SaaS güvenliği nihayet hak ettiği ilgiyi görse de, niyet ve uygulama arasında hala önemli bir boşluk var. Geçici stratejiler ve diğer uygulamalar hala bir güvenlik programının gerisinde kalıyor. AppOmni’ye göre, merkezsizleşmeye doğru gidiş sorumluluklar konusunda kafa karışıklığına yol açtı ve birçok kuruluş hangi SaaS uygulamalarının kim tarafından ve neyin riskli olduğunun farkında değil.
Kaynak: AppOmni
AppOmni CEO’su Brendan O’Connor, “Daha fazla farkındalık ve çabaya rağmen, işler daha da kötüye gidiyor. İhlallerle ilgili sürekli manşetler olduğu gibi, SaaS istismarlarının sayısı da geçen yıla göre beş yüzde puanı artarak %31’e ulaştı. Bu istatistiklerin ardındaki ayrıntılar daha da kötü – artan bütçelere ve girişimlere rağmen, kuruluşların SaaS dağıtımlarını güvence altına almak için çok daha iyi bir iş çıkarması gerekiyor” dedi.
Dağıtılmış alan adlarının bir dezavantajı
SaaS uygulamalarının benimsenmesi kolaydır ve departmanların kendi özel ihtiyaçlarını karşılayan çözümleri bağımsız olarak dağıtmalarını sağlamıştır. Ancak, merkezi olmayan operasyonların faydalarına CISO, iş kolu başkanları ve siber güvenlik ekibi arasındaki sorumlulukların bulanıklaşması eşlik eder.
SaaS güvenliği için gerekli değişiklikler çoğu zaman iş hedeflerinin gerisinde kalırken, iş birimi yöneticilerinin güvenlik kontrollerini uygulamak için gerekli bilgiyi edinmeleri gerekir.
Farkındalık olmadan evlat edinme
SaaS uygulamaları, ilgili riskler hakkında yeterli bilgi olmadan yaygın olarak dağıtılıyor. Kuruluşlar SaaS uygulamalarını uyguladığında, genişletilmiş işlevler, otomatik iş akışları, birleşik veri erişimi vb. sağlayan üçüncü taraf entegrasyonlarında bir artış görüyorlar.
Ancak çoğu kuruluş, tüm SaaS-to-SaaS bağlantı ayak izlerine ilişkin daha fazla görünürlüğe ihtiyaç duyar. Örneğin, Microsoft 365’i sık kullanan katılımcıların %49’u platforma bağlı 10’dan az uygulamaları olduğuna inanıyordu; AppOmni’nin toplu verileri ortalama 1.000’den fazla bağlantı olduğunu gösteriyor. Sonuç olarak, tüm SaaS saldırı yüzeyine ilişkin görünürlük elde etmek, SaaS güvenlik yolculuğunun ilk adımıdır ve sürekli izleme de aynı derecede önemlidir.
Uygulanmayan politikalar
Ankete katılanların %90’ı yalnızca onaylı uygulamaların kullanımını sağlamak için politikalara sahip, ancak %34’ü bu kuralların sıkı bir şekilde uygulanmadığını kabul ediyor. Bu yüzde aslında 2023’ten bu yana 12 puan arttı.
Sorun, SaaS uygulamalarının BT ekipleri tarafından dağıtılanlarla aynı güvenlik incelemesinden geçmemesi ve potansiyel saldırı yüzeyini genişletmesidir. Bu ortamda, kuruluşların tüm iş açısından kritik SaaS uygulamaları için temel politikaları yürürlüğe koyması ve bu uygulamalardaki hangi verilere kimin erişebileceğini belirlemesi gerekir.