За последние несколько лет SaaS превратился в основу корпоративных ИТ. Предприятия сферы услуг, такие как медицинские практики, юридические фирмы и фирмы, предоставляющие финансовые услуги, почти полностью основаны на SaaS. Компании, не занимающиеся оказанием услуг, включая производителей и розничных продавцов, размещают около 70% своего программного обеспечения в облаке.
Эти приложения содержат огромное количество данных, от минимально конфиденциальной общей корпоративной информации до высокочувствительной интеллектуальной собственности, записей клиентов и данных сотрудников. Субъекты угроз заметили этот сдвиг и активно работают над взломом приложений для доступа к данным.
Вот основные тенденции, влияющие на состояние безопасности SaaS в 2024 году, и что вы можете с этим сделать.
Службы безопасности вынуждены разрабатывать новые способы защиты данных компании. Не имея доступа к приложению и его видимости, они выполняют роль консультантов бизнес-подразделения, использующего приложения SaaS. Чтобы еще больше усложнить ситуацию, каждое SaaS-приложение имеет разные настройки и использует разную терминологию для описания функций безопасности. Группы безопасности не могут создать универсальный руководящий документ для всех из-за различий между приложениями.
Команды безопасности должны найти новые способы сотрудничества с бизнес-подразделениями. Им нужен инструмент, обеспечивающий наглядность и руководство для каждой настройки приложения, чтобы они – и бизнес–подразделение - понимали риски и последствия, связанные с выбором конфигурации, который они делают.
Когда субъекты угрозы завладевают авторизованной учетной записью пользователя, они обычно следуют общепринятым тактикам, техникам и процедурам (TTP), прокладывая свой путь через приложение к нужным им данным. Они оставляют после себя индикаторы компрометации (IoC), которые могут быть основаны на действиях, предпринятых в приложении, или журналах.
По мере приближения нового года мы увидим, что все больше организаций будут внедрять подход, основанный на обнаружении угроз идентификации и реагировании на них (ITDR). ITDR смягчает это беспокойство. Являясь ключевым компонентом в управлении состоянием безопасности идентификационных данных, возможности ITDR позволяют обнаруживать TTP и IoC, а затем отправлять предупреждение группе реагирования на инциденты. Благодаря ITDR субъекты угроз, которым удалось нарушить периметр идентификации, все еще могут быть остановлены до того, как они украдут важные данные или внедрят программу-вымогатель в приложение.
Это изменение окажет ограниченное влияние на стоимость программного обеспечения, поскольку цены на большинство приложений SaaS зависят от подписчиков, а не арендаторов. Однако это окажет значительное влияние на безопасность. Каждого клиента необходимо будет настраивать независимо, и только потому, что один экземпляр приложения защищен, не означает, что все клиенты защищены.
Чтобы обезопасить всех этих арендаторов, службы безопасности должны искать решение для обеспечения безопасности, которое позволяет им устанавливать контрольные показатели приложений, сравнивать арендаторов и отображать параметры безопасности параллельно, не взимая дополнительную плату за каждого дополнительного арендатора. Применяя лучшие практики по всей организации, компании могут обеспечить безопасность всех своих арендаторов.
Рисунок 1: Мониторинг платформы Adaptive Shield и представление всех клиентов Salesforce
Подобные неправильные настройки потенциально могут нанести серьезный ущерб компаниям. Они приводят к утечкам данных, которые подрывают доверие между компаниями и их заинтересованными сторонами и могут обернуться обременительными штрафами, в зависимости от характера утечек данных.
Защита от неправильных настроек - лучший шанс организации предотвратить влияние этих эксплойтов на их деятельность и снизить прибыль.
В марте 2023 года Adaptive Shield опубликовала отчет, показывающий, что только в организациях, использующих Google Workplace с численностью пользователей от 10 000 до20 000 человек, к Google Workplace подключено в среднем 13 913 приложений сторонних производителей. Поразительные 89% из них запрашивали разрешения либо высокого, либо среднего уровня риска. Многие из этих приложений с высоким уровнем риска используются один раз и о них забывают или ими пользуется небольшое количество сотрудников. Однако даже эти бездействующие или малоиспользуемые приложения имеют значительные разрешения и могут быть использованы для компрометации или взлома SaaS-приложения.
Использование приложений сторонних производителей только увеличивается, поскольку разрабатывается все больше приложений и сотрудники руководствуются собственным мнением, а не советуются со своей службой безопасности, при интеграции приложений сторонних производителей в свой стек. Команды безопасности должны обеспечить наглядность всех своих интегрированных приложений и получить представление о запрашиваемых разрешениях, ценности, которую приложение вносит в организацию, и рисках, которые оно представляет.
Рисунок 2: Платформа Adaptive Shield показывает интегрированные приложения сторонних производителей, их оценку рисков и предоставляемые области применения
Эти цифры должны заставить задуматься сотрудников службы безопасности, обеспокоенных тем, что пользователи входят в свои рабочие учетные записи с персональных устройств. Одна из самых больших проблем, с которой сталкиваются службы безопасности, - это когда пользователи с высокими привилегиями входят в свои учетные записи с помощью неуправляемых или незащищенных устройств. Эти устройства могут иметь критические уязвимости и создавать новый вектор атаки. У многих команд практически нет возможности определить, какие устройства используются для доступа к приложению SaaS, или узнать, безопасны ли эти устройства.
