Avustralya finans kuruluşlarının kritik düzenleyici son teslim tarihini karşılaması için zaman daralıyor. Avustralyalı finansal hizmet sağlayıcılar, Avustralya İhtiyati Düzenleme Kurumu’nun (APRA) CPS-230’una Temmuz 2025’e kadar uyum sağlamak için hızla harekete geçiyor. Sekiz ay kala işletmeler, mevzuatın siber risk tanımlama, izleme, değerlendirme ve hafifletme konusundaki katı gerekliliklerine uymalarını sağlayacak çözümler arıyor. Bu makalede SSPM ve ITDR’nin bu kuruluşların mevzuata uyum sağlamasına nasıl yardımcı olabileceği ele alınmaktadır.
Etkili siber güvenlik, SaaS sağlayıcıları ile onların hizmetlerini kullanan kuruluşlar arasında paylaşılan bir sorumluluktur. Eylül 2018’de APRA, SaaS da dahil olmak üzere bulut bilişimin hızlı büyümesini kabul eden “Bulut Bilişim Hizmetlerini İçeren Dış Kaynak Kullanımı” başlıklı bir bilgi belgesi yayınladı. Bu belge, Microsoft 365 gibi araçları malzeme hizmet sağlayıcıları olarak sınıflandırarak, bu kanallar aracılığıyla sunulan hizmetlerin temel operasyonlar için hayati öneme sahip olduğunu vurgulamaktadır. CPS 230’a göre, düzenlenen kuruluşlar, kapsamlı bir hizmet sağlayıcı yönetim politikası uygulayarak, resmi anlaşmalar oluşturarak ve sağlam bir izleme gerçekleştirerek bu hizmet sağlayıcılarla ilişkili riskleri yönetmelidir.
SaaS teklifleri temel güvenlik kontrolleriyle birlikte gelirken, yapılandırmalar, kullanıcı kimlik doğrulama yöntemleri ve bağlantılı uygulamalar gibi pratik hususları ele alma sorumluluğu müşterilere aittir. Bu unsurların her biri, etkili bir şekilde azaltılması gereken potansiyel riskleri beraberinde getirir.
Esasen, Salesforce ve Microsoft gibi uygulamalar ne kadar güvenli tasarlanmış olursa olsun, kullanıcıların verileri herkese açık olarak paylaşmasına, üçüncü taraf uygulamalara bağlanmasına veya kapsamlı izinler vermesine olanak tanıyan yapılandırmaların ve politikaların sorumluluğu, bu sistemleri kullanan işletmelere düşüyor. Bu sorumluluk paylaşımı, SaaS için Paylaşılan Sorumluluk modelinde ana hatlarıyla belirtilmiştir. Yanlış yapılandırmalar, aşırı izin veren kullanıcı rolleri ve güvenliği ihlal edilmiş kimlikler, uygulamaları tehdit aktörlerinin eline geçirebilir ve Snowflake abonelerini etkileyen yakın tarihli bir ihlalin de gösterdiği gibi önemli kesintilere yol açabilir. Sonuçta yukarıdaki hususlarla ilgili risklerin azaltılması sorumluluğu tamamen müşterilere aittir.
Bir SaaS Sitesini Güvenceye Almada Beş Temel Sütun
CPS-230 mevzuatı ve burada yer alan ağır mali cezalar göz önüne alındığında, Avustralya tarafından düzenlenen finansal hizmet kuruluşları, SaaS güvenlik çabalarını aşağıdaki konulara odaklamalıdır:
- Yanlış Yapılandırma Yönetimi
- Kimlik ve Erişim Yönetişimi
- Üçüncü Taraf Bağlantılı Uygulamalar
- Bağlı Cihaz Duruşu
- Tehdit Tespiti
SaaS güvenlik firması Adaptive Shield’ın siber güvenlik uzmanı Kendal Watt’a göre,
“Yapılandırmaları, kullanıcı kimliklerini, cihazları ve bağlı uygulamaları yönetmek, önlemeyle ilgili güvenlik faaliyetleridir. Saldırı yüzeylerini küçültmek için ortamları sertleştirirler. Örneğin, en az ayrıcalık ilkesini izlemek, temel sistem yapılandırmasına aşırı izin veren erişime sahip çalışanların sayısını azaltır. Sınırlı erişime sahip bir çalışanın kimliği tehlikeye girerse sonuç olarak şirkete verilecek zarar sınırlı olacaktır.
