İhlal etmek için haydut bir çalışana ihtiyacınız yok.
Tek gereken, birisinin iptal etmeyi unuttuğu ücretsiz bir deneme. AI destekli bir not alıcı, Google Drive’ınızla sessizce senkronize. Kişisel kritik bir araca bağlı kişisel bir Gmail hesabı. Bu gölge. Ve bugün, sadece onaylanmamış uygulamalar değil, aynı zamanda hareketsiz hesaplar, yönetilmeyen kimlikler, aşırı bırakılan SaaS araçları ve yetim erişimle ilgili. Çoğu en olgun güvenlik çözümlerini bile geçiyor.
CASB veya IDP’nizin bunu kapsadığını mı düşünüyorsunuz? Değil.
SaaS: OAuth Sprawl, Shadow Adims, Genai Erişim veya doğrudan Google Workspace veya Slack gibi platformlarda oluşturulan uygulamalarda olanları yakalamak için inşa edilmediler. Gölge artık bir görünürlük sorunu değil – tam bir saldırı yüzeyi.
Kanat Güvenliği, güvenlik ekiplerinin olay olmadan önce bu riskleri ortaya çıkarmasına yardımcı olur.
İşte verilerinizi sessizce kanayan 5 Gölge BT örneği.
1. Saldırganların sömürmeyi sevdiği göremediğiniz uykuda erişim
- Risk: Çalışanlar, SSO veya merkezi görünürlük olmadan yalnızca kullanıcı adı ve şifre kullanarak araçlara kaydolurlar. Zamanla, uygulamaları kullanmayı bırakırlar, ancak erişim kalır ve daha da kötüsü yönetilmez.
- Etki: Bu zombi hesapları ortamınıza görünmez giriş noktaları haline gelir. MFA’yı uygulayamaz, kullanımı izleyemez veya offtrobs sırasında erişimi iptal edemezsiniz.
- Örnek: CISA ve küresel siber ajanslar, 2024 yılında Rus devlet destekli grup APT29’un (SVR’nin bir kısmı) işletme ve hükümet sistemlerine erişim elde etmek için hareketsiz hesapları aktif olarak hedeflediği ortak bir danışma uyarısı yayınladı. Bu hesaplar, fark edilmeden, MFA eksik oldukları ve artık kullanılmadıktan çok sonra erişilebilir kaldıkları için genellikle ideal dayanaklar olarak hizmet ederler.
2. üretken AI, e -postalarınızı, dosyalarınızı ve stratejinizi sessizce okumak
- Risk: Üretici AI tarafından desteklenen SaaS uygulamaları genellikle okuma gelen kutularına, dosyalara, takvimlere ve sohbetlere tam erişim ile geniş OAuth izinleri ister.
- Etki: Bu SaaS uygulamaları genellikle gerektiğinden daha fazla erişim sağlar, belirsiz veri saklama ve model eğitim politikaları ile üçüncü taraflara hassas verileri sunar. Erişim verildikten sonra, verilerinizin nasıl depolandığını, dahili olarak erişimi olan veya satıcı ihlal edilirse veya erişim yanlış yapılırsa ne olacağını izlemenin bir yolu yoktur.
- Örnek: 2024 yılında, Deepseek yanlışlıkla yanlış yapılandırılmış bir depolama kovası nedeniyle hassas veriler içeren dahili LLM eğitim dosyalarını maruz bıraktı ve üçüncü taraf Genai araçlarına veri güvenliği etrafında gözetim olmadan geniş erişim sağlama riskini vurguladı.
3. Eski çalışanlar, ayrıldıktan aylar sonra hala yönetici erişimine sahiptir
- Risk: Yeni SaaS araçlarında (özellikle IDP’nizin dışında) çalışanlar genellikle tek yöneticidir. Şirketten ayrıldıktan sonra bile erişimleri kalır.
- Etki: Bu hesaplar, şirket araçlarına, dosyalarına veya ortamlara kalıcı, ayrıcalıklı erişime sahip olabilir ve uzun vadeli bir içeriden gelen riski oluşturur.
