3. Taraf Risk Yönetimi, Coğrafi Odak: Asya, Coğrafi Özel
Kurumsal Güvenlik Liderleri SaaS Saldırılarının Nasıl Önleneceğini ve Azaltılacağını Tartışıyor
Jayant Chakravarti (@JayJay_Tech) •
11 Nisan 2024
Üçüncü taraf yazılım ve uygulamalara olan bağımlılığın artması, dünya çapındaki işletmelerin operasyonel verimliliği artırmasına, müşteri taleplerini karşılamasına ve altyapıyla ilgili maliyetleri düşürmesine olanak tanıdı. Ancak siber suç dünyasının kazançlarını en üst düzeye çıkarmak için yazılım tedarik zincirlerini hedef almasıyla birlikte, güvenlik liderlerinin ağlarına gömülü üçüncü taraf uygulamalarla ilişkili riskleri azaltmanın yollarını bulması gerekiyor.
Ayrıca bakınız: Xi’an Jiaotong-Liverpool Üniversitesi, Cloudflare Performansı ile Sayfa Görüntüleme Sayısını Artırdı
Örneğin, Atlanta, Ga.’nın yemyeşil Whispering Pines semtinde yer alan bir sağlık teknolojisi şirketi olan NASCO, saldırganların 1,6 milyon kişinin verilerine erişmesine olanak tanıyan bir SaaS uygulamasından kaynaklanan bir veri güvenliği olayına maruz kaldı.
1987 yılında kurulan NASCO, ABD’nin 50 eyaletinin tamamında 115 milyondan fazla üyeye hizmet veren Blue Cross ve Blue Shield şirketleri için dijital sağlık çözümleri geliştiriyor. Şirket, Maine Başsavcılığına sunduğu bir dosyada, güvenlik olayının teşhis verileri, sağlık sigortası ayrıntıları, talep verileri ve tıbbi kimlik numaralarının yanı sıra isimler, cinsiyet, doğum tarihleri, adresler, telefon numaraları ve SSN’ler gibi sağlık ve kişisel bilgileri tehlikeye attığını bildirdi. .
İhlal, NASCO’nun Burlington, Massachusetts merkezli Progress Software tarafından geliştirilen bir dosya aktarım uygulaması olan MOVEit Transfer’i kullanmasıyla bağlantılıydı. Mayıs ayı sonlarında, Clop fidye yazılımı grubu, uygulamadaki sıfır gün SQL enjeksiyon güvenlik açığından yararlandı ve temeldeki MOVEit Transfer veritabanlarına bulaşıp verileri çalmak için hızlı bir şekilde bir web kabuğu geliştirdi.
NASCO yalnız değildi. Aralık ayı itibarıyla, 2.290’ı ABD’de olmak üzere tahminen 2.600 kuruluş, MOVEit güvenlik açığıyla ilgili veri ihlallerine maruz kaldı. Mayıs ayından bu yana MOVEit ihlallerini takip eden Alman siber güvenlik firması Kon Briefing, ihlallerin 90 milyona kadar insanı etkilediğini söyledi.
SaaS’ın Benimsenmesi Artıyor, Riskler de Artıyor
Kuruluşlar daha fazla esneklik ve ölçek kazanmak için şirket içi uygulamaları SaaS ile değiştirdikçe, siber aktörlerin tedarik zincirleri genelinde SasS açıklarını hedefleme potansiyeli artıyor.
SaaS uygulamaları internette çalışır; bu, kullanıcıların yazılımı yükleme ve bakımını yapma konusunda endişelenmelerine gerek olmadığı ve web tabanlı bir uygulamayı kullanmak için yalnızca bir abonelik ücreti ödeyebilecekleri anlamına gelir. SaaS sağlayıcılarının uygulamalarının performansının, bakımının ve güvenliğinin sorumluluğunu üstlenmesiyle birlikte, hazır yazılım satın almak ve bunu sürdürmeleri için geliştiricileri işe almak birçok kuruluş için daha az çekici hale geliyor.
SaaS uygulaması ilk kez 1990’ların sonlarında piyasaya çıkmış olsa da dünya çapında kullanılan SaaS uygulamalarının toplam sayısı 2015 ile 2023 arasında on kat arttı. SaaS araçlarına yapılan küresel harcamaların 2024’te 317,5 milyar dolara ulaşması bekleniyor. Fortune Business Insights’a göre küresel SaaS pazarı 2032 yılına kadar %18,4’lük bir Bileşik Büyüme Oranıyla 1,2 trilyon dolarlık bir rakama ulaşabilir.
SaaS sağlayıcıları, son kullanıcıların ihtiyaçlarını karşılamak için uygulamalarının arayüzünü ve işlevselliğini sürekli olarak günceller, ancak sık sık yapılan güncellemeler ve kod değişiklikleri, her zaman yanlış yapılandırmalara ve bozuk kimlik doğrulama, siteler arası komut dosyası oluşturma, zayıf kriptografik karmalar, SQL enjeksiyonu ve LDAP enjeksiyonu gibi kod güvenlik açıklarına yol açar.