“Tehdit tespiti ise sisteme erişmeyi başaran tehditlerin tespit edilmesiyle ilgilidir. Örneğin, iki farklı yerden aynı anda iki farklı uygulamaya giriş yapan bir kullanıcınız varsa, bu girişlerden birinin tehdit oluşturması muhtemeldir ve soruşturma tamamlanana kadar devre dışı bırakılması gerekir.”
Birçok finansal kurumun karşılaştığı zorluk, SaaS uygulamalarını izlemek ve SaaS yığınlarını güvence altına almak için doğru aracı bulmaktır. Bu bizi SaaS Güvenlik Duruşu Yönetimine (SSPM) ve Kimlik Tehdidi Tespiti ve Yanıtına (ITDR) getiriyor.
Paylaşılan Sorumluluk Modeli | SaaS
Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı tarafından yayınlanan Paylaşılan Sorumluluk modelinde tanımlandığı üzere SaaS, son kullanıcıya e-posta, depolama ve veri modelleme gibi yetenekler sağlar. Bu hizmet modelinde müşteri genellikle hizmeti yapılandırır, erişim kontrol politikalarını yönetir ve verilerinin güvenliğini sağlar. Bulut Hizmet Sağlayıcısı donanımı, işletim sistemini, ağı ve uygulama yazılımını korur ve bakımını yapar. SaaS teklifleri çok çeşitli güvenlik modellerine sahiptir ve dolayısıyla müşterilerin bu hizmetlere ilişkin sorumlulukları farklılık gösterecektir.
Kuruluşlar, sunulan her teklif için sorumluluklarının ayrıntılarını anlamalıdır.
kullanıyorlar. CSP belgeleri ve hizmet koşulları, müşterilerin ve CSP’lerin sorumlulukları nasıl paylaştıklarını ana hatlarıyla belirtir.
CPS-230’a Uyum Sağlamak İçin SSPM ve ITDR’yi Kullanmak
SSPM’ler (SaaS Güvenlik Duruşu Yönetimi), SaaS güvenliğinde temel önleyici araçlar olarak hizmet eder. Başlangıçta yapılandırmaları izlemek ve yapılandırma sapmalarını tespit etmek için tasarlanan günümüzün gelişmiş SSPM’leri, SaaS uygulamalarındaki her saldırı yüzeyini denetler.
Yanlış yapılandırmaları yönetmenin yanı sıra, modern SSPM’ler kimlik güvenliğine de büyük önem vermektedir. Verilen erişim düzeyleri de dahil olmak üzere kullanıcıların uygulamalara erişimini izlerler. SSPM’ler, hâlâ erişime sahip olan eski çalışanları, ele geçirilmesi durumunda daha fazla risk oluşturabilecek hareketsiz hesapları ve harici kullanıcılara atanan izinleri tespit edebilir.
Ayrıca kimlik güvenliği, hizmet hesapları, OAuth kimlik doğrulamaları ve API anahtarları gibi İnsan Dışı Kimliklerin (NHI) izlenmesini de kapsayacak şekilde genişletilir ve bu kimliklerin amaçlandığı gibi çalışmasını ve tehdit aktörleri tarafından istismar edilmemesini sağlar.
SSPM’ler ayrıca kapsamlı cihaz ve uygulama envanterlerini de tutar. Cihaz envanterleri, SaaS uygulamalarına erişen tüm cihazları kataloglar ve bunları kullanıcılara bağlar. Yönetilmeyen cihazlar veya kritik güvenlik açıklarına sahip cihazlar gibi sorunlar ortaya çıkarsa sistem, güvenlik ekibini uyarır. Uygulama envanterleri tüm bağlı uygulamaları inceleyerek kuruluşların gölge uygulamaları tanımlamasına ve yüksek riskli uygulamaları belirlemek için verilen izinleri değerlendirmesine yardımcı olur.
Kimlik Tehdit Algılama ve Yanıt (ITDR) ile entegre edildiğinde SSPM’ler, tehdit algılama yeteneklerini önemli ölçüde artırır. Entegrasyon, kullanıcı ve uygulama davranışının daha derinlemesine anlaşılmasına olanak tanıyarak uygulamaya giren tehditlerin daha kesin bir şekilde tanımlanmasına olanak tanır.
Watt’ın belirttiği gibi, “SSPM ve entegre ITDR’nin birleşimi, SaaS uygulamalarını güvence altına almak ve APRA’nın CPS-230’uyla uyumluluğu sağlamak için en etkili stratejiyi temsil ediyor.”