- Gerçek hayat örneği: Bir yüklenici bir zaman izleme uygulaması oluşturdu ve şirketin İK sistemine bağladı. Sözleşmelerinin sona ermesinden aylar sonra, hala çalışan günlüklerine yönetici erişimi vardı.
SaaS ortamınızda hangi kanadın ortaya çıktığını görün. Bir güvenlik uzmanı ile konuşun ve bir demo alın.
4. Kontrol etmediğiniz kişisel hesaplara bağlı iş açısından kritik uygulamalar
- Risk: Çalışanlar bazen Figma, Notion ve hatta Google Drive gibi iş uygulamalarına kaydolmak için kişisel Gmail, Apple Kimliği veya diğer yönetilmeyen hesaplarını kullanırlar.
- Etki: Bu hesaplar tamamen BT görünürlüğünün dışında bulunur. Eğer tehlikeye girerlerse, güvenlik politikalarını iptal edemez veya uygulayamazsınız.
- Örnek: 2023 OKTA Müşteri Destek İhlali’nde, bilgisayar korsanları MFA olmadan OKTA’nın destek sistemine erişimi olan bir hizmet hesabını kullandı. Hesap aktif, işlenmemiş ve belirli bir kişiye bağlı değildi. Olgun kimlik sistemlerine sahip şirketler bile bu kör noktaları kaçırabilir.
5. Taç mücevherlerinize uygulama-uygulama bağlantısı ile Shadow SaaS
- Risk: Çalışanlar onaylanmamış SaaS uygulamalarını doğrudan Google Workspace, Salesforce veya Slack gibi güvenilir platformlara bağlar – katılımı veya incelemesi olmadan. Bu uygulama-uygulama bağlantıları genellikle geniş API erişimi ister ve kullanımdan uzun süre aktif kalır.
- Etki: Bu entegrasyonlar kritik sistemlere gizli yollar oluşturur. Meydan okursa, yanal hareketi etkinleştirebilir, saldırganların uygulamalar arasında dönmesine, verileri peçelesine veya geleneksel uyarıları tetiklemeden kalıcılığı korumasına izin verebilirler.
- Örnek: Bir ürün yöneticisi bir yol haritası aracı Jira ve Google Drive’a bağladı. Entegrasyon geniş erişim talep etti, ancak proje sona erdikten sonra unutuldu. Satıcı daha sonra ihlal edildiğinde, saldırganlar sürücü ve pivot’u Jira’ya çekmek için kalıcı bağlantıyı kullandılar, dahili kimlik bilgilerine ve yükseltme yollarına eriştiler. Bu tür yanal hareket, 2024 Microsoft ihlalinde, saldırganların kaçınma tespitinden kaçınmak ve dahili sistemlere kalıcı erişimi sürdürmek için posta kutusu erişimi ile eski bir OAuth uygulamasından yararlandığı gece yarısı Blizzard tarafından görüldü.
Bu konuda ne yapıyorsun?
Gölge bu sadece bir yönetişim sorunu değil, gerçek bir güvenlik boşluğu. Ve ne kadar uzun süre fark edilmezse, risk o kadar büyük olur ve SaaS ortamınız o kadar açık olur.
Wing Security, ajanlar veya vekiller olmadan SaaS uygulamalarını, kullanıcıları ve entegrasyonları otomatik olarak keşfeder-insan ve insan olmayan kimlikleri, izinleri ve MFA statüsünü haritalar. Bilinmeyen bilindikten sonra, Wing bir platformda çok katmanlı SaaS güvenliği sağlar, yanlış yakınlaştırmaları, kimlik tehditlerini ve SaaS risklerini tek bir gerçek kaynağına dönüştürür. Uygulamalar ve kimlikler arasındaki olayları ilişkilendirerek, kanat gürültüyü keser, neyin önemli olduğuna öncelik verir ve proaktif, sürekli güvenlik sağlar.
Demo Bir demo alın ve bilgisayar korsanları yapmadan önce SaaS ortamınızın kontrolünü ele alalım.