Finans ve bankacılık, sektöre özgü, SAAS ve Web Uygulaması İş Akışları
“Sağlayıcılar güvenceyi acilen yeniden önceliklendirmeli” diye yazıyor Patrick Opet
Akhabokan Akan (Athokan_akhsha) •
29 Nisan 2025
Bankacılık devi JPMorgan Chase, yazılımı hizmet sağlayıcıları olarak, onları “sessizce cyberattackers’ı etkinleştirmek” ile suçlayan açık bir mektupta siber güvenlik uygulamalarını iyileştirmek için çağırdı.
Ayrıca bakınız: Ondemand Web Semineri | Mobil Uygulama Güvenliği: Genişletilmiş Çevreyi Koruma
Şirketlerin SaaS’a güvenmekten başka seçeneği yok, “genellikle yazılımın şu anda teslim edildiği tek format” diye yazdı Global Finans Firması’nın baş bilgi güvenlik görevlisi Patrick Opet.
“Kritik bir kavşakta duruyoruz. Sağlayıcılar, güvenliği acilen yeniden önceliklendirmeli ve yeni ürünler piyasaya sürmeye eşit veya üstüne yerleştirmelidir.”
OPET, SaaS, iç kaynaklarla doğrudan entegrasyon nedeniyle ağ segmentasyonu, katmanlama ve protokol feshi gibi modeli geleneksel kurumsal güvenlik önlemleri yapıyor. Uygulamada bu entegrasyon, “İnternet’teki sistemler ve özel dahili kaynaklar arasında tek faktörlü açık bir güven yaratarak kimlik doğrulamasına izin verilmiştir. Şirketler, SaaS sağlayıcılarının kazandığı ayrıcalıklı erişimin her zaman farkında olmadığını söyledi.
Risklerin birleştirilmesi, kolayca çalınan kimlik doğrulama jetonları ve SaaS sağlayıcılarının kendi üçüncü taraf bağımlılıkları kümesidir. Opet, saldırı yüzeyini daha da büyütmeye hazır olan AI ajanları ve veri yönetimi ve otomasyondaki ilerlemeler gibi yeni teknolojiler olduğunu söyledi.
Endüstri, güvenlik içinde inşa etme çabalarıyla yanıt verdi, Opet yazdı, ancak “” Tasarımla Güvenli ve Dayanıklı “sloganların ötesine geçmeli” dedi (bakınız: Kıdemli CISA danışmanları, federal küçülme ortasında çıkışları duyurdu).
“Bugün, bir büyük SaaS veya Paas sağlayıcısına yapılan bir saldırı, müşterileri aracılığıyla hemen dalgalanabilir. Bu temel değişim kolektif derhal dikkatimizi gerektiriyor.”
OPET’ten gelen uyarılar, entegre BT sistemlerini hedefleyen artan hack’lerin ardından geliyor. Microsoft’un yakın tarihli bir raporu, Çin’in devlete ait grup ipek tayfunun, kurbanların müşteri ortamlarına erişmek için çalıntı ayrıcalıklı erişim yönetimi API anahtarları ve kimlik bilgileri kullanılarak gözlemlendiğini buldu.
Gizli bilgi işlem ve kendi bulutunuzu getirme gibi bazı teknolojik çözümler saldırı yüzeyini azaltabilir, ancak endüstrilerin birbirine bağlı sistemlerin kötüye kullanılmasını önlemek için sofistike yetkilendirme yöntemlerine, gelişmiş algılama özelliklerine ve proaktif önlemlere “ihtiyacı olacaktır.
Opet, değişimi etkilemenin en iyi yolu, “bu entegrasyon modellerini daha iyi çözümler olmadan reddetmek” olduğunu yazdı.