İşletmeler tarafından kullanılan SaaS uygulamalarının sayısındaki ve çeşitliliğindeki patlama hem fırsatlar hem de zorluklar yarattı. Siber güvenlik departmanının görevi güvenlik hijyeninin bozulmadan kalmasını sağlamak olsa da, SaaS yığınlarının potansiyel saldırı yüzeyi hakkında doğru ve kapsamlı bir anlayışa ihtiyaçları vardır.
Adaptive Shield CEO’su ve Kurucu Ortağı Maor Bin tarafından
Kuruluşlar SaaS ortamlarını büyütmeye devam ettikçe, bazı kritik yeni sorular sormalarına neden olan yeni zorluklar ortaya çıkıyor: Başlıca endüstri standartlarına nasıl uyum sağlayabilirim ve bir SaaS güvenlik denetimini nasıl yönetebilirim? SaaS yığını boyunca müşteri, iş ortağı ve çalışan verilerinin korunmasını nasıl sağlarım? Kuruluşların en yüksek güvenlik hijyenini sağlamasına yardımcı olmak için oluşturulmuş Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Hizmet Organizasyonu Kontrolleri (SOC) gibi standartlar ve uyumluluk yönergeleri mevcuttur. SaaS uygulama güvenliği söz konusu olduğunda, bu çerçeveler ve süreçler, bir SaaS Güvenlik Duruş Yönetimi (SSPM) aracının desteğiyle gerçekleştirilebilir.
NIST (Ulusal Standartlar ve Teknoloji Enstitüsü)
NIST’in Siber Güvenlik Çerçevesi (CSF), prosedürler oluşturma, eğitim, rolleri tanımlama, denetleme ve izleme dahil olmak üzere siber güvenlik tehditleriyle başa çıkmak için bir dizi yaklaşımı birleştirir. NIST’in önerilerinin çoğunun klasik eski kritik altyapı güvenliği sorununa yönelik olduğu doğru olsa da, CSF ve SP 800-53 güncellemeleri, kuruluşların SaaS tabanlı çalışma ortamlarında meydana gelen risklere daha iyi yanıt vermesine yardımcı olabilir.
Bir SSPM çözümü, “Ayrıcalıklı Olmayan Hesaplara Ağ Erişimi” (SP 800-53 IA-2 (2)) gibi karmaşık kontroller alarak bu önerilerin kullanımı kolay bir şekilde bir kuruluşun SaaS ortamına dahil edilmesine yardımcı olur ve tüm SaaS platformlarında izlenebilen ve düzeltilebilen somut konfigürasyonlara dönüştürmek. Aynısı, yalnızca kimlik doğrulama yöntemini tanımlamayı değil, aynı zamanda varlık riskiyle eşleştirmeyi talep eden NIST CSF PR.AC-7 gibi çoklu yapılandırma gereksinimleri için de geçerlidir. Yalnızca gelişmiş bir SSPM çözümü, risk perspektifinden kullanıcı ve cihaz tarafından kimlik doğrulama yöntemlerine ilişkin gerekli görünürlük derinliğini sağlayabilir.
SOC 2
İster halka açık ister özel bir şirket olun, işletmeler SOC 2 uyumluluğuna artan bir değer veriyor. Mali raporlama için iç kontrollere odaklanan SOC 1’den farklı olarak, SOC 2 raporunun amacı, bir kuruluşun bilgi sistemlerini, özellikle güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyet ile ilgili olarak belirli bir süre boyunca değerlendirmektir.
Bir şirket SOC 2 denetimi yaptığında, SaaS yığınında güvenlik kontrolleri yapmalıdır. Bu kontroller yanlış yapılandırılmış ayarları, gizlilik kontrollerinin eksikliğini, modern güvenlik yöntemlerinin eksikliğini ve erişim kontrollerinin eksikliğini arayacaktır.
