Atmosec’in Kurucu Ortağı ve CTO’su Misha Seltzer tarafından
Zamanın bir işareti olarak adlandırın; bugünlerde kimseye güvenemiyorsun, örgütünün en sadık üyelerine bile. Sonuç olarak, kuruluşlar, bir ağa bağlanan tüm kullanıcıların güvenilmez olarak kabul edildiği ve 2FA kimlik doğrulaması gibi incelemeler gerektirdiği sıfır güven güvenlik modelini benimsemiştir.
Ancak, tedarik zinciri saldırılarındaki artışın da gösterdiği gibi, tehditler bazen en popüler bulut tabanlı uygulamalardan bazıları gibi beklenmedik yerlerden gelebilir. Kuruluşlar, güvenliklerini e-posta yoluyla aktarılan kötü amaçlı yazılımların yanı sıra kullanıcılara bağlı diğer istismarlara odaklama eğilimindedir. Her yerde bulunan SaaS “güvenilir uygulama platformları”nın da potansiyel güvenlik riskleri olarak görülmesi ve sıfır güven politikalarına dahil edilmesi gerekir. Gerçekten de, Okta, Mailchimp, Heroku, TravisCI ve Hubspot dahil olmak üzere en “güvenilir” platformlardan ve hizmetlerden bazıları, son haftalarda saldırıya uğradı ve/veya güvenlik ihlallerine maruz kaldı. Bu tür olaylar, muhtemelen kapsamlı iç güvenliğe sahip olan büyük platformların bile sıfır güven politikalarına dahil edilmesi gerektiğini göstermektedir.
Kullanıcılar gibi platformlar da “güvenilir” olarak değerlendirilemez. Bu tehditlere karşı korunmak için kuruluşların, kullanıcılar, SaaS platformları ve veriler arasındaki tüm bağlantıları inceleyecek ve ayrıca çalışanlar tarafından giderek daha popüler hale gelen üçüncü taraf uygulamalarını değerlendirecek ve inceleyecek sistemler kurması gerekiyor.
Bu platformlardaki güvenlik açıkları, platformlara bağlanan üçüncü taraf uygulamalar aracılığıyla bunlardan yararlanan bilgisayar korsanları tarafından silahlandırılabilir. SaaS platformunun kendisi genellikle güvenli olabilir, ancak güvenlik kusurları – platformun bile farkında olmadığı – kötü aktörlerin platformda ve oradan bir organizasyonun ağına veya SaaS’de depolanan verilere ayak uydurmasını sağlayabilir. platformun kendisi. Ve bu SaaS üçüncü taraf uygulamaları, hem ofisteki çalışanlar hem de uzaktan çalışanlar tarafından platform yeteneklerini geliştirmek için yaygın olarak kullanıldığından, bu bağlantıların sunduğu tehditleri ortadan kaldırmak güvenlik ekipleri için zor bir görev olabilir.
Kuruluşlar için – sıfır güven güvenlik ilkelerine sahip olanlar bile – sorun, çoğu kişinin bu güvenilir SaaS platformlarındaki bağlantıları denetleyememesidir. Böylece bilgisayar korsanları, platformdan kuruluş veya kişisel çalışan verilerini çalmak için SaaS güvenlik açıklarından yararlanabilir ve güvenlik ekibi çok geç olana kadar bunu bilmeyecek. Aslında güvenlik açığı o bile olmayabilir; kullanıcıların daha üretken olmalarına yardımcı olmak için tasarlanmış SaaS platformunun bir “özelliği” olabilir – ancak güvenlik açısından da genellikle incelenmeyen bu tür üçüncü taraf uygulamalar, bilgisayar korsanlarına ihtiyaç duydukları fırsatı sağlayabilir.
Örneğin, 2020’deki araştırmacılar, Slack SaaS platformunda, bilgisayar korsanlarının çevrimiçi bir uygulama aracılığıyla sahte istekler göndermesine olanak tanıyan bir İstek Kaçakçılığı istismarından yararlanan bir hata keşfetti – belki de kötü amaçlı yazılımı bir istemciye iletmek veya verileri sifonlamak için bir istek. bağlı bir bulut hesabı. Araştırmacılara göre, güvenlik açığı, kullanıcıları açık yönlendirmelere zorlamak için kullanılabilecek ve CL.TE tabanlı bir saldırıya ve gizli kullanıcı oturumu çerezlerinin çalınmasına yol açan adsız bir varlıkta keşfedildi. Bu çerezler daha sonra çalınabilir ve bu da keyfi Slack müşteri hesaplarının ve oturumlarının tehlikeye girmesine neden olabilir.”
