ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) siber güvenlik çerçevesi, ağların güvenliğini sağlamaya yönelik dünyanın en önemli yönergelerinden biridir. SaaS dahil herhangi bir sayıda uygulamaya uygulanabilir.
SaaS uygulamalarının güvenliğini sağlamakla görevli kişilerin karşılaştığı zorluklardan biri, her uygulamada bulunan farklı ayarlardır. Çalışanları yöneten bir İK uygulamasına, içeriği yöneten bir pazarlama uygulamasına ve yazılım sürümlerini yöneten bir Ar-Ge uygulamasına uygulanacak bir yapılandırma politikasının NIST uyumluluk standartlarıyla uyumlu olarak geliştirilmesini zorlaştırır.
Ancak SaaS yığınındaki hemen hemen her uygulamaya uygulanabilecek çeşitli ayarlar vardır. Bu makalede bazı evrensel yapılandırmaları inceleyeceğiz, bunların neden önemli olduğunu açıklayacağız ve bunları SaaS uygulamalarınızın güvenlik duruşunu iyileştirecek şekilde ayarlamanız konusunda size yol göstereceğiz.
Yöneticilerle başlayın
Rol tabanlı erişim kontrolü (RBAC), NIST uyumluluğunun anahtarıdır ve her SaaS uygulamasına uygulanmalıdır. Bir SaaS uygulamasında iki tür izin vardır. İşlevsel erişim, hesap oluşturma ve uygulamada gezinme gibi şeyleri kapsar. Veri erişim izinleri ise hangi kullanıcıların verileri alabileceğini ve değiştirebileceğini yönetir. Yönetici hesabı (veya bazı uygulamalardaki süper yönetici hesabı), her iki izne de tam erişime sahip olduğundan uygulama içindeki en hassas hesaptır.
Tehdit aktörleri için yönetici hesabını ihlal etmek piyangoyu kazanmaya benzer. Her şeye erişimleri var. Kuruluşlar bu hesaplar üzerindeki kontrolü sürdürmek için ellerinden gelen her şeyi yapmalıdır. Bu kontrol, yapılandırmalar ve en iyi uygulamalar aracılığıyla yönetilir.
Sınırlı Artıklık Uygulayın
Her uygulama için en az iki yöneticinin olması önemlidir. Bu fazlalık, yöneticiler herhangi bir ihlal belirtisine karşı birbirlerini izleyebildiğinden, bir yöneticinin kuruluşun çıkarlarına aykırı olarak tek başına hareket etmesini zorlaştırır.
Ancak her yönetici uygulamanın saldırı yüzeyini arttırır. Kuruluşların, uygulamaya yeterince hizmet vermek için yeterli sayıda yöneticiye sahip olmak ve maruz kalmayı sınırlamak arasında bir denge kurması gerekir. Yönetici sayısının otomatik olarak incelenmesi, yönetici sayısı tercih edilen aralığın dışında olduğunda uyarıları tetiklemelidir.
Harici Yöneticileri Ortadan Kaldırın
Harici yöneticiler, SaaS güvenliğine yeni bir belirsizlik katmanı getiriyor. Kuruluşun dışında oturdukları için güvenlik ekibi kullandıkları parola politikalarını veya kimlik doğrulama araçlarını denetleyemez.
Örneğin, bir tehdit aktörünün uygulamanızda oturum açmaya çalışması ve Parolamı Unuttum’a tıklaması halinde, tehdit aktörünün harici yöneticinin e-posta hesabını ihlal edip edemeyeceğini bilmenin bir yolu yoktur. Harici kullanıcıların gözetiminin olmaması, SaaS uygulamanızın ciddi şekilde ihlal edilmesine yol açabilir; bu nedenle NIST, harici yöneticilere sahip olmamanızı tavsiye eder. Uygulamaya bağlı olarak, harici yöneticilerin yönetici ayrıcalıkları almasını engelleyin veya yönetici haklarına sahip harici kullanıcıları belirleyip bu ayrıcalıkları kaldırın.
Harici bir BT şirketi kiralayan veya MSSP’lere dış kaynak sağlayan şirketler için bu kişiler harici olarak değerlendirilmemelidir. Ancak, yönetici izinleri verilen diğer harici kullanıcıları izlemeye devam etmeleri gerekir.
