Ekonomik oynaklığa ve daha sıkı bütçelere rağmen, hizmet olarak yazılımın (SaaS) benimsenmesi artmaya devam ediyor. Gartner, KOBİ’ler de dahil olmak üzere şirketlerin BT yığınlarına yeni SaaS platformları eklemesiyle, 2023’te SaaS için %16,8’lik bir büyüme öngörüyor.
Bu, 2022’nin son yarısında gördüğümüz şeyi yansıtıyor: KOBİ’ler SaaS’ı gönülden kucaklıyor. İşletme yönetimi, ofis araçları, satış, işbirliği, İK, pazarlama ve benzerlerine yönelik yatay uygulamalara ek olarak, KOBİ’lerin çok çeşitli sektörlerde dikey uygulamaları benimsediğini görüyoruz.
Sonuç, yalın bir BT ekibiyle ve hatta daha yalın BT güvenlik personeliyle çalışan şirketler için yıldırıcı bir güvenlik sorunudur. Sektörde uzun yıllara dayanan deneyimimize göre, daha küçük kuruluşlar ortalama 47 SaaS uygulaması kullanabilir. Daha büyük şirketler için rakamlar üç haneli rakamlara çıkıyor. Bu uygulamaların her biri, bir SMB’yi ve kişisel olarak tanımlanabilir bilgiler (PII), kişisel sağlık bilgileri (PHI) ve kredi kartı numaraları gibi hassas verileri riske atabilecek bir saldırı yüzeyini temsil eder.
Kuruluşların, şirket içi kaynaklar için kullanılan aynı titiz siber güvenlik kontrollerini, uyumluluğu, izlemeyi, tehdit algılamayı ve yanıtlamayı ve tehdit avlamayı bulut altyapısına uygulaması gerekir. Yine de, bulut güvenliği rolleri ve sorumlulukları konusunda genellikle belirsizlik vardır. KOBİ’lerin güvenliğin tamamen SaaS sağlayıcısının elinde olduğunu düşündüğüne çok sık rastlıyoruz, halbuki aslında SaaS müşterisi verilerinden ve kullanıcılarından her zaman sorumludur.
Bir KOBİ’nin SaaS uygulamalarını kullanırken güvenlik açıklarını kapatmak için atabileceği dört adım şunlardır:
1. SaaS uygulamalarınız için bulut güvenliğine yönelik paylaşılan sorumluluk modelini anlayın
Başlıca bulut hizmeti sağlayıcılarının (CSP’ler) her biri, bulut güvenliği için CSP’nin sorumluluğunun nerede bitip sizinkinin başladığını tanımlayan kendi paylaşılan sorumluluk modeli sürümüne sahiptir. Model, CSP’ler arasında biraz farklılık gösterecektir ve hangi tür bulut hizmetinin kullanıldığına bağlıdır: hizmet olarak altyapı (IaaS), hizmet olarak platform (PaaS) veya SaaS.
Her üç model için de veri merkezi tesislerinin, ana bilgisayar donanım ve yazılımının ve bulut hizmetini çalıştırmak için kullanılan ağların güvenliğinden her zaman CSP sorumludur. SaaS sağlayıcıları için sorumluluk yığınla devam eder ve CSP’ye bağlıdır. Bazı modellerde, CSP uygulama katmanının güvenliğinden tek başına sorumluyken, verilerden ve kullanıcı erişiminden ve kimliğinden tamamen müşteri sorumludur. Diğer satıcı modellerinde, CSP’ler ve müşteriler uygulama düzeyinde kontroller, kimlik ve erişim yönetimi (IAM) ve uç nokta koruması için sorumluluğu paylaşır. Bu paylaşılan bir sorumluluk olsa da nihai müşteri verileri koruma ve riski yönetme konusunda tüm sorumluluğu elinde tutar.
