Bilgi güvenliği başkanı Alfredo Hickman tarafından,
Bu yılın başlarında, saldırı yüzeyi yönetimi (ASM) konusunda bir grup CISO’nun önünde konuşma fırsatı buldum. Görüşmelerin çoğu, şirket içi ortamlar ve bulut altyapısı etrafındaki saldırı yüzeyini yönetmeye odaklanmış olsa da, SaaS hakkında çok fazla şey söylenmemiş olması benim için ilginçti. Doğal olarak, konuşmayı oraya yönlendirdim. Bulut hizmetlerini kullanan çoğu kuruluş, az sayıda bulut altyapısı sağlayıcısıyla ve genellikle AWS, Azure veya GCP’den oluşan üç büyük sağlayıcıdan biri veya ikisi ile ilgilenir. Bununla birlikte, aynı kuruluşlar, kuruluşları aracılığıyla dağıtılan düzinelerce (yüzlerce değilse bile) SaaS uygulamasına sahiptir. Bu SaaS uygulamalarının her biri, bir diğerinden büyük ölçüde farklıdır ve benzersiz bir dizi güvenlik yeteneği ve zorluğu ortaya çıkarır. SaaS güvenliğinin ve özellikle saldırı yüzeyi yönetiminin güvenlik programlarımız ve operasyonlarımız için daha kritik hale geldiğini görmek kolaydır.
Saldırı yüzeyi yönetimi genellikle, bir kuruluşun yüzey alanının sürekli keşfi, envanteri, sınıflandırılması ve izlenmesi konusunda düşmanca bir bakış açısı almak… ve sonra bu konuda bir şeyler yapmak olarak tanımlanır.
SaaS söz konusu olduğunda, bu umduğumuz kadar basit değil. SaaS saldırı yüzeyinizin zirvesinde kalmak, doğru araçlar ve süreçler olmadan zor veya tamamen imkansız olabilir. SaaS uygulamalarının dinamik doğası, yapılandırmalara ilişkin sınırlı görünürlük ve birçok SaaS uygulamasının birbiriyle entegre olması ve etkileşime girmesi, SaaS saldırı yüzeyi yönetimini en iyi ihtimalle zorlu hale getirir. İşleri daha da zorlaştırmak için, genel olarak üzerinde anlaşmaya varılmış ve ortak SaaS güvenliği paylaşılan sorumluluk modeli yoktur ve her yeni dağıtım, yapılandırma ve entegrasyon risk hesabını değiştirebilir.
Ancak SaaS saldırı yüzeyi yönetimi imkansız değildir. Günün sonunda, IaaS, PaaS ve diğer bulut hizmetlerine benzer şekilde SaaS, başka bir güvenlik işletim alanıdır. Güvenlik uzmanları olarak, güvenlik programlarımızı ve kontrollerimizi SaaS’ı hesaba katacak şekilde geliştirmeliyiz. Düşmanca bir yaklaşım benimsemek, çabalarımızda daha etkili ve verimli olmamıza yardımcı olabilir.
keşif
Güvenlikte “görmediğiniz şeyi savunamazsınız” şeklindeki asırlık gerçek, özellikle temeldeki sistemleri kontrol etmediğiniz ve uygulamaların diğer şirketlerin altyapısında barındırıldığı SaaS için geçerlidir. SaaS uygulamalarının dinamik yapısı ve dağıtım ve entegrasyon kolaylığı ile SaaS uygulama keşfi zor olabilir. Ancak, SaaS keşfine dışarıdan bir yaklaşım benimsemek yardımcı olabilir.
DNS alt etki alanı taraması, internete açık SaaS uygulama portallarını ve bunların API’lerini keşfetmek için yararlı bir taktiktir. Alt alan taraması ile birçok yaygın SaaS uygulama alanını hedefleyebilir ve ardından kuruluşunuzla ilişkili ortak alt alan adlarını arayabilirsiniz. Ek bir avantaj olarak, alt alan taraması, internete maruz bırakabileceğiniz müşteriler, yan kuruluşlar ve ortaklar hakkında potansiyel olarak hassas bilgileri aydınlatmanıza yardımcı olabilir.
Bir başka yararlı yaklaşım, satıcı yönetimi için bir yönetişim süreci uygulamaktır. Bu, bir SaaS ürünü tedarik etmek isteyen herhangi bir ekibin bir ürün risk inceleme sürecinde gezinmesini gerektirir. Finansmanı, risk incelemesi tamamlanana kadar fonlamaya izin verilmeyen sert bir kapı olarak dahil etmek yararlıdır. Bu, satıcı yönetim sürecinin takip edilmesini ve diğerlerinin risk incelemesini daha fazla desteklemesini sağlamaya yardımcı olabilir. Birçok kuruluş bunu zaten yapıyor olsa da, SaaS’ın dinamik yapısı ve hem SaaS uygulamaları içinde hem de bunlar arasında entegrasyon kolaylığı, yalnızca ilk satın alma sürecinde değil, SaaS ayak izinizi düzenli olarak gözden geçirmeyi kritik hale getirir.
Günün sonunda, keşif sürekli bir süreçtir. SaaS uygulamaları sıklıkla değişebilir ve yararlı olması için keşfin doğru olması gerekir. Doğru takım, bu süreci büyük ölçüde kolaylaştırabilir.
Envanter
SaaS uygulamalarını ve uç noktalarını takip etmek, neyin dağıtıldığını bilmek için çok önemlidir. Envanterinizde dikkate almanız gerekenler şunlardır:
SaaS uygulaması nerede dağıtılır? Mümkünse sağlayıcının bulut bölgesini ve adresini bilin. Bu, güvenliğin yanı sıra gizlilik amaçları için de önemlidir.