Yönetici MFA’sını gerektir
NIST standartlarına uymak için tüm yönetici kullanıcı hesaplarının uygulamaya tek kullanımlık şifre (OTP) gibi çok faktörlü kimlik doğrulama (MFA) kullanarak erişmesi gerekli olmalıdır. MFA, kullanıcının kimliğini doğrulamadan önce kullanıcıların en az iki tür kimlik sunmasını gerektirir. Bir tehdit aktörünün iki kimlik doğrulama sistemini tehlikeye atması gerekecek, bu da riskin zorluk düzeyini artıracak ve hesap riskini azaltacaktır. Yöneticiler için MFA’yı gerektiği gibi ayarladığınızdan emin olun (MFA’yı tüm kullanıcılar için de öneriyoruz, ancak yöneticiler için mutlaka olması gereken bir şeydir).
Bu kontrol listesini indirin ve SaaS güvenliğinizi NIST ile nasıl uyumlu hale getireceğinizi öğrenin
Veri Sızıntılarını Önleyin
SaaS veri sızıntıları, bulut tabanlı uygulamalarda depolanan hassas bilgilerin riske atılmasına neden olarak kuruluşlar ve kullanıcıları için önemli riskler oluşturur. SaaS uygulamaları işbirliği araçları olarak pazarlanmaktadır. Ancak kullanıcıların birlikte çalışmasına olanak tanıyan yapılandırmalar aynı zamanda dosya ve verileri tehlikeye atabilir. NIST ise her kaynağın izinlerinin izlenmesini savunuyor.
Görünür bir takvim, çalışanları sosyal mühendislikle tasarlanmış kimlik avı saldırılarına maruz bırakabilir; paylaşılan veri havuzları ise şirketin dahili kaynak kodunun herkese açık olarak paylaşılmasına yol açabilir. E-posta, dosyalar ve panoların tümü, kamuya açık olmaması gereken hassas veriler içerir. Aşağıdaki yapılandırmalar genellikle her uygulamada farklı olarak adlandırılsa da, içerik depolayan hemen hemen her uygulama bu tür bir kontrole sahip olacaktır.
Herkese Açık Paylaşımı Durdurun
Herkesle Paylaş ile Bir Kullanıcıyla Paylaş arasındaki fark çok derindir. Öğeler herkesle paylaşıldığında, bağlantıya sahip olan herkes materyallere erişebilir. Bunun aksine, Kullanıcıyla Paylaş, kullanıcının materyale erişmeden önce oturum açması gerektiğinden ek bir kimlik doğrulama mekanizması ekler.
Açığa çıkan içeriği azaltmak için uygulama yöneticilerinin genel URL’ler (“Bağlantıya sahip olan herkes”) üzerinden paylaşımı devre dışı bırakması gerekir. Ayrıca bazı uygulamalar, kullanıcıların önceden oluşturulmuş URL’lere erişimi iptal etmesine olanak tanır. Mevcut olduğunda kuruluşlar bu ayarı açık konuma getirdiğinden emin olmalıdır.
Davetiyeleri Süresi Dolacak Şekilde Ayarla
Birçok uygulama, yetkili kullanıcıların harici kullanıcıları uygulamaya davet etmesine olanak tanır. Ancak çoğu uygulamada davetin sona erme tarihi uygulanmaz. Bu koşullar altında, yıllar önce gönderilen davetler, harici bir kullanıcının e-posta hesabını yeni ihlal eden bir tehdit aktörüne erişim sağlayabilir. Davetlerde otomatik son kullanma tarihinin etkinleştirilmesi bu tür riskleri ortadan kaldırır.
Bazı uygulamalarda yapılandırma değişikliklerinin geriye dönük olduğunu, diğerlerinin ise yalnızca ileriye doğru etkili olacağını belirtmekte fayda var.
SaaS Güvenliğinizi NIST standartlarıyla uyumlu hale getirin – kılavuzun tamamını indirin
Uygulama Güvenliğini Sağlamlaştırmak için Parolaları Güçlendirme
Şifreler yetkisiz erişime karşı ilk savunma hattıdır. NIST, hassas kullanıcı verilerini, gizli iş bilgilerini ve bulut tabanlı altyapıda depolanan özel varlıkları korumak için gerekli olan güçlü ve iyi yönetilen bir şifre politikasını savunur. Parolaların benzersizliği, karmaşıklığı ve düzenli olarak güncellenmesi, sağlam bir güvenlik duruşunun kritik yönleridir.