SSPMs может предоставить базовые инструменты для нескольких клиентов одного приложения и позволить пользователям устанавливать лучшие практики, сравнивать настройки из разных экземпляров и улучшать общее состояние стека SaaS.
SSPM также обнаруживают и отслеживают приложения сторонних производителей, предупреждая пользователей, если их интегрированные приложения запрашивают слишком большой доступ, и обновляя команду безопасности, когда интегрированные приложения неактивны. ИТ-отдел отслеживает пользователей и устройства, используемые для доступа к приложениям, чтобы предотвратить использование неуправляемых или незащищенных устройств в корпоративных приложениях SaaS. Кроме того, встроенные средства коммуникации упрощают бизнес-подразделениям сотрудничество с сотрудниками службы безопасности в обеспечении безопасности своих приложений.
Популярность приложений SaaS растет не без оснований. Они позволяют организациям масштабироваться по мере необходимости, подписываться на приложения, которые им нужны в данный момент, и ограничивать инвестиции в некоторые ИТ. С помощью SSPM эти приложения также могут быть защищены.
Эти приложения содержат огромное количество данных, от минимально конфиденциальной общей корпоративной информации до высокочувствительной интеллектуальной собственности, записей клиентов и данных сотрудников. Субъекты угроз заметили этот сдвиг и активно работают над взломом приложений для доступа к данным.
Вот основные тенденции, влияющие на состояние безопасности SaaS в 2024 году, и что вы можете с этим сделать.
Демократизация SaaS
Приложения SaaS изменили способы приобретения и использования программного обеспечения организациями. Бизнес-подразделения приобретают и внедряют инструменты SaaS, которые наилучшим образом соответствуют их потребностям. Хотя это расширяет возможности бизнес-подразделений, которые долгое время были разочарованы задержками с закупкой и внедрением программного обеспечения, это требует от организаций переосмысления способов защиты данных.Службы безопасности вынуждены разрабатывать новые способы защиты данных компании. Не имея доступа к приложению и его видимости, они выполняют роль консультантов бизнес-подразделения, использующего приложения SaaS. Чтобы еще больше усложнить ситуацию, каждое SaaS-приложение имеет разные настройки и использует разную терминологию для описания функций безопасности. Группы безопасности не могут создать универсальный руководящий документ для всех из-за различий между приложениями.
Команды безопасности должны найти новые способы сотрудничества с бизнес-подразделениями. Им нужен инструмент, обеспечивающий наглядность и руководство для каждой настройки приложения, чтобы они – и бизнес–подразделение - понимали риски и последствия, связанные с выбором конфигурации, который они делают.
ITDR Формирует критически важную систему безопасности
Если субъект угрозы получает доступ к учетной записи с высокими привилегиями, он получает неограниченный доступ в приложении. Организации теперь понимают, что идентификация является фактическим периметром для их приложений SaaS.Когда субъекты угрозы завладевают авторизованной учетной записью пользователя, они обычно следуют общепринятым тактикам, техникам и процедурам (TTP), прокладывая свой путь через приложение к нужным им данным. Они оставляют после себя индикаторы компрометации (IoC), которые могут быть основаны на действиях, предпринятых в приложении, или журналах.
По мере приближения нового года мы увидим, что все больше организаций будут внедрять подход, основанный на обнаружении угроз идентификации и реагировании на них (ITDR). ITDR смягчает это беспокойство. Являясь ключевым компонентом в управлении состоянием безопасности идентификационных данных, возможности ITDR позволяют обнаруживать TTP и IoC, а затем отправлять предупреждение группе реагирования на инциденты. Благодаря ITDR субъекты угроз, которым удалось нарушить периметр идентификации, все еще могут быть остановлены до того, как они украдут важные данные или внедрят программу-вымогатель в приложение.
Трансграничный комплаенс означает, что больше арендаторов будут защищены
Глобальные компании все чаще сталкиваются с различными нормативными требованиями в разных странах. В результате в 2024 году количество арендаторов с географической привязкой увеличится в рамках усилий по сегментации данных в соответствии с различными нормативными актами.Это изменение окажет ограниченное влияние на стоимость программного обеспечения, поскольку цены на большинство приложений SaaS зависят от подписчиков, а не арендаторов. Однако это окажет значительное влияние на безопасность. Каждого клиента необходимо будет настраивать независимо, и только потому, что один экземпляр приложения защищен, не означает, что все клиенты защищены.
Чтобы обезопасить всех этих арендаторов, службы безопасности должны искать решение для обеспечения безопасности, которое позволяет им устанавливать контрольные показатели приложений, сравнивать арендаторов и отображать параметры безопасности параллельно, не взимая дополнительную плату за каждого дополнительного арендатора. Применяя лучшие практики по всей организации, компании могут обеспечить безопасность всех своих арендаторов.