Hatanın aslında kullanıcı isteklerini hızlandırmak ve platformu daha verimli hale getirmek için tasarlandığını belirtmek gerekir; ancak kötü oyuncular, genellikle yaptıkları gibi, bu özelliği hain amaçlarla ele geçirmeyi başardılar. Slack varlığı, Slack kullanıcılarına yardım, kısayollar ve daha fazla verimlilik sağlamak için platformdaki API’leri ve varlıkları kullanan Slack Marketplace’teki birçok üçüncü taraf uygulamasından biri tarafından kullanılmış veya kullanılmamış olabilir; ama kesinlikle bu şekilde kullanılabilirdi. Güvenlik açığı, bilgisayar korsanları onu ele geçirmeden önce bir böcek ödül avcısı tarafından keşfedildi – ancak başkalarının olmadığının garantisi yok. Aynı hikaye, araştırmacıların platformun OAuth protokolüne dayanan üçüncü taraf uygulamalarının kötü aktörlere kapı açabileceğini keşfettiği SalesForce gibi diğer platformlar için de söylenebilir.
Mesele şu ki, kuruluş güvenlik ekiplerinin bu potansiyel sorunları, muhtemelen bilgisayar korsanları tarafından keşfedilmeden önce bilmelerinin hiçbir yolu yoktur. Bunun gibi sorunların çözümü, bu üçüncü taraf uygulamalarının kaynaklarını kullanmasına izin veren SaaS platformunun elindedir, bunların bazıları güvenlik sorunları olabilir – ancak herhangi bir hasar meydana gelirse, bu kesinlikle sonun sorunu olacaktır. -kullanıcı kurbanı. O halde, güvenlik ekiplerinin görevi, SaaS platformunun güvenlik açıklarını bilmelerinin hiçbir yolu olmamasına veya bununla ilgili herhangi bir şey yapmalarının hiçbir yolu olmamasına rağmen, kuruluşlarının bu kurban listesine girmemesini sağlamaktır. bilselerdi.
Bazı kuruluşlar, yalnızca kapsamlı bir şekilde incelenen SaaS platformlarının ve üçüncü taraf uygulamalarının kullanılmasına izin vererek bir beyaz liste uygulamaya çalışabilir. Ancak, özellikle çalışanların bu platformlara ve uygulamalara yatırılan çok sayıda varlığı ve verisi varsa ve sıfır güven politikalarını uygulamak için başka bir neden varsa, bunu uygulamak zor olabilir.
Daha iyi bir strateji, yapay zeka, makine öğrenimi, sinir ağları ve güvenlik ekiplerini olası sorunlara karşı uyaracak diğer gelişmiş veri sistemleri gibi teknikleri kullanarak, anormallikler ve diğer sorunlar için bağlantıları ve günlükleri inceleyecek otomatik bir sistem uygulamak olabilir. Şüpheli davranış tespit edilirse, ekipler hasarı önlemek veya sınırlamak için müdahale ederek kuruluşun en önemli varlıklarının korunmasını sağlar.
Sıfır güven modeline dayanan ek korumalar, sık parola değişiklikleri gerektirme, 2FA uygulama, API’leri döndürme ve çalışanlar şirketten ayrıldığında veya farklı işler aldığında SaaS hesaplarının kapatılmasını sağlama dahil olmak üzere kuruluş içinde SaaS için daha sıkı politikalar içerebilir. organizasyon. Gelişmiş veri sistemleri, güvenlik ekiplerinin meydana gelen değişikliklere ayak uydurmasına yardımcı olarak tüm güvenlik risklerinin hesaba katılmasını sağlar.
SaaS platformları, sayısız kuruluş için üretkenliği artırdı ve birçok çalışanın işlerini evden yaptığı (ve yapmaya devam ettiği) Covid ve Covid sonrası dönemlerde iş başarısını sağlamak için gerekliydi. SaaS platformlarının ve üçüncü taraf uygulamalarının yetenekleri – ve rahatlığı – önemli olmaya devam edecek. Bunları doğru şekilde ele alan güvenlik ekipleri, kuruluş çalışanlarının üretken ve güvende kalmasını sağlayabilir.
yazar hakkında
Misha Seltzer, Atmosec’in Kurucu Ortağı ve CTO’sudur. Şirketlerin, kuruluşları genelinde herhangi bir iş uygulamasının benimsenmesini, kullanılmasını ve yönetimini güvenle güvence altına almasına yardımcı olarak hareket ediyor. Misha’ya çevrimiçi olarak LinkedIn’de ve şirketimizin web sitesinde https://www.atmosec.com/ ulaşılabilir.