Parolalar, katmanlı güvenlik yaklaşımında temel bir öğe olarak hizmet eder ve çok faktörlü kimlik doğrulama (MFA) ve şifreleme gibi diğer güvenlik önlemlerini tamamlar. Ele geçirilen parolalar, kötü niyetli aktörlerin SaaS ortamındaki güvenlik açıklarından yararlanması için bir ağ geçidi olabilir. Parolaların etkili yönetimi, SaaS sistemlerinin genel dayanıklılığını artırarak hem işletmeler hem de kullanıcılar için daha güvenli ve güvenilir bir dijital ekosisteme katkıda bulunur.
Parola Spreyi Saldırılarını Önleyin
Sprey saldırısında tehdit aktörleri, şanslı olmayı ve uygulamaya erişmeyi umarak bir kullanıcı adı ve ortak şifre terimleri girerler. MFA’nın gerekli kılınması, parola spreyi saldırılarını önlemenin önerilen yoludur. Kimlik doğrulama sürecinin bir parçası olarak çalışanların MFA kullanması konusunda ısrar etmeyenler için birçok uygulama, kuruluşların sözcüklerin parola olarak kullanılmasını yasaklamasına olanak tanır. Bu kelime listesi, şifre1, letmein, 12345 gibi terimleri ve yerel spor takımlarının adlarını içerecektir. Ayrıca kullanıcının adı, şirket ürünleri, ortaklar ve diğer iş şartları gibi terimleri de içerir.
Yapılandırmalara girmek ve özel bir yasaklı kelimeler listesi eklemek, başarılı bir şifre sprey saldırısı riskini önemli ölçüde azaltabilir.
Şifre Karmaşıklığı
Çoğu SaaS uygulaması, kuruluşun parola karmaşıklığını özelleştirmesine olanak tanır. Bunlar, herhangi bir parolaya izin vermekten, alfasayısal karakterler, büyük ve küçük harfler, simgeler veya parola uzunluğu gerektirmeye kadar uzanır. Uygulamadaki şifre gereksinimlerini kuruluşunuzun politikasına uyacak şekilde güncelleyin.
Kuruluşunuzun bir şifre politikası yoksa aşağıdaki NIST yönergelerini göz önünde bulundurun:
- Kullanıcılar hatırlaması kolay şifreler seçme eğiliminde olduğundan zorunlu şifre değişiklikleri yapmayın.
- Karmaşık şifreler yerine uzun şifreler kullanın. Sayıların, özel karakterlerin ve küçük/büyük harf karakterlerinin kombinasyonları genellikle şu şekilde bir format izler: Şifre1!. Bunlar kaba kuvvetle kolaylıkla yapılabilir. MyFavoriteDessertIsPecanPie gibi uzun bir şifrenin hatırlanması kolaydır ancak 27 karakterden oluşur ve kaba kuvvetle uygulanması zordur.
- Şifre deneme sayısını 10’dan fazla olmayacak şekilde sınırlayın.
- Yasaklı kelimeler listesiyle, şifreleri yayınlanmış şifrelere ve tahmin edilmesi kolay diğer kelimelere göre tarayın.
Yapılandırmalar Gerçekten Önemlidir
Bulutla ilgili tüm güvenlik olaylarının yaklaşık %25’i yanlış yapılandırılmış bir ayarla başlar. Burada oldukça evrensel olan erişim, parola ve veri sızıntılarıyla ilgili olarak bahsedilenlere ek olarak, anahtar yönetimi, mobil güvenlik, operasyonel esneklik, kimlik avına karşı koruma, SPAM koruması ve daha fazlası için yapılandırmalar kullanılır. Bu alanların herhangi birindeki yanlış yapılandırmalar doğrudan ihlallere yol açabilir.
Tehdit aktörlerinin zamanlarını yararlanabilecekleri yanlış yapılandırmaları arayarak harcamaları pek mümkün görünmeyebilir. Ancak Rusya devleti destekli Midnight Blizzard grubunun bu yıl Microsoft’u ihlal ettiğinde yaptığı da tam olarak buydu. Microsoft’ta yanlış yapılandırmalar meydana gelebiliyorsa uygulamalarınızın tamamen güvenli olduğundan emin olmak için incelemeye değer.
NIST standartlarını SaaS yığınınıza nasıl uygulayabileceğinizi görün