidas rápidas cuando se acceda a las aplicaciones y/o los datos a través de ellas y/o se muevan de manera sospechosa.
Este tipo de acceso, permisos y monitoreo de uso tienen el beneficio adicional de ayudar a su empresa a cumplir con cualquier cantidad de agencias y/o reguladores. Si sus datos son violados debido a una violación por parte de un tercero, no saber acerca de la aplicación y su acceso a los datos no es bien recibido. Este tipo de monitoreo tampoco debe ir en detrimento de la usabilidad, como vemos en nuestra situación actual de TI en la sombra desenfrenada.
En conclusión: asegura el funcionamiento de tu negocio
Está claro que las aplicaciones SaaS llegaron para quedarse, desde la habilitación de ventas hasta la gestión de bases de datos y las herramientas de inteligencia artificial. Es emocionante y nos ha abierto oportunidades para trabajar en formas y lugares nuevos e innovadores. Ahora que reconocemos esto, también es hora de comenzar a desenredar la maraña de hilos SaaS en la que se ha convertido nuestro entorno.
A medida que los actores de amenazas encuentren cada vez más de estos nodos de falla y dependencia en esta maraña, se volverán más hábiles para explotarlos con infracciones más grandes y devastadoras. Cuanto más prioricemos la seguridad de la forma en que realmente trabajamos, más podremos lograr.
Nota: Este artículo fue escrito y aportado por expertos Dvir Sasson, Director de Investigación de Seguridad en Reco.