Рисунок 1: Мониторинг платформы Adaptive Shield и представление всех клиентов Salesforce
Неправильно настроенные настройки приводят к появлению новых эксплойтов
Неправильная настройка по умолчанию в ServiceNow вызвала массовую панику в октябре. Настройка, которая была частью списков контроля доступа приложения, позволяла неавторизованным пользователям извлекать данные из записей. Неправильная настройка повлияла на тысячи компаний. Аналогичная неправильная настройка в сообществе Salesforce в мае также повлияла на значительное количество компаний и привела к утечке данных.Подобные неправильные настройки потенциально могут нанести серьезный ущерб компаниям. Они приводят к утечкам данных, которые подрывают доверие между компаниями и их заинтересованными сторонами и могут обернуться обременительными штрафами, в зависимости от характера утечек данных.
Защита от неправильных настроек - лучший шанс организации предотвратить влияние этих эксплойтов на их деятельность и снизить прибыль.
Повышенная зависимость от приложений сторонних производителей увеличивает риски SaaS
Приложения сторонних производителей приносят реальную пользу конечным пользователям. Они улучшают процессы, расширяют функциональность и соединяют данные между несколькими приложениями. Пользователи подключают эти SaaS-приложения одним нажатием кнопки и мгновенно начинают улучшать свои рабочие процессы.В марте 2023 года Adaptive Shield опубликовала отчет, показывающий, что только в организациях, использующих Google Workplace с численностью пользователей от 10 000 до20 000 человек, к Google Workplace подключено в среднем 13 913 приложений сторонних производителей. Поразительные 89% из них запрашивали разрешения либо высокого, либо среднего уровня риска. Многие из этих приложений с высоким уровнем риска используются один раз и о них забывают или ими пользуется небольшое количество сотрудников. Однако даже эти бездействующие или малоиспользуемые приложения имеют значительные разрешения и могут быть использованы для компрометации или взлома SaaS-приложения.
Использование приложений сторонних производителей только увеличивается, поскольку разрабатывается все больше приложений и сотрудники руководствуются собственным мнением, а не советуются со своей службой безопасности, при интеграции приложений сторонних производителей в свой стек. Команды безопасности должны обеспечить наглядность всех своих интегрированных приложений и получить представление о запрашиваемых разрешениях, ценности, которую приложение вносит в организацию, и рисках, которые оно представляет.
Рисунок 2: Платформа Adaptive Shield показывает интегрированные приложения сторонних производителей, их оценку рисков и предоставляемые области применения
Защита нескольких устройств, поскольку работа из дома никуда не денется
В 2023 году почти 40% всех сотрудников работали из дома, по крайней мере, часть времени. Согласно WFHResearch, примерно 12% сотрудников работают исключительно у себя дома, в то время как еще 28% имеют гибридные роли.Эти цифры должны заставить задуматься сотрудников службы безопасности, обеспокоенных тем, что пользователи входят в свои рабочие учетные записи с персональных устройств. Одна из самых больших проблем, с которой сталкиваются службы безопасности, - это когда пользователи с высокими привилегиями входят в свои учетные записи с помощью неуправляемых или незащищенных устройств. Эти устройства могут иметь критические уязвимости и создавать новый вектор атаки. У многих команд практически нет возможности определить, какие устройства используются для доступа к приложению SaaS, или узнать, безопасны ли эти устройства.
Организации обращаются к SSPM для обеспечения безопасности SaaS
Хотя все эти тенденции указывают на законные опасения по поводу безопасности SaaS, инструменты управления состоянием безопасности SaaS (SSPM) в сочетании с возможностями ITDR, такими как Adaptive Shield, могут полностью обезопасить стек SaaS. SSPM предназначены для автоматического мониторинга конфигураций в поисках отклонений конфигурации, которые ухудшают функциональность приложения. В обзоре безопасности SaaS, Планы и приоритеты на 2024 год, проведенном Ассоциацией облачной безопасности и Adaptive Shield, 71% респондентов заявили, что их компания увеличила инвестиции в инструменты безопасности SaaS за последний год, а 80% либо уже подали в суд на SSPM, либо планируют инвестировать в один из них в течение следующих 18 месяцев.SSPMs может предоставить базовые инструменты для нескольких клиентов одного приложения и позволить пользователям устанавливать лучшие практики, сравнивать настройки из разных экземпляров и улучшать общее состояние стека SaaS.
SSPM также обнаруживают и отслеживают приложения сторонних производителей, предупреждая пользователей, если их интегрированные приложения запрашивают слишком большой доступ, и обновляя команду безопасности, когда интегрированные приложения неактивны. ИТ-отдел отслеживает пользователей и устройства, используемые для доступа к приложениям, чтобы предотвратить использование неуправляемых или незащищенных устройств в корпоративных приложениях SaaS. Кроме того, встроенные средства коммуникации упрощают бизнес-подразделениям сотрудничество с сотрудниками службы безопасности в обеспечении безопасности своих приложений.
Популярность приложений SaaS растет не без оснований. Они позволяют организациям масштабироваться по мере необходимости, подписываться на приложения, которые им нужны в данный момент, и ограничивать инвестиции в некоторые ИТ. С помощью SSPM эти приложения также могут быть защищены.
