SEC, SaaS’a ücretsiz geçiş hakkı vermiyor. “Kayıt yaptıranlar” olarak bilinen ilgili kamu şirketleri, artık SaaS sistemlerinde depolanan veriler ve bunlara bağlı 3. ve 4. taraf uygulamalar için siber olay açıklaması ve siber güvenliğe hazırlık gerekliliklerine tabidir.
Yeni siber güvenlik kuralları, şirket içinde, bulutta veya SaaS ortamlarında depolanan ve bir ihlal nedeniyle açığa çıkan veriler arasında hiçbir ayrım yapmıyor. SEC’in kendi sözleriyle: “Makul bir yatırımcının, yalnızca veriler bir bulut hizmetinde barındırıldığı için önemli bir veri ihlalini önemsiz olarak göreceğine inanmıyoruz.”
Bu gelişen yaklaşım, SaaS güvenlik eksikliklerinin sürekli olarak manşetlere çıktığı ve teknoloji liderlerinin, hem SolarWinds’i hem de CISO’sunu dolandırıcılıkla suçladıktan sonra SEC’in siber güvenliği nasıl değiştirebileceğini tartıştığı bir dönemde ortaya çıkıyor.
SaaS ve SaaS’tan SaaS’a Bağlantı Riskleri SEC ve Kuruluşunuz İçin Neden Önemli?
SaaS güvenliğinin algısı ve gerçekliği çoğu durumda birbirinden kilometrelerce uzaktadır. SaaS güvenlik lideri AppOmni’nin SaaS Güvenlik Durumu raporu, kuruluşların %71’inin SaaS siber güvenlik olgunluklarını orta ila yüksek olarak derecelendirdiğini, ancak %79’unun son 12 ay içinde bir SaaS siber güvenlik olayı yaşadığını gösterdi.
SEC, SaaS güvenliğinin de eksik olduğunu düşünüyor ve yeni yaklaşımı için “siber güvenlik olaylarının yaygınlığında önemli bir artış” olduğunu öne sürüyor. Bu endişeler elbette SaaS’a güvenen az sayıdaki kayıt yaptıranlarla sınırlı değildir. Statista, 2022 yılı sonu itibarıyla ortalama küresel organizasyonun 130 SaaS uygulamasını kullandığını bildiriyor.
Veri sızıntısı riski, SaaS’ın her yerde bulunması ve güvenlik açığıyla sınırlı değildir. SaaS platformlarından daha fazla değer elde etmek için, kuruluşlar rutin olarak SaaS’tan SaaS’a bağlantılar kurar (3. taraf uygulamaları SaaS sistemlerine bağlamak), bu bağlantılar ister BT tarafından onaylansın, isterse bir gölge BT biçimi olarak gizlice entegre edilsin. Çalışanlar yapay zeka çözümlerini SaaS uygulamalarına giderek daha fazla bağladıkça, CISO’ların denetlediği dijital ekosistemler daha fazla birbirine bağlı ve belirsiz hale geliyor.
Güvenlik Ekibiniz 3. Parti Uygulamaları İzleyebilir mi? Takımların %60’ı Yapamıyor
Güvenlik ekipleri bu konunun ele alındığını düşünüyor ancak veriler kendi adına konuşuyor: Kuruluşların %79’u SaaS ihlallerine maruz kaldı. AppOmni raporu, SaaS güvenliğindeki şaşırtıcı gizli çatlakları ortaya çıkarıyor. Savunmasız olup olmadığınızı görmek için şimdi indirin.
Nasıl Yapabileceğinizi Öğrenin
Karmaşık SaaS’tan SaaS’a bağlantılar geliştikçe yönetim zorlukları ve siber güvenlik riskleri katlanarak artıyor. Bu bağlantılar genellikle kurumsal üretkenliği artırırken, SaaS’tan SaaS’a uygulamalar birçok gizli riski de beraberinde getirir. Örneğin CircleCI’nin ihlali, sektör lideri CI/CD aracıyla SaaS’tan SaaS’a bağlantıları olan sayısız işletmenin riske atılması anlamına geliyordu. Aynı durum, yakın zamanda siber olaylara maruz kalan Qlik Sense, Okta, LastPass ve benzeri SaaS araçlarına bağlı kuruluşlar için de geçerlidir.
SaaS’tan SaaS’a bağlantılar güvenlik duvarının dışında mevcut olduğundan, Bulut Erişimi Güvenlik Aracıları (CASB’ler) veya Güvenli Web Ağ Geçitleri (SWG’ler) gibi geleneksel tarama ve izleme araçları tarafından tespit edilemezler. Bu görünürlük eksikliğinin yanı sıra, bağımsız satıcılar sıklıkla tehdit aktörlerinin OAuth token ele geçirme yoluyla tehlikeye atabileceği güvenlik açıklarına sahip SaaS çözümleri yayınlayarak bir kuruluşun en hassas verilerine gizli yollar oluşturur. AppOmni, çoğu işletmenin tek bir SaaS örneğinde kurulu 256 benzersiz SaaS’tan SaaS’a bağlantıya sahip olduğunu bildirmektedir.
