Bu Help Net Security röportajında, CSA Araştırma Kıdemli Teknik Direktörü Hillary Baron, özel SaaS güvenlik ekipleri kuran kuruluşlarda son zamanlarda görülen artışın, yaygın olarak kullanılan platformları içeren önemli veri ihlallerinden kaynaklandığının altını çiziyor.
Özel SaaS güvenlik ekipleri kuran kuruluşlarda son dönemde yaşanan artışın nedeni neydi?
Geçen yıl Microsoft 365, Salesforce ve ServiceNow’un dahil olduğu bazı ciddi veri ihlalleri ve en azından ciddi bir ihlal potansiyeli gördük. Veri ihlalleri ve önemli güvenlik açıkları manşetlere çıktığında, şirketler SaaS güvenlik duruşlarını gözden geçirecek ve bazı ayarlamalar yapacaktır; ancak bu vakalar, boyutları ve yazılımlarının her iki ülkede de çok yaygın olması nedeniyle özellikle aydınlatıcıydı. kamu ve özel sektör. Bu vakalar, bu şirketlerin bazılarına ne kadar bağımlı olduğumuzun ve bir SaaS ortamının geniş ölçekte korunmasında ortaya çıkan benzersiz zorlukların ortaya çıkmasını sağladı.
Şirketler ayrıca farklı ancak yine de internetten erişilebilen konumlarda ne kadar hassas veri barındırdıklarını ve SaaS uygulamalarını güvence altına almak için çabalarını iki katına çıkarmaları gerektiğini fark etmeye başladı. Sonuç olarak, şirketlerin yalnızca tehdit ve saldırı vektörlerinin sayısında bir artış görmekle kalmayıp aynı zamanda ne kadar savunmasız olduklarını da fark ettikleri bir uyanış zamanı olduğunu düşünüyorum. Yalnızca kendi SaaS güvenliklerini daha iyi kontrol altına almaları gerektiğini değil, bunun kendi yetenekleri dahilinde olduğunu da anlamaya başladılar.
SaaS güvenliği bağlamında yapay zeka ve makine öğreniminin rolü nasıl gelişiyor?
Yapay zeka ve makine öğrenimi, özellikle gelişmiş tehdit tespiti, otomatik olay müdahalesi ve davranışsal analiz veya tehdit tahmini gibi çeşitli tahmin yetenekleri alanlarında SaaS güvenliğinde kesinlikle büyüyen bir rol oynuyor.
Bu gelişmeler, güvenlik operasyonlarının iyileştirilmesine ve otomatikleştirilmesine yardımcı olmanın yanı sıra, daha fazla güvenlik, ölçeklenebilirlik, esneklik ve tutarlılık sağlamak amacıyla bir kuruluşun bulut ekosistemindeki diğer teknolojiler ve çözümlerle entegrasyona yardımcı olacaktır. Genel olarak yapay zeka ve makine öğrenimi ilerlemeleri, SaaS güvenliğinin daha akıllı, uyarlanabilir ve proaktif olmasına yardımcı olacak; bunların tümü dinamik ve karmaşık ortamların güvenliği için çok önemli.
Özel SaaS güvenlik ekipleri kuran kuruluşlara hangi en iyi uygulamaları önerirsiniz?
Bir SaaS ortamını güvence altına almanın zorluğu, çok yönlü bir güvenlik stratejisi gerektirir ve bu, güçlü bir SaaS güvenlik ekibiyle başlar.
Çalışanların iş fonksiyonlarına uygun eğitim verilmesi esastır. Bu nedenle, güvenlik ekipleri için bu, en son tehditler ve teknolojiler konusunda güncel kalabilmeleri için sürekli eğitim ve mesleki gelişim fırsatları anlamına gelir. Sunulan yeteneklerden tam olarak yararlanmak için kullanacakları araçlar söz konusu olduğunda eğitim özellikle önemlidir.
Bir güvenlik ekibi, yalnızca kendilerine verilen araçlar kadar iyidir; bu nedenle şirketlerin, bulut uygulamalarına özel olarak tasarlanmış gelişmiş güvenlik araçlarını dağıttıklarından (ve güncellediklerinden) emin olmaları gerekir.
Ekiplerin ayrıca olay müdahalesi, düzenli güvenlik değerlendirmeleri ve uyumluluk izleme için standartlaştırılmış süreçlere ihtiyacı vardır; çünkü yerleşik bir iş akışı, özellikle SaaS ekosisteminin çeşitli doğası nedeniyle bir kuruluş genelinde tutarlılığa katkıda bulunur.
Bir güvenlik ekibi kurmaya özel olmasa da, ekip bir kez kurulduğunda sıfır güvenin “asla güvenme, her zaman doğrula” ilkesi, yalnızca SaaS güvenlik duruşunu değil tüm organizasyonun güvenlik duruşunu güçlendirmede uzun bir yol kat edecektir.
Ve son olarak, tüm paydaşların kim olduğunu bilmeleri ve her biriyle ilişkileri olması gerekiyor. SaaS güvenlik sahipliği ve sorumluluğu genellikle dağıtılır, dolayısıyla tüm önemli paydaşlarla ilişkiler kurmak, SaaS güvenliğinin sürdürülmesi ve bir olay durumunda verimli bir şekilde yanıt verilmesi açısından kritik öneme sahip olacaktır.
Bu ekiplerin mücadele etmesi gereken SaaS’a özgü en yaygın güvenlik tehditleri nelerdir?