SaaS Güvenlik Duruşunu Yönetme
NIST CSF ve SP 800-53 standartları ve SOC 2 gibi uyumluluk zorunlulukları sırayla bir şirketin güvenlik ve verileri koruma konusundaki kararlılığını göstermesine yardımcı olur. Ancak, büyüyen SaaS dünyasında NIST ve SOC2’ye bağlı kalmak çok daha zordur.
İşletmelerin, çoğu son derece hızlı büyüyen tüm SaaS ortamlarında güvenliği sürekli olarak izleme yeteneğini göstermelerini gerektirir. Bu yeni alanda uyumluluğu sağlamanın ve sürdürmenin SaaS sağlayıcısının sorumluluğunda olduğu konusunda yanlış bir kanı var – gerçek şu ki SaaS sağlayıcıları gerekli güvenlik önlemlerini uygulamaya koyarken, bunları kullanma sorumluluğu müşteriye ve güvenlik ekibine düşüyor.
Bu, çeşitli yeni zorluklar getiriyor. Her şeyden önce, ince bir şekilde gerilmiş güvenlik ekipleri, artık her uygulamayı, kullanıcıyı ve yapılandırmayı bilme ve hepsinin endüstri ve şirket politikalarıyla uyumlu olmasını sağlama konusunda büyük bir sorumluluk üstleniyor. Yalnızca beş SaaS uygulaması üzerinden 50.000 kullanıcıyı yönetmenin istendiğini hayal edin. Bu, güvenlik ekibinin 250.000 kimliği yönetmesini gerektirir. Ayrıca, SaaS ortamları statik değildir, dinamiktir ve çalışanlar eklendikçe veya çıkarıldıkça, yeni uygulamalar eklendikçe ve izinler ve yapılandırmalar güncellendikçe sürekli gelişir.
Bu faktörleri hesaba katarsak, güvenlik ekiplerinden tüm yapılandırmaların şirket genelinde uygulanmasını sürekli olarak sağlamasını ve otomatik bir araç olmadan uyumluluk standartlarını karşıladığından emin olmasını beklemek gerçekçi olmaz.
Bu nedenle SSPM çok önemlidir. Bir SSPM çözümü ile kuruluşlar, her SaaS uygulaması için mevcut tüm kullanıcı izinlerini, şifrelemeyi, sertifikaları ve güvenlik yapılandırmalarını haritalayabilir. Bu, kullanıcı ayrıcalıklarına ve hassas izinlere ilişkin görünürlük sağlar ve ekiplerin, her bir SaaS uygulamasının benzersiz özelliklerini ve kullanılabilirliğini göz önünde bulundurarak bu alanlardaki herhangi bir yanlış yapılandırmayı düzeltmesine olanak tanır. Sonuç olarak, bir şirketin ister yirmi beş SaaS ister 500 uygulaması olsun, şirket standartlarına ve NIST gibi endüstri standardına ve SOC 2 gibi uyumluluk zorunluluklarına daha kolay uyum sağlayabilirler.
SSPM’yi tanıtmayı planlıyorsanız veya zaten kullanıyorsanız, çözümün SaaS güvenlik yanlış yapılandırma kontrollerinizi ana endüstri standartlarıyla karşılaştırabildiğinden ve kendi özel şirket politikanızı oluşturma yeteneğine sahip olduğunuzdan emin olmanızı öneririm.
yazar hakkında
Maor Bin, Adaptive Shield’in CEO’su ve Kurucu Ortağıdır. İsrail Savunma Kuvvetleri’nde (IDF) eski bir Siber Güvenlik İstihbarat Görevlisi olan Bin’in siber güvenlik liderliğinde 16 yılı aşkın bir süresi var. Kariyerinde Proofpoint’te SaaS Tehdit Tespit Araştırmasına liderlik etti ve IDF hizmeti sırasında operasyonel mükemmellik ödülünü kazandı. Maor’a çevrimiçi olarak https://www.linkedin.com/in/maorbin/ adresinden ve şirketimizin web sitesi https://www.adaptive-shield.com/ adresinden ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.