500’den fazla ÅŸirketin verilerini analiz eden bir SaaS güvenlik ÅŸirketi olan Wing Security tarafından yakın zamanda yapılan bir inceleme, bazı endiÅŸe verici bilgileri ortaya çıkardı. Bu incelemeye göre, ÅŸirketlerin %84’ünde son 3 ayda ihlal edilen ortalama 3,5 SaaS uygulaması kullanan çalışanlar bulunuyor. Bu endiÅŸe verici olsa da, pek de ÅŸaşırtıcı deÄŸil. SaaS kullanımındaki katlanarak büyüme, güvenlik ve BT ekiplerinin hangi SaaS uygulamalarının ve nasıl kullanıldığına ayak uydurmakta zorlanmasına neden oluyor. Bu, SaaS’tan kaçınılması veya engellenmesi gerektiÄŸi anlamına gelmez; aksine, iÅŸ büyümesini saÄŸlamak için SaaS uygulamalarının kullanılması gerekir. Ancak bunları kullanmak bir dereceye kadar dikkatli yapılmalıdır.
Hangi SaaS uygulamalarının riskli olduğunu belirleme
Bir uygulamanın riskli olup olmadığını belirlemede en sezgisel risk faktörü, onu aramak ve ihlal edilip edilmediğini görmektir. SaaS ile ilgili saldırıları giderek daha fazla gördüğümüz için, SaaS uygulamaları açıkça bir hedef haline geliyor. Bir ihlal, en azından SaaS satıcısı tamamen düzeltip iyileşene kadar (bu biraz zaman alabilir…) uzak durmanın açık bir göstergesidir. Ancak bir SaaS uygulamasının güvenli olup olmadığını belirlerken dikkate alınması gereken başka kriterler de vardır. Burada dikkate alınması gereken iki tane daha var:
- Uyumluluklar – Uygulama satıcısının sahip olduÄŸu veya olmadığı güvenlik ve gizlilik uyumlulukları, güvenliÄŸinin iyi bir göstergesidir. Bir SOC, HIPAA, ISO (liste uzayıp gidiyor…) güvence altına almak, ÅŸirketin katı düzenlemelere ve koÅŸullara uyması gereken uzun ve titiz süreçler gerektirir. Bir ÅŸirketin uyumluluklarını bilmek, güvenlik düzeyini anlamak için zorunludur.
- Pazar varlığı – Bir uygulamanın iyi bilinen ve hesaplanan pazar yerlerinde bulunup bulunmadığının kontrol edilmesi, güvenlik önlemleriyle iliÅŸkilendirilebilecek bütünlüğünü belirlerken de yararlı bir adımdır. Saygın pazar yerlerinde, baÅŸvuruların bir inceleme sürecinden geçmesi gerekir ve bir uygulamanın meÅŸruiyetinin tartışmasız en önemli göstergelerinden biri olan kullanıcı incelemeleri aldıklarından bahsetmiyorum bile.
Hangi uygulamaların potansiyel olarak riskli olduÄŸunu anlamak önemli olsa da bu kolay bir iÅŸ deÄŸildir. Ayrıca bu ilk adım da deÄŸil. Wing Security’ye göre, inceledikleri ÅŸirketlerin hepsinde kullanımda olan üç basamaklı yüksek sayıda SaaS uygulaması vardı. Güvenlik ekiplerinin sorması gereken ilk ve temel soru ÅŸudur:
Çalışanlar kaç tane SaaS uygulaması kullanıyor?
Açıkçası, SaaS’ın güvenli bir ÅŸekilde kullanılıp kullanılmadığını belirlemek, önce kaç tane SaaS uygulamasının kullanıldığını ve hangilerinin kullanıldığını keÅŸfetmeden imkansızdır. Bu basit, ama basit deÄŸil. SaaS, tüm çalışanlar tarafından kullanılır ve SSO’yu zorunlu kılmak ve IAM sistemlerini kullanmak önemli ve yardımcı olsa da, SaaS uygulamalarının merkezi olmayan, eriÅŸilebilir ve çoÄŸu zaman self servis doÄŸası, çalışanların ihtiyaç duydukları hemen hemen tüm SaaS’ları yalnızca arama yaparak kullanmaya baÅŸlayabilecekleri anlamına gelir. çevrimiçi ve ÅŸirketlerinin çalışma alanına baÄŸlayarak IAM’den kolayca kaçınıyor. Bu, özellikle ücretsiz bir araç veya ücretsiz bir sürümünü saÄŸlayan birçok SaaS uygulaması düşünüldüğünde doÄŸrudur.
