Alerta de spoiler: las organizaciones con 10 000 usuarios de SaaS que usan M365 y Google Workspace promedian más de 4371 aplicaciones conectadas adicionales.
Las instalaciones de aplicaciones SaaS-to-SaaS (de terceros) están creciendo sin escalas en organizaciones de todo el mundo. Cuando un empleado necesita una aplicación adicional para aumentar su eficiencia o productividad, rara vez lo piensa dos veces antes de instalarla. La mayoría de los empleados ni siquiera se dan cuenta de que esta conectividad de SaaS a SaaS, que requiere alcances como la capacidad de leer, actualizar, crear y eliminar contenido, aumenta la superficie de ataque de su organización de manera significativa.
Las conexiones de aplicaciones de terceros generalmente se realizan fuera de la vista del equipo de seguridad, no se examinan para comprender el nivel de riesgo que representan.
El último informe de Adaptive Shield, Descubriendo los riesgos y realidades de las aplicaciones conectadas de terceros, se sumerge en los datos sobre este tema. Revisa la cantidad promedio de aplicaciones de SaaS a SaaS que tienen las organizaciones y el nivel de riesgo que presentan. Aquí están los 5 principales hallazgos.
Hallazgo n.º 1: las aplicaciones conectadas funcionan a fondo
El informe se centra en Google Workspace y Microsoft 365 (M365), ya que presenta una imagen clara del alcance de las aplicaciones que se integran con las dos aplicaciones.
En promedio, una empresa con 10 000 usuarios de SaaS que usan M365 tiene 2033 aplicaciones conectadas a su conjunto de aplicaciones. Las empresas de ese tamaño que usan Google Workspace tienen más del triple de la cantidad, con un promedio de 6710 aplicaciones conectadas.
Incluso las empresas más pequeñas no son inmunes. El informe encontró que las empresas que usan M365 tienen un promedio de 0,2 aplicaciones por usuario, mientras que las que usan Google Workspace tienen un promedio de 0,6 aplicaciones por usuario.
Hallazgo n.º 2: cuantos más empleados, más aplicaciones
A diferencia de la mayoría de las curvas de crecimiento, la investigación muestra que la cantidad de aplicaciones por usuario no se nivela ni se estanca una vez que alcanza una masa crítica de usuarios. Más bien, el número de aplicaciones sigue creciendo con el número de usuarios.
Como se ve en la figura 1, las empresas que usan Google Workspace con 10 000-20 000 empleados tienen un promedio de casi 14 000 aplicaciones conectadas únicas. Este crecimiento continuo es impactante para los equipos de seguridad y les hace casi imposible descubrir y administrar manualmente el gran volumen de aplicaciones.
 |
| Figura 1: Promedio de aplicaciones integradas con Google Workspace por usuarios |
Para ver el Informe completo de acceso de SaaS a SaaS de 2023, haga clic aquí.
Hallazgo n.º 3: el riesgo de la aplicación SaaS a SaaS es alto
Cuando las aplicaciones de terceros se integran con las aplicaciones principales de SaaS, obtienen acceso mediante un proceso OAuth. Como parte de este proceso, las aplicaciones solicitan ámbitos específicos. Estos ámbitos entregan mucho poder a las aplicaciones.
Entre los ámbitos de alto riesgo, el 15 % de las aplicaciones M365 solicitan a la autoridad que elimine todos los archivos a los que puede acceder el usuario. Se vuelve aún más aterrador en las aplicaciones de Google Workspace, donde el 40% de los alcances de alto riesgo reciben la capacidad de eliminar todos los archivos de Google Drive.
Como se muestra en esta pestaña de permisos, la aplicación solicita explícitamente permiso para ver, editar, crear y eliminar todos los documentos de Google Docs, archivos de Google Drive, presentaciones de Google Slides y hojas de cálculo de Google Sheets.
Para los equipos de seguridad acostumbrados a controlar los datos, conjuntos de permisos como estos son inquietantes. Teniendo en cuenta que muchas aplicaciones son creadas por desarrolladores individuales que pueden no haber priorizado la seguridad en el desarrollo de su software, estos permisos brindan a los actores de amenazas todo lo que necesitan para acceder y robar o cifrar los datos de la empresa. Incluso sin un actor de amenazas, un error en el software puede tener consecuencias desastrosas para los datos de una empresa.
Figura 2: Solicitud de permiso de alto riesgo de una aplicación de terceros
Hallazgo n.º 4: las aplicaciones conectadas también tienen una enorme amplitud
Si bien el informe profundiza en las dos grandes aplicaciones SaaS, también publica investigaciones sobre Salesforce (y Slack). Salesforce tiene un promedio de 41 aplicaciones integradas por instancia. La implicación de esto es notable.
Salesforce es utilizado principalmente por un pequeño subconjunto de la empresa. En ese sentido, es similar a Workday, Github y ServiceNow, que utilizan los equipos de recursos humanos, desarrolladores y finanzas. Una empresa típica con 10 000 empleados tiene más de 350 aplicaciones SaaS en su pila, muchas de las cuales son utilizadas por departamentos más pequeños como las aplicaciones que se analizan aquí.
Suponiendo que Salesforce es típico de aplicaciones similares, esas 350 aplicaciones que se integran con 40 aplicaciones cada una agregan 14,000 aplicaciones de terceros adicionales a la ecuación.
Hallazgo #5: M365 y Google Workspace tienen una cantidad similar de aplicaciones de alto riesgo
Uno de los puntos más interesantes fue el alto volumen de aplicaciones de alto riesgo que se conectan a Microsoft en comparación con Google Workspace. Las aplicaciones solicitan permisos de alto riesgo de M365 el 39 % del tiempo; Las aplicaciones de Google Workspace solo solicitan permisos de alto riesgo el 11 % de las veces. En términos de números reales, una instalación promedio en una empresa con 10 000 usuarios de SaaS que usan M365 tendrá 813 aplicaciones de alto riesgo, mientras que Google Workspace tendrá 738 aplicaciones que se consideran de alto riesgo.
Con toda probabilidad, esta disparidad se debe al proceso de creación de la aplicación. Google requiere que se revisen las aplicaciones que solicitan permisos de alto riesgo (los llama Restrictivos). El proceso de revisión es mucho más fácil para aquellos que solicitan permisos medianos o confidenciales. Microsoft no etiqueta los ámbitos solicitados con niveles de gravedad. Esta falta de supervisión hace que sea mucho más fácil para las aplicaciones que se conectan con M365 solicitar ámbitos de alto riesgo.
La seguridad SaaS es mucho más compleja de lo que la mayoría reconoce
La conclusión general de la lectura del informe es el inmenso desafío de asegurar el software SaaS. Está claro que los equipos de seguridad necesitan visibilidad de las miles de aplicaciones que se conectan a la pila de SaaS y realizar un análisis de costo-beneficio para cada aplicación conectada de alto riesgo.
Las soluciones de seguridad SaaS, como Adaptive Shield, brindan a los equipos de seguridad la visibilidad necesaria para ver las aplicaciones conectadas y sus alcances, entre otras importantes capacidades de seguridad SaaS. Armados con esta información, los equipos de seguridad estarán en una posición mucho mejor para fortalecer la postura de seguridad de sus aplicaciones y evitar que los datos caigan en las manos equivocadas.
