NEW YORK, 1 Mart 2023 /PRNewswire/ — Otomatik Hizmet Olarak Yazılım (SaaS) güvenlik şirketi DoControl, bugün Orta ölçekli şirketlerin (50 ila 1.000 çalışan) ve büyük şirketlerin (1.001 ila 6.696 çalışan) SaaS sitelerinde depolanan iş varlıklarının hacmini, türlerini ve maruz kalma riskini ölçen 2023 SaaS Güvenlik Tehdit Görünümü Raporu. Rapor, büyük ve orta ölçekli şirketlerin SaaS uygulamalarında depolanan sırasıyla ortalama 5,5 milyon ve 1,5 milyon varlığa sahip olduğunu ortaya koydu ve bu, BT ve SecOps ekiplerinin bu varlıkların içerdiği fikri mülkiyeti güvence altına alırken her gün karşılaştığı zorluğu gösteriyor.
SaaS uygulamaları, iş teknolojisi yığınları içinde hem hayati hem de her yerde bulunsa da, her büyüklükteki şirketi tespit edilemeyen veri hırsızlığından kaynaklanan önemli güvenlik risklerine maruz bırakır. Yaklaşık 55.750 SaaS varlığını içeren haftada ortalama 2.775.000 SaaS etkinliği gerçekleştiren büyük şirketlerle, her olayı ve varlığı manuel olarak izlemek işlevsel olarak imkansızdır. Güvenlik uzmanlarının kayda değer eksikliği ve rekabet eden önceliklerin neden olduğu tükenmişlik, güvenlik otomasyonunun bu manzarada neden tek uygulanabilir yaklaşım olduğunu gösteriyor.
“Üretkenliği ve işbirliğini geliştirmek için hepimiz SaaS uygulamalarına bel bağlasak da, çok azı her gün bu araçlara giren ve çıkan çok sayıda varlığı düşünmeyi bıraktı” dedi. Adam Gaviş, CEO ve Kurucu Ortak, DoControl. “Kuruluşlar, ticari işlemlere ve taahhütlere girerken güvenliği giderek daha fazla dikkate alıyor; bu, zayıf bir SaaS güvenlik duruşunun risklerinin iş sonuçları için bir spoiler görevi görebileceği anlamına geliyor. Bu raporun amacı, işletmelerin risklerini daha iyi anlayabilmeleri için kaosu ölçmek ve göstermektir. açığa çıkarın ve SaaS varlıklarının kontrolünü yeniden kazanmak için buna göre hareket edin.”
SaaS Güvenlik Tehdit Görünümü Raporunda ele alınan güvenlik açıkları beş farklı kategoriye ayrılmıştır:
İçeriden Tehditler
Kazara veya kasıtlı olarak, içeriden kişiler gizli fikri mülkiyet ve müşteri bilgilerini sızdırabilir, şirketleri finansal gasp ve yıkıcı marka hasarına maruz bırakabilir. DoControl, orta ölçekli şirketlerin %81’inin ve büyük şirketlerin %78’inin Google Drive/Workspace’te depolanan şifreleme dosyalarına sahip olduğunu tespit etti. Bir kuruluş, varlıkları çeşitli uygulamalarda depolarken kendini güvende hissedebilir, ancak bu alanlardan ayrılan varlıklara karşı dikkatli olmaları gerekir. Şirketlerin %61’inde, şirkete ait varlıkları kişisel e-postalarıyla paylaşan çalışanlar olduğundan, hassas varlıkları manuel olarak izlemek, önceden hayal edilenden daha zor olabilir.
Harici Aktörler ve Erişim
İşbirliği, şirketin güvenlik sınırlarının ötesine geçtiğinde ve dosyalar, SaaS uygulamaları aracılığıyla harici taraflarla paylaşıldığında, bir şirketin verilerinin veya fikri mülkiyetinin kontrolü zayıflayabilir. DoControl’ün araştırmasına göre orta ölçekli şirketler ortalama olarak neredeyse 224k çalışan başına ortalama dokuz harici aktörle, harici olarak paylaşılan SaaS uygulamalarındaki varlıklar.
Bu sorunu daha da karmaşık hale getiren şey, SaaS dosyalarına aşırı yetkilendirme erişiminin, bu varlıkların başlangıçta amaçlananların ötesinde harici ortak çalışanlara dağıtılmasına neden olabilmesidir. DoControl, büyük şirketlerin SaaS uygulamalarında depolanan ortalama 94.455 halka açık varlığa sahip olduğunu tespit etti. Şirketlerin, en az ayrıcalık izni uygulayarak ve varlıklara artık paylaşıldıkları taraflarca ihtiyaç duyulmadığında erişimi kaldırarak harici paylaşımı sınırlaması gerekir.
Üçüncü Taraftan Dördüncü Tarafa Paylaşım
Harici taraflara verilen veri erişimini yeterince sınırlamamanın sonuçlarından biri, üçüncü şahıslar arası paylaşımdır. 2022’nin ilk dokuz ayı boyunca DoControl, büyük şirketlerde üçüncü taraf aktörlerin varlıkları dördüncü taraf aktörlerle paylaştığı 1.189’dan fazla olay belirledi. Çoğu durumda, güvenilir üçüncü tarafların SaaS varlıklarını dördüncü taraflarla paylaşmak için meşru nedenleri vardır. Ancak bu durumlar, SaaS varlıklarının yaratıcısı tarafından yönetilmelidir. Büyük şirketlerde, ortalama olarak 241 dördüncü taraf etki alanı, SaaS varlıklarına erişebilir. Yeterli SaaS veri erişim kontrolleri olmadan, oluşturucular genellikle harici olarak paylaşılan varlıkları gözden kaçırır ve kabul edilemez bir risk düzeyi ortaya çıkar.
