Valence Security’nin 2024 SaaS Güvenlik Durumu Raporu’na göre kuruluşların %58’i son 18 ay içinde bir SaaS güvenlik olayından etkilendi.
Sonuç olarak, muhtemelen güvenlik liderlerinin %96’sı SaaS güvenliğini birinci öncelik haline getirdi ve %97’si 2024’te SaaS güvenlik bütçelerini artırdı. Ayrıca mevcut SaaS güvenlik programlarına veya süreçlerine olan güven yüksek, %84’ü bunların çok veya çok yüksek olduğunu söylüyor. son derece kendinden emin.
Valence Security CEO’su Yoni Shohet, “SaaS aboneliklerinin ve SaaS entegrasyonlarının kolaylığının, kuruluşların işlerini hızlı bir şekilde ölçeklendirmelerine ve çalışan üretkenliğini artırmalarına yardımcı olduğu inkar edilemez” diyor. “Bu raporun amacı, güvenlik liderlerinin anket bulgularını kendi kiracılarımızın analizleriyle birleştirerek, güvenlik yatırımları arasındaki boşlukları ortaya çıkarmak ve SaaS ortamlarının karmaşıklıklarını etkili bir şekilde ele almak suretiyle SaaS güvenliğinin benzersiz ve daha kapsamlı bir incelemesini sağlamaktır.”
Geçmişte, SaaS uygulamaları güvenlik programları açısından göz ardı edilmiş, bu da yanlış yapılandırmaların artmasına ve hassas verilerin açığa çıkmasına neden olmuştur. Microsoft Midnight Blizzard ihlali ve Okta saldırı kampanyasının ardından yaşanan Cloudflare ihlali gibi son zamanlardaki yüksek profilli ihlaller, kötü niyetli aktörlerin SaaS’ı yeni bir ana hedef olarak tanımladığının altını çiziyor.
En önemli SaaS güvenliği zorlukları
Anket, alıcıların SaaS uygulamalarını güvence altına alırken karşılaştığı en önemli güvenlik zorluklarını ortaya çıkardı. %50’si, SaaS uygulamalarının BT/güvenlik ekipleri dışında dağıtılmış yönetimini en büyük 3 zorluklarından biri olarak tanımladı.
%50’si üretken yapay zekanın benimsenmesini yönetmenin en büyük zorluk olduğunu belirtirken, %43’ü SaaS yapılandırmalarının karmaşıklığını en büyük zorluklarından biri olarak belirtti.
İlginç bir şekilde, kuruluşlarının SaaS uygulamalarını korumak için şu anda hangi araçları kullandığı sorulduğunda, yanıt verenlerin %52’si Bulut Erişimi Güvenlik Aracısı (CASB) kullandıklarını söylerken %48’i SaaS güvenlik duruşu yönetimi (SSPM) çözümleri kullandıklarını söyledi.
CASB’ler on yılı aşkın bir süredir piyasada olsa da SSPM’lerin benzer bir benimsenme oranına sahip olması, kuruluşların SaaS Güvenliğini ele alma biçiminde önemli bir değişikliğin altını çiziyor. Bunun nedeni büyük olasılıkla modern SaaS güvenlik risklerini ele almak için CASB sınırlamalarının farkına varılmasıdır.
Aşırı ayrıcalıklı üçüncü taraf entegrasyonları
Kiracı araştırması, harici veri paylaşımlarının %22’sinin açık bağlantılar kullandığını, dolayısıyla “bağlantıya sahip olan herkesin” verilere erişebildiğini ortaya çıkardı. Bu açık bağlantı paylaşımlarının %94’ü etkin değil, bu da insanların artık erişime ihtiyaç duymadıklarında bu dosyalara, klasörlere, kayıtlara, kayıtlara vb. erişebildiği anlamına geliyor.
Kiracı analizi, kuruluşların %100’ünün en az bir üçüncü taraf entegrasyonuna hassas verilere (e-postalar, dosyalar, takvimler, kaynak kodu) tam erişim izni verdiğini ve entegrasyonların üçte birine (%33) hassas izinlere ve verilere erişim izni verildiğini ortaya çıkardı .
SaaS’tan SaaS’a entegrasyonlar, saldırganlar tarafından giderek daha fazla hedef alınıyor; çünkü geleneksel erişim kontrolleri, insan olmayan kimlikler söz konusu olduğunda daha az etkili oluyor ve kuruluşlar genellikle insan kimlikleri için sahip oldukları izleme yeteneklerine sahip değil.
SaaS uygulamalarının hızla benimsenmesi, işletmelerin çalışma şeklini değiştirdi. Ancak bu değişim, özellikle yaşam döngüsü yönetimi ve devre dışı bırakma konusunda bir dizi yeni güvenlik sorununu da beraberinde getiriyor. Eksik veya verimsiz ayrılma uygulamaları, geride “hareketsiz” harici paylaşımlar, kullanıcı hesapları ve kullanılmayan entegrasyonlar bırakarak saldırganların yararlanabileceği önemli fırsatlar yaratabilir.
EMA Araştırma – Bilgi Güvenliği Başkan Yardımcısı Chris Steffen, “Güvenlik liderlerinin şaşırtıcı bir şekilde %96’sı SaaS güvenliğine öncelik verirken, Valence’in raporu SaaS güvenliğinin karmaşıklığını gösteriyor” diyor. “Güvenlik yöneticileri, SaaS güvenlik sorunlarının etkili güvenliği engellediğini ve bu karmaşıklıkları gideren ve kuruluşların gelişen SaaS güvenlik tehdidi ortamında gezinmelerini sağlayan yenilikçi çözümler aradıklarını söyledi.”