Cloud Security Alliance’a göre, kuruluşlardaki güvenlik olaylarının %63’e kadarı SaaS yanlış yapılandırmalarından kaynaklanıyor ve SaaS uygulamalarını kullanan kuruluşların %43’ünü etkiliyor. Kişisel ve iş açısından hassas verileri SaaS uygulamalarında depolayan kuruluşlarda herhangi bir ihlal, büyük bir veri sızıntısına yol açabilir.
Dünya Ekonomik Forumu, Şubat ayında SaaS güvenlik açıkları üzerindeki saldırıların orantısız etkisini vurguladı ve 2023 yılında 87 SaaS şirketine yapılan saldırıların yalnızca ABD’de binden fazla kuruluşu etkilediğini belirtti.
On binlerce kuruluşun, yazılım sağlayıcıların güvenli olmayan kodlama uygulamaları nedeniyle ihlallere maruz kaldığı göz önüne alındığında, son kullanıcıların, sistemleriyle entegre bir üçüncü taraf yazılımı saldırıya uğrasa bile verilerini güvende tutma seçenekleri var mı?
SaaS Uygulama Saldırılarını Azaltma
Hindistan’ın en iyi BT danışmanlık şirketlerinden biri olan Tech Mahindra’nın bilgi güvenliği sorumlusu Lucius Lobo, Information Security Media Group’a kuruluşların artık SaaS’tan uzak durma seçeneğinin olmadığını söyledi. “İster büyük kuruluşlar ister startup’lar olsun, ödeme işleme, iş gücü yönetimi, kaynak planlama veya operasyonları ölçeklendirme gibi çeşitli görevler için herkes SaaS’a ihtiyaç duyar. Büyük Teknoloji şirket içi teklifleri öldürdü. Kuruluşların çok az seçeneği var çünkü her şey SaaS.” söz konusu.
Lobo, SaaS güvenlik risklerini değerlendirirken kuruluşların SaaS sağlayıcısının köklü bir oyuncu mu yoksa yeni kurulmuş bir şirket mi olduğunu dikkate alması gerektiğini söyledi. Deneyimli oyuncular, uygulamalarının güvenliğine yoğun yatırım yapacak kaynaklara sahiptir ve kod yerleştirme saldırılarına karşı daha az savunmasızdır.
Kuruluşların yerleşik bir satıcının güvenlik bilgilerini ölçecek denetim yetkileri yoktur ve satıcıya güvenmekten başka çareleri yoktur. Ancak konu daha küçük şirketlerle çalışmak olduğunda, kuruluşlar şifreleme ve bulut güvenliği uygulamalarını inceleyebilir, tedarik zincirlerini değerlendirebilir, uygulama kodundaki güvenlik açıklarını kontrol edebilir ve sık sık güvenlik değerlendirmeleri yapabilir.
Lobo, günümüzde birçok kuruluşun SecurityScorecard, UpGuard ve kurumsal yazılımlardaki güvenlik açıklarını takip eden ve kullanıcıları uyaran, onlara üçüncü taraf yazılımları istismar edilmeden önce düzeltme fırsatı veren benzer şirketler gibi hizmetlere güvendiğini söyledi.
Bangalore merkezli BT danışmanlık devi Wipro’nun çözüm direktörü Shankar Ramaswamy, üçüncü taraf SaaS uygulamalarını kullanan kuruluşların üç ana konuya odaklanması gerektiğini söyledi: uç nokta güvenliğini güçlendirmek, uygulamanın iç kaynaklara erişimini en aza indirmek ve şifreleri çok faktörlü kimlik doğrulamayla değiştirmek.
“Yerli bir satıcıyla çalışıyorsanız, kötü amaçlı yazılım saldırılarını engellemek için güçlü bir uç nokta güvenliğine sahip olduğunuzdan emin olmalı ve kötü niyetli aktörlerin kod yerleştirme saldırıları gerçekleştirmesini önlemek için en az ayrıcalık ilkesini uygulamalısınız” dedi.
Ramaswamy, kuruluşların ayrıca satıcıların güvenlik iddialarına güvenmemeyi öğrenmeleri ve üçüncü taraf uygulamalara yönelik düzenli olarak sızma testleri ve denetimleri gerçekleştirmeleri gerektiğini söylüyor. Aynı zamanda kullanıcılar, iş açısından hassas verileri barındırmak için hangi bulut platformunun kullanıldığını bilmek konusunda ısrarcı olmalıdır. Son kullanıcı büyük bir kuruluşsa en iyi yaklaşımın uygulama verilerini kendi bulut deposunda barındırmak olabileceğini ekledi.