SaaS ürünlerini seçme konusundaki durum tespiti, kimin neden sorumlu olduğunu anlamayı ve sorumluluklarınızı yerine getirmeyi içermelidir. Örneğin, şirketiniz Microsoft 365’e abone olursa, uygulama yapılandırmalarını ayarlamak, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek, kullanıcı hesapları oluşturmak ve kaldırmak ve rol tabanlı erişim atamak tamamen size aittir. Bazı SaaS sağlayıcıları, aktarılan ve kullanılmayan verilerin şifrelenmesini içerirken, diğerleri bu sorumluluğu size atar. Düzinelerce SaaS ilişkiniz olduğunda permütasyonlar karmaşıktır.
2. SaaS uygulama yapılandırmalarını ve entegrasyonlarını izleyin
Tüm yazılım ürünleri gibi, SaaS uygulamaları da varsayılan yapılandırmalarla gelir ve bunlar, SaaS yığınınızdaki tüm uygulamalarda farklıdır. Bu varsayılanları kabul etmek veya güvenlik gereksinimlerinizi karşılayacak şekilde değiştirmek sizin sorumluluğunuzdadır. Ayrıca, Slack’i Google ile entegre etmek gibi bir SaaS uygulaması ile diğer uygulamalar arasındaki entegrasyonların güvenliğini sağlamak da size bağlıdır. Bu, son kullanıcılarınızın BT güvenliğinin bilgisi olmadan yapılandırmalar ayarlaması ve entegrasyonları etkinleştirmesi nedeniyle karmaşık bir hal alır. Son kullanıcı davranışı nedeniyle ve uygulama güvenliği ürün güncellemeleriyle değişebileceğinden, bu yapılandırmaları düzenli olarak gözden geçirmek önemlidir.
3. Siz ve yönetilen hizmet sağlayıcınız arasındaki paylaşılan sorumluluk modelini anlayın
Birçok KOBİ, BT yönetimi için kıt dahili kaynakları desteklemek, BT güvenlik operasyonlarına yardımcı olmak veya her ikisi için yönetilen hizmet sağlayıcıları kullanır. SaaS güvenliğindeki boşlukları kapatmak için, olay müdahalesi de dahil olmak üzere, sizin ve hizmet sağlayıcınızın kimin neyden sorumlu olacağını anladığınızdan emin olun.
4. Tüm SaaS güvenlik telemetrisini güvenlik operasyonları merkezi izleme araçlarınız ve güvenlik bilgileri ve olay yönetimi platformunuzla entegre edin
Bu adım kritik öneme sahiptir. Güvenlik operasyonları merkeziniz (SOC) ve güvenlik bilgileri ve olay yönetimi platformunuz (SIEM), güvenlik duvarları, uç noktalar ve şirket içi kaynakların yanı sıra tüm SaaS uygulamalarınızdan telemetri akışlarını alıyor olmalıdır. Bu entegrasyon olmadan, bulut verilerinize yönelik saldırılara işaret edebilecek olaylara karşı kör olabilirsiniz. Bu, yanıtı yavaşlatır ve siber suçluların altyapınıza girmesine olanak tanır. SOC veya SIEM platformunuz için yönetilen hizmetler kullanıyorsanız hizmet sağlayıcının SaaS seçim sürecinizin bir parçası olarak entegre etmek istediğiniz uygulamaları desteklediğinden emin olun.
Anahtar çıkarımlar
CSP’lerin ve SaaS sağlayıcılarının bulutun güvenliğinden sorumlu olduğu, son müşterilerin ise bulutun güvenliğinden sorumlu olduğu genel kuralını her zaman unutmayın.
SaaS uygulamaları, saldırı yüzeylerini genişletmelerine ve güvenlik kör noktaları oluşturabilmelerine rağmen KOBİ’ler için temel hızlandırıcılardır. KOBİ’ler, SaaS uygulamalarının dönüştürücü avantajlarını tam olarak gerçekleştirmek için CSP’lerin, SaaS şirketlerinin ve yönetilen hizmet sağlayıcıların bulut güvenlik yeteneklerinden ve uzmanlığından yararlanmalıdır.