Поскольку работа сокращается с типичным замедлением в конце года, сейчас самое подходящее время пересмотреть роли и привилегии пользователей и удалить всех, у кого не должно быть доступа, а также обрезать ненужные разрешения. Помимо экономии на некоторых ненужных лицензионных сборах, чистый список пользователей значительно повышает безопасность ваших приложений SaaS. От снижения рисков до защиты от утечки данных - вот как вы можете начать новый год с чистого списка пользователей.
Однако это не означает, что бывшие сотрудники были полностью лишены доступа ко всем приложениям SaaS. Предприятия должны вручную деактивировать или удалять пользователей из своих приложений SaaS для всех приложений, которые не подключены к единому входу, а также для любого пользователя, имеющего локальный доступ к приложению, подключенному к единому входу. Эта проблема особенно актуальна для пользователей с высокими привилегиями. Многие приложения требуют, чтобы у них был локальный доступ в случае отключения единого входа.
Любой сторонний пользователь, имеющий доступ к корпоративным приложениям SaaS, сохраняет возможность входить в систему и использовать приложение. Это означает, что они могут загружать данные, вносить изменения, удалять файлы или даже делиться своими учетными данными с конкурентами.
Руководителю группы, скорее всего, понадобятся административные разрешения для добавления новых пользователей, открытия проектов и иного контроля за использованием приложения. Сотрудникам, использующим приложение, могут потребоваться разрешения на чтение / запись для выполнения своей роли, в то время как персоналу службы поддержки могут потребоваться разрешения только на чтение или возможность загружать отчеты.
Поскольку год подходит к концу, самое время пересмотреть разрешения пользователей и убедиться, что они соответствуют их роли. Предприятия должны внедрять принцип наименьших привилегий (POLP), чтобы гарантировать сотрудникам необходимый уровень доступа для выполнения своей работы. Для приложений, которые включают групповые функции, назначьте пользователей-единомышленников группам с предустановленными разрешениями, чтобы стандартизировать наборы разрешений. Для других приложений стоит пересмотреть разрешения пользователей и ограничить доступ только к тем функциям, которые необходимы.
По мере приближения сезона отпусков предприятиям следует проверять неактивные учетные записи и принимать необходимые меры для расследования и оценки их риска. По указанию эти учетные записи должны быть отключены или аннулированы.
Общие учетные записи также затрудняют обнаружение угроз, исходящих от учетной записи. Данные, используемые для обнаружения угроз, основаны на обычном использовании. Однако, если к учетной записи часто обращаются из нескольких мест, маловероятно, что она вызовет оповещение, если к ней обратится субъект угрозы.
Хотя обнаружить общие учетные записи непросто, предприятия могут принять меры для предотвращения и обнаружения совместного использования учетных записей. Например, требование MFA или единого входа затрудняет пользователям совместное использование учетных записей. Службы безопасности также могут просматривать аналитику поведения пользователей, которая указывает на совместное использование учетных записей. Мониторинг логинов с IP-адресов или тщательный анализ аналитики поведения пользователей - вот два способа обнаружения общих имен пользователей.
Потратив время сейчас на поиск общих учетных записей, вы поможете повысить безопасность приложений SaaS в следующем году и в долгосрочной перспективе.
Рисунок 1: Пользовательский инвентарь может дать подробное представление о каждом пользователе SaaS
Используя реестр пользователей SSPM, такой как Adaptive Shield, предприятия могут быстро идентифицировать учетные записи пользователей, к которым не осуществлялся доступ в течение установленного периода времени, находить внешних пользователей с высокими наборами разрешений и обнаруживать пользователей, которые были удалены из IdP. SSPM также способны связывать пользователей с устройствами для дальнейшего ограничения рисков.
При подготовке к 2024 году внедрение SSPM является наиболее эффективным способом мониторинга пользователей и определения, кто к чему имеет доступ в вашем стеке SaaS.
Как сторонние пользователи все еще имеют доступ к вашим приложениям
Когда сотрудники покидают компанию, они запускают серию изменений в серверных системах. Сначала они удаляются от поставщика идентификационных данных компании (IdP), который запускает автоматизированный рабочий процесс, который деактивирует их электронную почту и лишает доступа ко всем внутренним системам. Когда предприятия используют единый вход (SSO), эти бывшие сотрудники теряют доступ ко всем онлайн–ресурсам, включая приложения SaaS, для входа в которые требуется единый вход.Однако это не означает, что бывшие сотрудники были полностью лишены доступа ко всем приложениям SaaS. Предприятия должны вручную деактивировать или удалять пользователей из своих приложений SaaS для всех приложений, которые не подключены к единому входу, а также для любого пользователя, имеющего локальный доступ к приложению, подключенному к единому входу. Эта проблема особенно актуальна для пользователей с высокими привилегиями. Многие приложения требуют, чтобы у них был локальный доступ в случае отключения единого входа.