Bir kızın tehdit telefonları aldığı ve “çağrının evin içinden geldiğini” öğrendiği eski bir film var. Sanırım bu, SaaS güvenlik tehditleri açısından gördüklerimizi en iyi şekilde özetliyor; bu, tehditlerin çoğunun bir işletmenin SaaS ortamında olup bitenlerin bir sonucu olduğu anlamına geliyor.
Her uygulama kendi güvenlik yapısı ve terminolojisiyle birlikte gelir ve güvenlik ekipleri, karmaşık kullanıcı izin yetkilerinden, kapsamlı yapılandırmalara ve geniş kullanıcı tabanlarına kadar her şeyle uğraşmak zorundadır. Güvenlik ekiplerinin birden fazla departmanın ve paydaşın (kendi güvenlik ekibinden ürün satışından İK ve hukuka kadar herkes) katılımıyla ilgilenmesi gerektiğinden, bu durum uygulamaların ötesine geçiyor.
Bunların tümü, tehdit aktörlerinin içeri girmesine ve bu arka kapılardan kendi avantajlarına yararlanmasına olanak tanıyan tutarsızlıklara ve potansiyel güvenlik açıklarına neden oluyor. Anketimiz, bildirilen en yaygın güvenlik olaylarının veri ihlalleri (%52) ve veri sızıntısı (%50) olduğunu, bunu yetkisiz erişim (%44) ve kötü amaçlı uygulamaların (%38) takip ettiğini ortaya çıkardı.
Ve sorunlar ancak birleşme sonrasında daha da artıyor. Yanıt verenlerin yüzde elli beşi, birleşme ve satın alma sonrası SaaS güvenliğini özellikle sorunlu bulduklarını ve farklı güvenlik politikalarının, kullanıcı izinlerinin uyumlaştırılmasının ve çeşitli SaaS uygulamaları arasında mevzuat uyumluluğunun sağlanmasının özellikle sorunlu olduğunu belirtti. Konu söz konusu olduğunda, SaaS ortamlarının yönetilmesi karmaşıktır ve güvenlik tehditlerinde gördüğümüz şeylerin çoğu bu karmaşıklığın doğrudan bir yansımasıdır.
Son zamanlardaki yüksek profilli SaaS güvenlik ihlallerinden hangi dersler çıkarılabilir?
Son zamanlarda meydana gelen yüksek profilli SaaS güvenlik ihlalleri, SaaS ortamlarının yarattığı benzersiz güvenlik açıklarını ve zorlukları vurgulamaya gerçekten hizmet etti. İhlal riskini azaltmak için kuruluşların aşağıdakileri yapması teşvik edilir:
- Güvenlik ayarlarını sık sık gözden geçirin ve güncelleyin.
- Kullanıcıların yalnızca işlerini yapmak için ihtiyaç duydukları izinlere sahip olmasını sağlamak için sıfır güven ilkelerini uygulayın.
- İnsanların söyledikleri kişi olmalarını ve yalnızca erişime ihtiyacı olanlara erişim izni verilmesini sağlamak için güçlü kimlik doğrulama ve yetkilendirme mekanizmaları kullanın.
- Güvenlik uyumluluğunu sağlamak ve güvenlik açıklarını belirlemek için düzenli güvenlik denetimleri gerçekleştirin
- Tutarlılığın yanı sıra güvenlik farkındalığını ve en iyi uygulamalara bağlılığı artırmak için kullanıcı eğitimi sağlayın. SaaS güvenliği tüm kullanıcıların sorumluluğundadır.
- Ekiplerin ihlallere hızlı bir şekilde müdahale edebilmesi, olası hasarı azaltabilmesi ve iyileşme süresini kısaltabilmesi için bir olay müdahale planı geliştirin ve test çalıştırmaları gerçekleştirin.
SaaS güvenliği konusunda uzmanlaşmış güvenlik profesyonellerine hangi becerileri önerirsiniz?>
SaaS güvenliği konusunda uzmanlaşmak isteyen biri için en önemli becerinin öğrenmeye devam etme ve her şeyden önce esnek olma arzusu olduğunu düşünüyorum. Pratik beceriler açısından, bulut güvenliği, IAM ve veri güvenliği konusunda sağlam bir temelin yanı sıra SaaS mimarisi hakkında da bilgi sahibi olmaya yardımcı olur.
Teknik hususların ötesinde, insanların en son güvenlik trendleri ve tehditleri ile sektörlerine yönelik ilgili düzenleme ve uyumluluk gerekliliklerinden haberdar olmaları önemlidir. Bu alan sürekli olarak değişiyor ve gelişiyor, dolayısıyla SaaS’taki güvenlik profesyonellerinin sürekli öğrenmesi ve stratejilerini buna göre uyarlaması gerekiyor.
Bir kuruluş içinde bir güvenlik kültürü oluşturmaya çalışırken, katılmaları gereken kişi sayısı göz önüne alındığında, iyi iletişim kurabilmeleri ve çok farklı insan gruplarıyla çalışabilmeleri de hayati önem taşıyor. SaaS güvenlik profesyonellerinin birlikte çalışacağı kişilerin çoğu güvenlik uzmanları değil (BT, hukuk, İK, pazarlama gibi departmanlar) kuruluşlarında güvenlik odaklı bir kültürü geliştirmek için en iyi güvenlik uygulamaları hakkında birçok eğitim almaları gerekecek.