Önde gelen finansal hizmetler şefi bilgi güvenlik görevlisine (CIS) göre, yaygın olarak kabul edilen hizmet olarak yazılım (SaaS) dağıtım modeli önemli kusurlar içerir ve “sessizce siber saldırganları sağlar”, küresel ekonomik sistemini zayıflatabilecek yaygın güvenlik açıkları getirir.
Üçüncü taraf tedarikçilere açık bir mektupta JPMorgan Chase Ciso Patrick Opet, bu hafta yazılım şirketlerini SaaS’ı varsayılan olarak ve çoğu zaman yazılımın artık sunulabileceği ve müşterileri hizmet sağlayıcılara güvenmeye ve bu kuruluşlara konsantre olmaya çalıştığı tek formatı eleştirdi.
Bu model etkili ve yenilikçi olsa da, “herhangi bir zayıflığın etkisini büyüttüğü… potansiyel olarak katastrofik sistem çapında sonuçlarla tek başarısızlık noktaları yarattığı” açıktır.
“JPMorganchase’de uyarı işaretlerini ilk elden gördük. Son üç yılda, üçüncü taraf sağlayıcılarımız çevrelerinde bir dizi olay yaşadı. Tedarik zincirimizdeki bu olaylar, belirli tehlikeye atılan sağlayıcıların izole edilmesi ve sınırlandırma için önemli kaynakların azaltılması da dahil olmak üzere hızlı ve kararlı bir şekilde hareket etmemizi gerektirdi” diye yazdı.
Son birkaç yıl içinde meydana gelen birçok yaygın tedarik zinciri olayından herhangi birine katılan tedarikçilere parmağını işaret etmemiş olsa da, Opet, sorunun daha iyi değil, daha da kötüleşmiş gibi göründüğünü, SaaS’a, savunmasız kimlik doğrulaması olmadan, müşteri sistemlerine alçaltma yapmadan, müşteri sistemlerine güvensiz erişim sağlamak gibi SaaS’a “içsel” bir konuda başarısız olmasını sağladı. Tedarikçiler sistemlerine.
Otomasyon ve yapay zeka (AI) bu sorunları daha da bir araya getiriyor, ve tüm bu zayıflıkların, müşteri tabanlarına derinlemesine erişim olan organizasyonları giderek daha fazla tercih eden Çin tehdit aktörleri arasındaki taktiklerdeki değişikliklerden kaynaklanan rakipler tarafından iyi biliniyor.
Üç Adım Planı
Musifinde Opet, SaaS sağlayıcısının aşılmaz hale gelmeden önce bu sorunları ele almak için atması gereken üç temel adım ortaya koydu.
Endüstri, tasarım aşamasında siber öncelik vermeye, varsayılan olarak güvenlik özelliklerini inşa etmeye veya etkinleştirmeye çağırdı; SaaS entegrasyonunu riski azaltacak şekilde optimize etmek için güvenlik mimarilerini modernize edin; ve bağlı sistemlerin tehdit oyuncusu kötüye kullanımını durdurmak için daha iyi işbirliği yapın.
Teknoloji pazarlama ve yönlendirmeleri konusunda uzmanlaşmış bir başlangıç olan Accletrex’in kurucu ortağı ve baş teknoloji sorumlusu Mark Townsend, Opet’in mektubunun müşteriler arasında daha geniş hayal kırıklıklarıyla konuştuğunu söyledi.
Townsend, “Yarışmanın önünde kalma acele yıllar boyunca çeşitli sorunlara yol açtı. Piyasaya bir denge yapılması ve gösterilmesi gerekiyor” dedi.
“SaaS satın alırken, verilerinize güvendiğiniz bir satıcı tarafından dağıtılan bir sistem satın alıyorsunuz. Birçoğu yıllık bir kalem testi raporu sağlayacak ve SOC2 ve diğer standartlarla uyumlu olacak, ancak yazarın işaret ettiği gibi, bu uygulamalarda ve bir yıl boyunca onları sağlayan altyapı çok şey oluyor.
“Bu sistemlerin güvenliği oldukça opak ve verilerin nasıl güvence altına alındığına dair satıcı ve tüketici arasında biraz daha fazla şeffaflık gerektiriyor.”
Townsend ekledi: “Satıcılara kolay çıkmadan çok kuralcı olamazsınız. Sahip olması gereken ve önemli olduğunu düşündüğüm yapıcı konuşmalara ilham veriyor.”
Reversec’in Donato Capitella ve sırasıyla baş danışmanı ve araştırma başkanı Nick Jones, Opet’in, saaS’ın benimsenmesi açısından, özellikle birkaç büyük sağlayıcıda risk konsantrasyonu ve proaktif olay tespiti ve yanıtları müşteriler için çok daha zor hale getirme konusunda endüstrinin karşılaştığı kritik zorlukları haklı olarak vurguladığını söyledi.
“Pratik düzeyde, SaaS uygulamalarının yeterli güvenlik sağlayamadığı çok yaygın iki alan vardır. Birincisi, ek maliyetin veya“ işletme ”fiyat planlarının arkasında tek oturum açma işlevselliği yapmak, kullanıcıları yeterli kimlik güvenliği ve maliyet arasında bir değiş tokuş yapmaya zorlamaktır.
“İkincisi, mevcutsa, genellikle pahalı planların veya eklentilerin arkasına geçilen kapsamlı, yüksek sadakatli denetim günlüğüdür. Bu sınırlamalar, bir kuruluşun SaaS mülklerine yönelik saldırıları önleme, tespit etme ve yanıtlama yeteneğini engeller.”
Capitella ve Jones ekledi: “SaaS satıcılarının bu açık mektubu silah çağrısı olarak gördüklerini ve tüketicilerine sertleşmiş, güvenli bir deneyim sunmaya çalıştıklarını umuyoruz.”