Любой сторонний пользователь, имеющий доступ к корпоративным приложениям SaaS, сохраняет возможность входить в систему и использовать приложение. Это означает, что они могут загружать данные, вносить изменения, удалять файлы или даже делиться своими учетными данными с конкурентами.
Убедитесь, что разрешения правильного размера
Чрезмерное предоставление доступа любому пользователю излишне расширяет возможности атаки и без необходимости повышает уровень риска для приложения. Именно разрешения пользователя контролируют уровень доступа каждого сотрудника к приложению. В случае взлома учетной записи пользователя субъект угрозы будет иметь такой же уровень доступа, как и пользователь, который был скомпрометирован.Руководителю группы, скорее всего, понадобятся административные разрешения для добавления новых пользователей, открытия проектов и иного контроля за использованием приложения. Сотрудникам, использующим приложение, могут потребоваться разрешения на чтение / запись для выполнения своей роли, в то время как персоналу службы поддержки могут потребоваться разрешения только на чтение или возможность загружать отчеты.
Поскольку год подходит к концу, самое время пересмотреть разрешения пользователей и убедиться, что они соответствуют их роли. Предприятия должны внедрять принцип наименьших привилегий (POLP), чтобы гарантировать сотрудникам необходимый уровень доступа для выполнения своей работы. Для приложений, которые включают групповые функции, назначьте пользователей-единомышленников группам с предустановленными разрешениями, чтобы стандартизировать наборы разрешений. Для других приложений стоит пересмотреть разрешения пользователей и ограничить доступ только к тем функциям, которые необходимы.
Устраните неактивные учетные записи
Неактивные учетные записи, которые не используются, обычно попадают в одну из трех категорий.- Учетные записи администраторов – используются для первоначальной настройки приложения, часто несколькими пользователями. Эти неактивные учетные записи обладают широкими привилегиями.
- Неиспользуемые внутренние учетные записи – учетные записи сотрудников, которые больше не нуждаются в приложении и не используют его. Доступ зависит от роли сотрудника.
- Неиспользуемые внешние учетные записи – неиспользуемые внешние учетные записи пользователей. Этот доступ основан на разрешениях, предоставленных пользователю.
По мере приближения сезона отпусков предприятиям следует проверять неактивные учетные записи и принимать необходимые меры для расследования и оценки их риска. По указанию эти учетные записи должны быть отключены или аннулированы.
Внедрите предотвращение совместного использования учетных записей
Когда команды используют общее имя пользователя для снижения лицензионных сборов, они неосознанно создают дополнительную угрозу безопасности. Полностью обезопасить общие учетные записи практически невозможно. По мере того, как сотрудники присоединяются к команде и покидают ее, увеличивается число пользователей, которым известны учетные данные учетной записи. Кроме того, использование общего входа предотвращает использование MFA и единого входа, двух важнейших инструментов, используемых для защиты приложений SaaS.Общие учетные записи также затрудняют обнаружение угроз, исходящих от учетной записи. Данные, используемые для обнаружения угроз, основаны на обычном использовании. Однако, если к учетной записи часто обращаются из нескольких мест, маловероятно, что она вызовет оповещение, если к ней обратится субъект угрозы.
Хотя обнаружить общие учетные записи непросто, предприятия могут принять меры для предотвращения и обнаружения совместного использования учетных записей. Например, требование MFA или единого входа затрудняет пользователям совместное использование учетных записей. Службы безопасности также могут просматривать аналитику поведения пользователей, которая указывает на совместное использование учетных записей. Мониторинг логинов с IP-адресов или тщательный анализ аналитики поведения пользователей - вот два способа обнаружения общих имен пользователей.
Потратив время сейчас на поиск общих учетных записей, вы поможете повысить безопасность приложений SaaS в следующем году и в долгосрочной перспективе.
Автоматизация мониторинга и управления пользователями
Просмотр списков заявок вручную и сравнение их с IdP - утомительная задача. То же самое касается проверки разрешений, просмотра неактивных учетных записей и поиска признаков совместного использования учетных записей. Внедрение платформы SaaS Security Position Management (SSPM) автоматизирует этот процесс.
Рисунок 1: Пользовательский инвентарь может дать подробное представление о каждом пользователе SaaS
Используя реестр пользователей SSPM, такой как Adaptive Shield, предприятия могут быстро идентифицировать учетные записи пользователей, к которым не осуществлялся доступ в течение установленного периода времени, находить внешних пользователей с высокими наборами разрешений и обнаруживать пользователей, которые были удалены из IdP. SSPM также способны связывать пользователей с устройствами для дальнейшего ограничения рисков.
При подготовке к 2024 году внедрение SSPM является наиболее эффективным способом мониторинга пользователей и определения, кто к чему имеет доступ в вашем стеке SaaS.
