Valence Security’nin 2024 SaaS Güvenlik Durumu Raporu’na göre kuruluÅŸların %58’i son 18 ay içinde bir SaaS güvenlik olayından etkilendi.
Sonuç olarak, muhtemelen güvenlik liderlerinin %96’sı SaaS güvenliÄŸini birinci öncelik haline getirdi ve %97’si 2024’te SaaS güvenlik bütçelerini artırdı. Ayrıca mevcut SaaS güvenlik programlarına veya süreçlerine olan güven yüksek, %84’ü bunların çok veya çok yüksek olduÄŸunu söylüyor. son derece kendinden emin.
Valence Security CEO’su Yoni Shohet, “SaaS aboneliklerinin ve SaaS entegrasyonlarının kolaylığının, kuruluÅŸların iÅŸlerini hızlı bir ÅŸekilde ölçeklendirmelerine ve çalışan üretkenliÄŸini artırmalarına yardımcı olduÄŸu inkar edilemez” diyor. “Bu raporun amacı, güvenlik liderlerinin anket bulgularını kendi kiracılarımızın analizleriyle birleÅŸtirerek, güvenlik yatırımları arasındaki boÅŸlukları ortaya çıkarmak ve SaaS ortamlarının karmaşıklıklarını etkili bir ÅŸekilde ele almak suretiyle SaaS güvenliÄŸinin benzersiz ve daha kapsamlı bir incelemesini saÄŸlamaktır.”
GeçmiÅŸte, SaaS uygulamaları güvenlik programları açısından göz ardı edilmiÅŸ, bu da yanlış yapılandırmaların artmasına ve hassas verilerin açığa çıkmasına neden olmuÅŸtur. Microsoft Midnight Blizzard ihlali ve Okta saldırı kampanyasının ardından yaÅŸanan Cloudflare ihlali gibi son zamanlardaki yüksek profilli ihlaller, kötü niyetli aktörlerin SaaS’ı yeni bir ana hedef olarak tanımladığının altını çiziyor.
En önemli SaaS güvenliği zorlukları
Anket, alıcıların SaaS uygulamalarını güvence altına alırken karşılaÅŸtığı en önemli güvenlik zorluklarını ortaya çıkardı. %50’si, SaaS uygulamalarının BT/güvenlik ekipleri dışında dağıtılmış yönetimini en büyük 3 zorluklarından biri olarak tanımladı.
%50’si üretken yapay zekanın benimsenmesini yönetmenin en büyük zorluk olduÄŸunu belirtirken, %43’ü SaaS yapılandırmalarının karmaşıklığını en büyük zorluklarından biri olarak belirtti.
Ä°lginç bir ÅŸekilde, kuruluÅŸlarının SaaS uygulamalarını korumak için ÅŸu anda hangi araçları kullandığı sorulduÄŸunda, yanıt verenlerin %52’si Bulut EriÅŸimi Güvenlik Aracısı (CASB) kullandıklarını söylerken %48’i SaaS güvenlik duruÅŸu yönetimi (SSPM) çözümleri kullandıklarını söyledi.
CASB’ler on yılı aÅŸkın bir süredir piyasada olsa da SSPM’lerin benzer bir benimsenme oranına sahip olması, kuruluÅŸların SaaS GüvenliÄŸini ele alma biçiminde önemli bir deÄŸiÅŸikliÄŸin altını çiziyor. Bunun nedeni büyük olasılıkla modern SaaS güvenlik risklerini ele almak için CASB sınırlamalarının farkına varılmasıdır.
Aşırı ayrıcalıklı üçüncü taraf entegrasyonları
Kiracı araÅŸtırması, harici veri paylaşımlarının %22’sinin açık baÄŸlantılar kullandığını, dolayısıyla “baÄŸlantıya sahip olan herkesin” verilere eriÅŸebildiÄŸini ortaya çıkardı. Bu açık baÄŸlantı paylaşımlarının %94’ü etkin deÄŸil, bu da insanların artık eriÅŸime ihtiyaç duymadıklarında bu dosyalara, klasörlere, kayıtlara, kayıtlara vb. eriÅŸebildiÄŸi anlamına geliyor.
Kiracı analizi, kuruluÅŸların %100’ünün en az bir üçüncü taraf entegrasyonuna hassas verilere (e-postalar, dosyalar, takvimler, kaynak kodu) tam eriÅŸim izni verdiÄŸini ve entegrasyonların üçte birine (%33) hassas izinlere ve verilere eriÅŸim izni verildiÄŸini ortaya çıkardı .
SaaS’tan SaaS’a entegrasyonlar, saldırganlar tarafından giderek daha fazla hedef alınıyor; çünkü geleneksel eriÅŸim kontrolleri, insan olmayan kimlikler söz konusu olduÄŸunda daha az etkili oluyor ve kuruluÅŸlar genellikle insan kimlikleri için sahip oldukları izleme yeteneklerine sahip deÄŸil.
SaaS uygulamalarının hızla benimsenmesi, iÅŸletmelerin çalışma ÅŸeklini deÄŸiÅŸtirdi. Ancak bu deÄŸiÅŸim, özellikle yaÅŸam döngüsü yönetimi ve devre dışı bırakma konusunda bir dizi yeni güvenlik sorununu da beraberinde getiriyor. Eksik veya verimsiz ayrılma uygulamaları, geride “hareketsiz” harici paylaşımlar, kullanıcı hesapları ve kullanılmayan entegrasyonlar bırakarak saldırganların yararlanabileceÄŸi önemli fırsatlar yaratabilir.
EMA AraÅŸtırma – Bilgi GüvenliÄŸi BaÅŸkan Yardımcısı Chris Steffen, “Güvenlik liderlerinin ÅŸaşırtıcı bir ÅŸekilde %96’sı SaaS güvenliÄŸine öncelik verirken, Valence’in raporu SaaS güvenliÄŸinin karmaşıklığını gösteriyor” diyor. “Güvenlik yöneticileri, SaaS güvenlik sorunlarının etkili güvenliÄŸi engellediÄŸini ve bu karmaşıklıkları gideren ve kuruluÅŸların geliÅŸen SaaS güvenlik tehdidi ortamında gezinmelerini saÄŸlayan yenilikçi çözümler aradıklarını söyledi.”