Her şey desenlerle ilgili.
Siber güvenlik kimsenin radarında olmadan çok önce, savunma zekası – saflarınızda bir düşman casusunu yakalamak gibi – kalıpları tanıyabilmek ve anlamlarını doğru yorumlamakla ilgiliydi.
Güvenliğin kalıp tanıma ve yorumlamaya güvenmesi siber çağında daha az doğru değildir.
Ve hiçbir yerde SaaS dünyasından daha doğru değil.
SaaS’ta yaptığın şeysin.
SaaS ortamında kimlik bir erişim bilgileri meselesidir.
Kuruluşunuzun Satış Başkan Yardımcısı ‘Erişim Kimlik Bilgileri Başkan Yardımcısı VP Satışlarıdır. VP satışlarının ayrıcalıkları göz önüne alındığında, VP satışları olarak değerlendirilecek ve tüm eylemleri VP satışlarına atfedilecek.
Bu VP satışları size bir istek veya talimat içeren bir mesaj göndermek için kurumsal bir SaaS uygulaması kullandığında, mesajı gönderen et ve kan varlığının aslında VP satışları olup olmadığını gerçekten bilemezsiniz. Şirketten ayrılmayı ve onlarla en iyi beklentilerinizi almayı planlayan hoşnutsuz bir çalışan olan VP satışlarının genç kızı, VP satışlarınızın erişim kimlik bilgilerinizden ellerini almayı başaran bir tehdit aktörü olabilir. .
Neyse ki, bunları nasıl yorumlayacağınızı bildiğiniz sürece, kimlikler ve niyetleri hakkındaki gerçeği SaaS sistemlerinizde ortaya çıkarmak için ihtiyacınız olan tüm bilgilere sahip olmalısınız.
Peki bu kritik bilgiyi nerede buluyorsunuz?
SaaS veri erişim modellerinde.
SaaS uygulama denetim günlükleri, SaaS kimliklerinin tüm başvuru ve varlıklarla etkileşimleri hakkında bilgi toplamalıdır. Normalleştirme ve zenginleştirmeden sonra, çapraz uygulama karşılaştırmaları ve analizleri için bir güvenlik aracına aktarılabilir. Amaç, tehditleri gösterebilecek, daha sonra herhangi bir riski teyit edebilecek, reddetmek veya ele alabilecek kalıplar ve anomaliler bulmaktır.
Aşağıda, belirli bir kullanıcının veri erişim bilgileri tarafından gün ışığına çıkarılabilecek birkaç sorunlu deseni temsil eder. Veri erişim modelinin unsurlarını tanımlayacağız, olası sonuçları not edeceğiz ve potansiyel iyileştirmelere dokunacağız.
Profil 1: “Bu bir sorun mu?” kullanıcı
En büyük SaaS güvenlik risklerinizden biri, SaaS güvenlik riskleri hakkında yeterince bilmeyen son kullanıcılardır. Veri güvenliği sorununa neden olmaya çalışmıyorlar; Onlar sadece.
Bu son kullanıcı grubu arasında görebileceğiniz veri erişim modeli nedir?
- Aşırı paylaşım (örneğin, belirgin bir ihtiyaç olmadığında kuruluş çapında ve/veya kamuya açık paylaşım)
- Diğer dahili kullanıcılara uyan yerlerden oturum açma ve oturum açma (yani erişim kimlik bilgilerinin paylaşılmasını gösterir)
- Paylaşılan varlıkların hassas bilgilerle güncellenmesi (örn. Kredi kartı numaraları, AWS anahtarları, diğer sırlar)
- Hassas varlıkları harici olarak paylaşmak
Birçok kuruluşun güvenlik eğitimi programları olsa da, bu pasif, bir kerelik olaylar genellikle katılımcıların farkındalık ve eylemlerini değiştirmek için yeterli değildir.
Payları veya verilerin kaldırılmasına ek olarak, bu sorunlu kullanıcı modeli için uzun vadeli azaltma, riskli bir eylem gerçek zamanlı olarak eğitimdir. Bu yaklaşımı kullanarak, hassas bir SaaS varlığını kişisel bir e -posta adresi ile paylaşmaya veya bir şifreleme anahtarını gevşek bir kanalda yayınlamaya çalışan bir kullanıcı, onları bilgilendiren ve sorunu açıklayan ve düzeltmelerini isteyen bir mesaj alacaktır.
Profil 2: “Oh, hadi – hiçbir şey olmayacak” kullanıcısı
Yukarıda açıklanan ilk sorunlu kullanıcının aksine, bir SaaS güvenlik perspektifinden riskli olarak kabul edilen şeyin çok iyi farkında olan kullanıcılar var – ve yine de bu bilgiyi görmezden gelmeyi ve yine de riskli eylemi yapmayı seçiyorlar. Bu kullanıcının eylemleri genellikle rahatlık, algılanan dokunulmazlık veya güvenlik önlemlerinin önemini değerlendirmek için hesaplanmış bir risk değerlendirmesi ile yönlendirilir.