Akılda ki, SaaS uygulama keşfi ayrıca ücretsiz, self servis bir araç olarak sağlanır bu nedenle yukarıda belirtilen soruyu cevaplamak yeterince kolay olmalıdır. SaaS kullanımına ilişkin net bir harita oluşturulduktan sonraki adım, riskli SaaS uygulamalarının belirlenmesidir. Riskli uygulamalar bu şekilde sınıflandırıldıktan sonra, onları kuruluşa bağlayan kullanıcılardan aldıkları jetonları iptal etmek önemlidir. Bu, yerinde uygun bir araç olmadan uzun ve külfetli bir süreç olabilir (Wing, ücretsiz sürümünde başka bir yetenek olarak riskli uygulama kaldırma sunar, ancak premium teklifinde kaldırılan bazı sınırlamalar vardır).
SaaS kullanımının güvenli olmasını sağlamak, iki soru daha sorup yanıtlamayı gerektirir:
1. SaaS uygulamalarına hangi izinler verildi?
Muhtemelen tüm uygulamaların her zaman risk getirmediğini söylemeye gerek yok. Bir SaaS uygulaması ihlal edilse bile, getirebileceği riskin büyük ölçüde kendisine verilen izinlere bağlı olduğunu da eklemekte fayda var. Neredeyse tüm SaaS uygulamaları, tasarlandıkları hizmeti sağlamak için şirket verilerine erişmek için bir dereceye kadar izin gerektirir. İzinler, salt okunurdan, kullanıcı adına e-posta göndermek gibi SaaS uygulamasının kullanıcı adına hareket etmesine izin veren yazma izinlerine kadar uzanır. Uygun SaaS güvenlik duruşu yönetimi, kullanıcılar tarafından bir uygulamaya verilen izinlerin izlenmesi ve ona yalnızca gerekli izinlerin verildiğinden emin olunması anlamına gelir.
2. Bu uygulamaların içinde ve arasında akan veriler nelerdir?
Günün sonunda, iÅŸ bilgileri, Pii veya kod olsun, her ÅŸey kritik ÅŸirket verilerini korumakla ilgilidir. Verilerin birçok formatı vardır ve birçok farklı ÅŸekilde akar. SaaS’ın tüm iÅŸ birimlerinde ve ekiplerde ve kuruluÅŸtaki herkes tarafından benzersiz ÅŸekilde kullanılması, güvenli veri paylaşımı için tasarlanmamış SaaS uygulamaları kullanılarak veri paylaşımı riski oluÅŸturur. Ayrıca, SaaS uygulamaları arasında verilerin paylaşılması riskini de beraberinde getirir. Günümüzde, birçok SaaS uygulaması birbirine baÄŸlıdır ve birinin eklenmesi, diÄŸerlerinin bir alt kümesine eriÅŸim saÄŸlayabilir. Dev bir karşılıklı baÄŸlantı ve veri paylaşımı ağıdır.
Temel bilgilerle baÅŸlayın – SaaS katmanınızı tanıyın
SaaS güvenliÄŸi ezici olabilir. Sürekli geliÅŸen yeni, saÄŸlam bir sınırdır. Ayrıca, güvenlik ekiplerinin yüzleÅŸmesi gereken uzun bir risk listesindeki baÅŸka bir risktir. SaaS güvenliÄŸini çözmenin anahtarı, hangi uygulamaların kullanıldığını bilmektir. Bu temel ilk adım, SaaS gölge BT sorununa ışık tutar ve güvenlik ekiplerinin SaaS güvenlik risklerinin aciliyetini ve büyüklüğünü doÄŸru bir ÅŸekilde deÄŸerlendirmesine olanak tanır. Kullanımdaki SaaS’ın miktarını ve yapısını kesin olarak bilmek karmaşık veya pahalı olmamalıdır. Bunu çözebilecek birçok araç var ve ÅŸunları yapabilirsiniz: Wing’i deneyin. güvenliÄŸin ücretsiz çözümü neyle karşı karşıya olduÄŸun hakkında bir fikir edinmek için.