Yatırımcıları ve piyasayı etkileyebilecek verilere artık genişleyen dijital kanallar ağı üzerinden erişilebilir ve hacklenebilir.
“Veriyi Takip Et” Yeni “Parayı Takip Et”
SEC, yatırımcıları korumak ve “adil, düzenli ve verimli pazarları” sürdürmekle görevli olduğundan, kayıt sahiplerinin SaaS ve SaaS’tan SaaS’a bağlantılarını düzenlemek, ajansın yetki alanına giriyor. Siber güvenlik kuralları duyurusunda SEC başkanı, “Bir şirketin bir yangında fabrikasını kaybetmesi veya bir siber güvenlik olayında milyonlarca dosyayı kaybetmesi yatırımcılar için önemli olabilir” dedi.
İhlallerin kapsamı ve sıklığı, SEC’in siber risk alanındaki düzenleyici genişlemesinin temelini oluşturuyor. SaaS ihlalleri ve olayları halka açık şirketlerde düzenli aralıklarla meydana geliyor ve AppOmni, 2022’den 2023’e kadar saldırılarda %25’lik bir artış gözlemledi. IBM, bir veri ihlalinin maliyetinin 2023’te tüm zamanların en yüksek ortalaması olan 4,45 milyon dolara ulaştığını hesaplıyor.
Açıklama gereklilikleri medyanın en fazla ilgisini çekse de, yeni SEC düzenlemeleri aynı zamanda önleme tedbirlerini de belirtiyor. CISO’lar, “siber güvenlik tehditlerinden kaynaklanan maddi risklerin değerlendirilmesi, tanımlanması ve yönetilmesi” ile yönetim kurulunun ve yönetimin siber güvenlik riski ve tehdit gözetimindeki rolünü paylaşmaya yönelik süreçlerini tanımlamalıdır.
Onları sevin ya da nefret edin, bu kurallar SaaS müşterilerini daha iyi siber güvenlik hijyeni benimsemeye zorluyor. Olan biteni ve kuruluşunuzun bu konuda ne yaptığını ve yapmakta olduğunu mümkün olduğunca doğrudan ve samimi bir şekilde açıklamak, yatırımcıların güvenini artırır, mevzuata uygunluğu sağlar ve proaktif bir siber güvenlik kültürünü teşvik eder.
SaaS’ta en iyi saldırı aşılmaz bir savunmadır. Hassas verilerinize erişimi olan her SaaS sisteminin ve SaaS’tan SaaS’a bağlantının riskinin değerlendirilmesi ve yönetilmesi yalnızca zorunlu değildir, aynı zamanda veri ihlallerinden kaçınmak ve etkilerini en aza indirmek için de gereklidir.
SaaS Sistemlerinizi ve SaaS’tan SaaS’a Bağlantılarınızı Nasıl Korur ve İzlersiniz?
SaaS güvenlik riskini ve durumunu manuel olarak değerlendirmenin yükü, bir SaaS güvenlik durumu yönetimi (SSPM) aracıyla hafifletilebilir. SSPM ile tüm SaaS uygulamalarındaki yapılandırmaları ve izinleri izleyebilir, ayrıca bağlı yapay zeka araçları da dahil olmak üzere SaaS’tan SaaS’a bağlantıların izinlerini ve erişimini anlayabilirsiniz.
Kayıt yaptıranların, etkili risk yönetimi için SaaS’tan SaaS’a tüm bağlantılara ilişkin kapsamlı bir anlayışa sahip olmaları gerekir. Bu, tüm bağlantıların ve bunları kullanan çalışanların bir envanterini, bu bağlantıların temas ettiği verileri ve bu 3. taraf araçlara verilen SaaS sistemlerine yönelik izin düzeylerini içermelidir. SSPM, SaaS’tan SaaS’a güvenliğin tüm bu yönlerini değerlendirir.
SSPM ayrıca, duruşun kontrol altında kalmasını sağlamak için güvenlik ve BT ekiplerini yapılandırma ve izin sapmaları konusunda uyaracaktır. Ayrıca olağandışı bir IP adresinden veya coğrafi konumdan kaynaklanan kimlik ihlali girişimi gibi şüpheli etkinlikleri de algılayacak ve uyarıda bulunacaktır.
CISO’lar ve ekipleri, veri ihlali riskini azaltacak uygun duruş ve tehdit tespit araçları olmadan hazırlık gereksinimlerini karşılamakta zorluk yaşayabilir. SSPM, şirketlerin dört günlük süre içinde kapsamlı ve gerçeklere dayalı açıklamalar hazırlamasına yardımcı olmak için etkinlik günlüklerini merkezileştirir ve normalleştirir.
SEC’in bu yeni kuralları nasıl uygulayacağını yalnızca zaman gösterecek. Ancak bu düzenlemeler yarın ortadan kalksa bile SaaS güvenliğinin artırılması, veri piyasalarının ve yatırımcıların güvendiği verilerin korunması açısından hayati önem taşıyor.