Sadece veri erişim modellerine baktığımızda, SaaS güvenlik uygulamalarının farkında olmayan kullanıcı ile farkında ama dikkatsiz olan arasındaki farkı söylemek zor. Neyse ki, hafifletme temelde aynıdır-sorunlu eylemlerini geri almak ve gerçek zamanlı bir güvenlik eğitimi mesajı göndermek-mesajın amacı farklı olsa da:
- Cahil kullanıcı durumunda, mesaj kullanıcıyı güvenlik ilkesinden haberdar eder.
- İhmal edici kullanıcı durumunda, mesaj kullanıcıyı güvenlik prensibine uymak için eylemlerinin izlendiğini bildirir.
Profil 3: “Yardımdan yararlanalım” kullanıcısı
Şimdiye kadar, riske neden olabilecek kullanıcılarla uğraştık, ancak aslında kuruluşunuza zarar vermek istemiyorlar. Şimdi klasik kötü niyetli tehdit aktörünüze geçeceğiz: kişisel kazanç için veri erişiminden yararlanacak olan.
Bu son kullanıcı grubu arasında görebileceğiniz veri erişim modelleri, özellikle hassas veri varlıklarını, özellikle de çok sayıda veri varlığının kopyalanması ve/veya dışa aktarılmasını içerir. Hassas veri türleri arayışları ve hassas varlıkların özel e -posta hesaplarıyla paylaşılması da yaygın göstergelerdir.
Bu veri erişim modellerini, kullanıcının İK durumu veya dış taraflarla onaylanmış katılım gibi iş bağlamsal bilgileriyle birleştirmek önemlidir (örn. M&A ekipleri). Bu iş bağlamı, yanlış pozitif veya olumsuzluk riskini azaltır.
Bu “yararlanalım” kullanıcı vakalarından herhangi birinde, gerçek aktör söz konusu kullanıcı kimliğinin gerçek sahibi olabilir veya örneğin, kimliğin erişim kimlik bilgilerini alan sosyal mühendislik taktikleri aracılığıyla harici bir tehdit aktörü olabilir. . İş bağlamsal bilgileri (kalkış yapan yönetici durumunda olduğu gibi) veya SaaS uygulama erişim bilgileri (örn. Parola değişiklikleri veya sıfırlar) bazen hangisinin olduğu konusunda ipuçları verebilir. Ancak emin olmak için, muhtemelen soruşturmayı SaaS ekosisteminizin dışına çıkarmanız gerekecek.
Profil 4: “Üzgün olacaklar” kullanıcısı
İntikam. Misilleme. ‘Yanlış’ ‘doğru’.
Şikayetleri harekete geçiren kullanıcılar, diğer kullanıcı riski tehdit türlerinden daha az yaygındır. Bu iyi bir şey, çünkü kuruluşunuza zarar sadece riskli eylemlerinin bir yan ürünü değil, onların hedefi.
Bu son kullanıcı grubu arasında görebileceğiniz veri erişim modelleri, veri varlıklarının silinmesi veya bunları o kullanıcı için beklenmedik bir şekilde değiştirmeyi içerir. Ayrıca alışılmadık derecede çok sayıda veri varlığını ihraç edebilir ve hassas verileri kamuya açıklayabilirler.
“Hadi yararlanalım” kullanıcısı gibi, iş bağlamsal bilgileri de intikamcı kullanıcıyı belirlemek için yararlıdır. Aşağıdaki İK verileri, şikayette bulunabilecek kullanıcıları tanımlamak için kırmızı bir bayrak görevi görebilir:
- Düşük Performanslı İncelemeler
- Fesih
Azaltma söz konusu olduğunda, niyetlerini yerine getirmeden önce bu kullanıcının eylemlerini hızlı bir şekilde tespit etmek ve tepki vermek önemlidir. İlgili azaltma eylemleri, daha fazla araştırmaya kadar denenen değişikliklerinin uygulanmasını (örneğin varlık silme veya değişiklik) tutarak, hassas varlıklara erişimlerini veya kullanıcı hesaplarını askıya almayı içerir. Infosec ve İK ekipleri de uyarılmalıdır.
SaaS güvenliğinden mutlulukla cahil olan kullanıcılardan SaaS güvenliğinizi kırmaya eğilen kullanıcılara kadar – her biri SaaS veri erişim modelleri söz konusu olduğunda ayırt edici bir ayak izine sahiptir.
Araçlar veri erişim bilgilerini toplamak, analiz etmek ve bu ayak izlerini seçmek için mevcuttur. Onları akıllıca kullanın. Desenleri tanımlayın. Buna göre cevap verin. SaaS güvenlik duruşunuzu yüz katını güçlendireceksiniz.
Yazar hakkında
Adam Gavish, kurucu ve CEO, Docontrol. Adam, 20 yıllık deneyime sahip bir siber güvenlik girişimcisi ve ürün yöneticisidir. Google Bulut Güvenlik Ekibinin eski üyesi. Crowdstrike portföy şirketine liderlik ediyor.
Adam’a çevrimiçi olarak https://www.linkedin.com/in/adamgavish/ adresinden ulaşılabilir ve şirket web sitemize https://www.docontrol.io/.