SaaS uygulamaları kurumsal ortama hakimdir. Artan kullanımları kuruluşların teknoloji ve iş dünyasının sınırlarını zorlamasına olanak tanır. Aynı zamanda, bu uygulamalar aynı zamanda güvenlik liderlerinin ele alması gereken yeni bir güvenlik riski de oluşturmaktadır; çünkü mevcut güvenlik yığını, kullanımlarının tam kontrolünü veya kapsamlı izlenmesini mümkün kılmamaktadır.
LayerX kısa süre önce güvenlik ve BT ekipleri için bu boşluğu gideren “Işık Olsun: Gölge SaaS Riskini Ortadan Kaldırmak” adlı yeni bir kılavuz yayınladı. Kılavuz, gölge SaaS’ın zorluklarını, yani yetkisiz SaaS uygulamalarının iş amacıyla kullanılmasının zorluklarını açıklıyor ve bunları hafifletebilecek uygulamalar ve kontroller öneriyor. Kılavuz ayrıca bu riski gidermeye çalışan çeşitli güvenlik kontrollerini (CASB, SASE, Güvenli Tarayıcı Uzantısı) karşılaştırıyor ve her birinin nasıl çalıştığını ve etkinliğini açıklıyor. Sonuç olarak bu kılavuz, modern kuruluşlardaki tüm güvenlik liderlerinin mutlaka okuması gereken bir kitaptır. İşte öne çıkan başlıca noktalar:
Risk nedir?
LayerX’e göre SaaS uygulamalarının %65’i BT tarafından onaylanmıyor ve çalışanların %80’i onaylanmamış uygulamaları kullandığını kabul ediyor. Bu, kuruluşların çoğunluğunun kurumsal verilerinin potansiyel olarak dış tehditlere maruz kalmasıyla uğraştığı anlamına geliyor.
Kuruluşlara yönelik üç ana risk şunlardır:
- Veri kaybı – Hassas verilerin çeşitli SaaS uygulamaları aracılığıyla ifşa edilmesi. Bunlar arasında ChatGPT veya diğer GenAI uygulamaları, yazım denetleyicileri, veri dosyalarını yönetmeye yardımcı olan uygulamalar vb. yer alır. Bu sızıntı, “masum” uygulamalar aracılığıyla kasıtsız olarak gerçekleştirilebilir. Alternatif olarak bu, çalışanların kötü amaçlarla oluşturulmuş, tuzak olarak kullanılması ve çalışanları hassas verileri paylaşmaya ikna etmek amacıyla oluşturulmuş SaaS uygulamalarını kullanmasının bir sonucu olabilir.
- Kimlik Hırsızlığı ve Hesap Devri – Kurumsal kimlik bilgilerine kötü amaçlı erişim. Bu, çalışanların SaaS uygulamalarına iş e-postalarıyla ve genellikle geri dönüştürülmüş bir parolayla giriş yaptıklarında ve saldırganların bu bilgileri ele geçirdiğinde meydana gelir.
- Uyumluluk ve Gizlilik İhlalleri – Özel ve hassas verilerin kamuya açık kanallarda ifşa edilmesi nedeniyle gizlilik düzenlemelerinin ihlali.
Gölge SaaS Azaltma Yönergeleri
Kılavuz, gölge SaaS riskini ele almak için üç yönlü bir yaklaşım sunmaktadır: Uygulama Keşfi, Kullanıcı İzleme ve Aktif Uygulama. Okuyuculara sistemlerini ve kaynaklarını etkili bir şekilde korumaları için net bir yol haritası sunarak her bir husus parçalara ayrılarak araştırılmaktadır.
Bu incelemenin bir parçası olarak kılavuz, gölge SaaS’ın azaltılmasına yönelik iki seçeneği karşılaştırıyor: geleneksel Proxy yaklaşımı ve Tarayıcı tabanlı çözüm. Her bir yaklaşım artı ve eksilere bölünmüş olup, okuyucuları kurumsal ihtiyaçlarına en uygun yolun hangisi olduğuna karar vermeleri için ihtiyaç duydukları bilgilerle donatmaktadır.
İlk bakışta karşılaştırma şu şekilde özetlenebilir (analizin tamamını kılavuzda okuyabilirsiniz:
| Uygulama Keşfi | Kullanıcı İzleme | Aktif Yaptırım | |
| Vekil (SASE, CASB) | e | N | Kısmi |
| Güvenli Tarayıcı Uzantısı | e | e | e |
Güvenli Tarayıcı Uzantıları
Sonuçta Güvenli Tarayıcı Uzantıları, gölge SaaS ile mücadelede en kapsamlı ve kullanıcı dostu çözüm olarak ortaya çıkıyor. Bu uzantılar, SaaS uygulama kullanımının görünürlüğünü ve yönetimini sağlarken, BT ve güvenlik ekiplerine SaaS ortamlarının kontrolünü yeniden kazanmalarını sağlar. Bu, güvenli ancak esnek bir çalışma alanı sağlar.
Tarayıcı uzantıları şu şekilde güvenli çalışır:
- Tüm SaaS Uygulamalarının Keşfi – Güvenli tarayıcı uzantısı, tarayıcı oturumlarının sürekli analizini gerçekleştirerek BT ekiplerine, iş gücünün hangi SaaS uygulamalarına eriştiğini gösterir.
- Kimlik Güvenliği Duruş Sertleştirme – Güvenli tarayıcı uzantısı, bulut kimlik sağlayıcısıyla entegre olabilir ve ek bir kimlik doğrulama faktörü görevi görebilir. Bu, güvenliği ihlal edilmiş kimlik bilgilerine sahip saldırganların erişmesini engeller.
- Kritik Değişikliklere İlişkin Uyarılar – Güvenli tarayıcı uzantısı, yeni bir kullanıcı hesabının ne zaman oluşturulduğunu da tanımlayabilir. Ardından kimlik ekibinin bu uygulamaları inceleyebilmesi ve bunların kuruluşun güvenlik politikalarıyla uyumlu olup olmadığını belirleyebilmesi için bir uyarı tetiklenir.
- Yönetişim ve Kontrol – Güvenli tarayıcı uzantısı, riskli olarak işaretlenen uygulamalara erişimi engelleyebilir ve kullanıcının cihazından riskli uygulamaya veri yüklenmesini engelleyebilir.
SaaS uygulamalarının kullanımı kolaydır ve kuruluşun operasyonlarına fayda sağlar. İş kolaylaştırıcı olmayı hedefleyen güvenlik ve BT ekiplerinin, kurumsal ortamların korunmasını sağlarken SaaS uygulamalarının kullanımına izin vermenin yollarını bulması gerekiyor. Güvenli bir tarayıcı uzantısı her ikisini de sağlayabilecek çözümdür. Daha fazlasını öğrenmek için kılavuzun tamamını okuyun.