Eski İzinler
Eski izinlerin iki tezahürü vardır. Birincisi, artık mevcut iş hedeflerini desteklemeyen SaaS varlıklarına sürekli erişim. DoControl, tüm şirketlerin %67’sinin, Google Workplace’te depolanan ve 5 yıldan daha eski varlıklara kalıcı erişime sahip çalışanlarının olduğunu tespit etti.
Eski iznin ikinci biçimi, çalışanlar işverenleriyle yollarını ayırdıktan sonra da devam eden erişimdir. Tüm şirketlerin %31’i, işverenleriyle yollarını ayırdıktan sonra SaaS uygulamalarında depolanan varlıklara erişen eski çalışanlara sahiptir. Şaşırtıcı olmayan bir şekilde, büyük şirketler, orta ölçekli şirketlere göre (ortalama olarak altıdan biraz fazla) daha fazla eski çalışana (ortalama 20) sahip olma eğilimindedir, ancak eski bir çalışan bile – özellikle hoşnutsuz bir çalışan – kabul edilemez bir risk oluşturabilir.
Üçüncü Taraf OAuth Uygulamaları
Uygulamalar genellikle iş akışlarını daha verimli, kullanışlı veya üretken hale getirmek için üçüncü taraflarla entegrasyona izin verir. Ancak üçüncü parti uygulamalar da özellikle gereksiz okuma-yazma izinleri verildiğinde şirketler için tehdit oluşturabiliyor. Yeterince güçlü yerel güvenlik denetimlerine sahip olmayan uygulamalara gereksiz okuma/yazma erişimi vermek, veri hırsızlığına ve tedarik zinciri tabanlı saldırılara kapı açabilir. Büyük işbirliği uygulama şirketleri genellikle çok sayıda üçüncü taraf uygulama entegrasyonunu destekler. Ne yazık ki, bu üçüncü taraf uygulamalarından bazılarının aşırı ayrıcalıklı olması alışılmadık bir durum değildir.
Google, büyük şirketlerde ortalama 81 adet üçüncü taraf uygulama entegrasyonuna sahiptir. Ortalama olarak, bu Google entegrasyonlarından 27’si veri erişimine sahip ve dokuzu aşırı ayrıcalıklı.
DoControl, veri hırsızlığı ve sızıntısının yıkıcı sonuçlarından kaçınmaya yardımcı olur. SaaS veri erişimini yönetmeye yönelik benzersiz yaklaşımı, şirketlerin teknoloji yığınlarındaki SaaS uygulamaları üzerinde merkezi, otomatik, parçalı veri erişim kontrolleri sağlayarak SaaS Güvenlik Tehdit Görünümü Raporunda vurgulanan tüm durumları düzeltir. DoControl’ün kodsuz, otomatikleştirilmiş iş akışları, BT ve güvenlik ekiplerinin SaaS veri erişimini yönetmelerine yardımcı olur, böylece şirketler SaaS dağıtımlarında güvenle ve güvenli bir şekilde ilerleyebilir.
Gartner’a göre, 2025 yılına kadar kuruluşların %60’ı siber güvenlik riskini üçüncü taraf işlemleri ve iş taahhütlerini gerçekleştirmede önemli bir belirleyici olarak kullanacak. 2023 SaaS Güvenlik Tehdit Manzarası Raporu.
Ek kaynaklar:
DoControl hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: İnternet sitesi veya bir demo talep edin.
Metodoloji
Bu rapor, DoControl’ün SaaS veri erişim kontrolü ve maruz kalma denetimi gerçekleştirdiği bir şirket alt kümesindeki bulguları bir araya getirir. Bulguları, büyüklükleri 11 ile 6.696 arasında değişen bir şirket kesitinde yapılan denetimlerden derledik. DoControl, şirket büyüklüğüne göre bulgularda önemli farklılıklar gördüğü durumlarda, bu sonuçları orta ölçekli şirketler (50 ila 1.000 çalışan) ve büyük işletmeler (1.001 ila 6.696 çalışan) olmak üzere iki gruba ayırdı. İki grup arasındaki farkın önemsiz olduğu durumlarda, DoControl yalnızca bir genel istatistik bildirdi.
DoControl Hakkında
2020 yılında kurulmuş ve merkezi New York, DoControl, SaaS uygulamaları için otomatikleştirilmiş bir veri erişim kontrolleri platformudur ve işletmeler için güvenliği ve operasyonel verimliliği kolaylıkla artırır. DoControl yatırımcılar Insight Partners, StageOne Ventures, Cardumen Capital, RTP Global ve küresel siber güvenlik lideri CrowdStrike’ın erken aşama yatırım fonu CrowdStrike Falcon Fund tarafından desteklenmektedir. Şirketin liderlik ekibi, siber güvenlik, kurumsal ve SaaS yenilikçileri genelinde ürün, mühendislik ve satış deneyimini bir araya getiriyor. Daha fazla bilgi için lütfen ziyaret edin www.docontrol.io. Bizi takip edin twitter Ve Linkedin.