Uygulamada ne tür veriler depolanır? PII, NPI, PHI, IP ve diğer hassas veri türlerini göz önünde bulundurun.
Kimin erişimi var? Bunu geniş ölçekte izlemek zor olabilir, ancak en azından kimlerin yönetici haklarına, üçüncü taraf yüklenicilere, entegrasyonlara, stajyerlere ve hassas izinlere ve yönetici olmayan erişime sahip olduğunu belgeleyin.
Güvenlik ve gizlilik iletişim noktalarınız nelerdir? Bir güvenlik veya gizlilik olayı sırasında, SaaS sağlayıcı şirkette kiminle iletişim kuracağınızı bulmaya çalışmanın zamanı değil.
sınıflandırma
Sorumlu olduğumuz veri türlerini sınıflandırmak ne kadar önemliyse, SaaS uygulamalarınızı da sınıflandırmak önemlidir. SaaS uygulamalarınızı kurumsal hassasiyet, uyumluluk/düzenleme riski, entegrasyon bağımlılığı riski ve benzerlerine göre sınıflandırmak, bir güvenlik olayı sırasında öncelik belirlemenize ve daha verimli ve etkili bir şekilde yanıt vermenize ve güvenlik kaynakları ile kontrollerine öncelik vermenize yardımcı olabilir. Örneğin, kritik kurumsal süreçleri, onları destekleyen SaaS uygulamalarına geri döndürmek, bir olay durumunda olay müdahalesi ve iş sürekliliği/olağanüstü durum kurtarma süreçlerini bilgilendirmeye yardımcı olabilir. SaaS uygulama yükleme tabanınızın uygun şekilde sınıflandırılması, bu kritik süreçleri kolaylaştırabilir.
İzleme/Tehdit Algılama
Bu, doğru süreçlere ve araçlara sahip olmanın tüm farkı yaratabileceği bir alandır. SaaS’ta güvenlik tehdidi algılama ve izleme, vurulur veya kaçırılır. Bazı SaaS uygulamalarının güçlü yerel yetenekleri vardır ve bazılarının hiç yoktur. Bir aracı dağıtabileceğiniz veya bir SaaS uygulamasına dokunabileceğiniz gibi değil. CASB, çoğunlukla erişime odaklanır ve SaaS uygulamaları ve entegrasyonları içinde ve arasında neler olduğuna dair görünürlüğe sahip değildir. Sorunu daha da karmaşık hale getiren şey, birçok SaaS uygulamasının çok sayıda üçüncü taraf entegrasyonuna sahip platformlar olmasıdır. Her entegrasyonun kendi izin gereksinimleri, veri erişim gereksinimleri, erişim yetkileri vb. Yerel yeteneklere sahip uygulamaları tek tek izlemek ölçeklenmez ve geleneksel araçları bu zorluğa uygulamaya çalışmak, kare bir çiviyi yuvarlak bir deliğe sokmaya çalışmak gibidir. Mantıklı değil.
Kırmızı ekip egzersizleri ve sızma testleri gibi düzenli rakip simülasyonlarla birleştirilmiş amaca yönelik SaaS güvenlik araçlarının yardımcı olabileceği yer burasıdır. Doğru araçlar ve rakip egzersizler, yüzey alanınıza ışık tutabilir, algılama yeteneklerinizdeki boşlukları belirleyebilir ve güvenlik araçlarınızın ve kontrollerinizin etkinliğini değerlendirebilir. Etkili SaaS güvenlik ürünleri, SaaS uygulama yükleme tabanınızın derinlemesine, entegre ve zenginleştirilmiş bir görünümüne sahip olacaktır. Ürünler, SaaS uygulamalarınız içindeki ve arasındaki ilgili varlıkları ve etkinliklerini anlayacak ve SaaS saldırı yüzeyi ve duruşunuzun birleşik bir görünümünü sağlayacaktır.
Duruş Yönetimi
Çoğu güvenlik uzmanı, önlemenin her zaman mümkün olmasa da ideal olduğu konusunda hemfikirdir. Bu, özellikle bir ons önlemenin bir kilo tedaviye değer olduğu SaaS için geçerlidir. Duruş yönetimi, özellikle bir kuruluşun saldırı yüzeyine odaklanıldığında, güçlü veya zayıf bir güvenlik duruşuna katkıda bulunan ayarları ve yapılandırmaları belirlemek için ideal bir yöntemdir. Bir kez daha, bu, SaaS uygulamaları içindeki yerel yeteneklerin vurulabileceği veya kaçırılabileceği bir alandır. SaaS uygulamalarınızın durumunu anlayabilen, yapılandırmanın sonuçlarını anlayan ve riskler ve zaman içinde iyileştirme yöntemleri hakkında bilinçli kararlar almak için gerekli bağlamla bulguları ortaya çıkaran doğru araca sahip olmak çok önemlidir. Bu, güvenlik duruşunun geleneksel uygulamalara ve sistemlere göre daha hızlı ve daha kolay değişebildiği SaaS uygulamalarının dinamik doğası göz önüne alındığında özellikle önemlidir.
Entegre SaaS güvenliği ile ilerlemek
SaaS, birçok güvenlik kuruluşu için nispeten yeni bir işletim alanı olmasına ve birçok benzersiz husus olmasına rağmen, günün sonunda SaaS güvenlik sorunu imkansız değildir. Güvenlik programlarımızı SaaS’yi hesaba katacak şekilde geliştirmek, uygun yönetişim kontrollerini uygulamak ve SaaS tehdit algılama, olay yanıtı, uyumluluk ve duruş yönetimi konularında bilgi sahibi olmak için amaca yönelik araçları dağıtmak, iş açısından kritik SaaS uygulamalarımızı en son sürümlere karşı etkin bir şekilde güvenceye almak için kritik öneme sahiptir. siber tehditler.
reklam