, 2022/3/24
A tanulmány arra figyelmeztet, hogy a felhőalkalmazásokhoz való könnyű hozzáférés veszélyezteti az üzleti adatokat. A vállalkozások egyre nagyobb számban veszik igénybe a szoftver-az-a-szolgáltatást alkalmazó alkalmazásokat, hogy javítsák működésük hatékonyságát és alkalmazottaik termelékenységét, de a felhőalkalmazásokhoz való hozzáférés gyenge ellenőrzése sok szervezet adatait veszélyezteti.
A DoControl kedden közzétett tanulmánya szerint a SaaS-alkalmazásokat használó, átlagosan 1000 fős vállalatok 1000-15 000 külső munkatársnak teszik ki az adataikat. Hozzátették, hogy 200-3000 cég is hozzáférhet a vállalat adataihoz, míg egy tipikus vállalkozás SaaS-fájljainak 20 százalékát belsőleg bárki megoszthatja, aki képes rákattintani egy linkre. A jelentés figyelmeztetett, hogy a kezelhetetlen SaaS-adathozzáférésből eredő kockázat nem elszigetelt vagy triviális probléma.
A jelentés szerint a 2020-ban elemzett adatbetörések 43 százaléka webes alkalmazások sebezhetőségére vezethető vissza. Bár meglepő lehet, hogy az összes adatbetörés közel fele a SaaS-alkalmazásokra vezethető vissza, mivel a vállalkozások egyre nagyobb mértékben támaszkodnak ezekre a programokra, érthető, hogy ez egy ilyen hatalmas fenyegetettségi terület. "Egy 1000 fős vállalat átlagosan 500 000 és 10 000 000 közötti értéket tárol SaaS-alkalmazásokban" - mondta Adam Gavish, a New York-i székhelyű DoControl társalapítója és vezérigazgatója, amely SaaS-alkalmazások adathozzáférésének felügyeletét, összehangolását és orvoslását kínálja.
"Ezért a nyilvános megosztást lehetővé tevő vállalatok akaratlanul akár 200 000 ilyen eszköz nyilvános megosztását is lehetővé tehetik" - mondta a TechNewsWorldnek. A probléma valószínűleg csak súlyosbodni fog. A Gartner előrejelzése szerint a SaaS-szolgáltatások használata tovább fog nőni, a bevételek több mint 30 százalékkal, a 2020-as 110,5 milliárd dollárról 143,7 milliárd dollárra ugranak 2022-re.
A Covid által felgyorsítva
A növekedésnek lendületet adott a világméretű világjárvány. "A SaaS-megoldások a világjárvány kezdete óta igazán bizonyították értéküket" - mondta Jake Kouns, a Risk Based Security vezérigazgatója és CISO-ja, a sebezhetőségi intelligencia, a jogsértési adatok és a kockázati minősítések szolgáltatója Richmondban, Va.
"A SaaS-ajánlatok könnyen beállíthatók, és általában nem igényelnek IT-erőforrásokat a rendelkezésre bocsátáshoz" - mondta a TechNewsWorldnek.
"Ez azt jelenti, hogy a vállalkozás saját maga azonosíthatja a problémákat és saját maga szerezhet be megoldásokat, a saját időkeretében" - mondta. "Továbbá" - folytatta - "a távmunkára való áttérés miatt rendkívül értékes az a képesség, hogy egy SaaS-megoldást bárhonnan elérhetünk, ahol van internetkapcsolat"."
A Covid-19 minden bizonnyal nagy hatással volt a felhőszolgáltatások elfogadására, állította John Morgan, a Palo Altóban (Kalifornia állam) működő, kiberfenyegetettséget nyomon követő platformot gyártó Confluera vezérigazgatója.
"Bár sok szervezet már korábban is tervezte az ilyen jellegű bevezetést, a Covid-19 és a távoli munkavégzés szükségessége miatt jelentősen felgyorsult a menetrend" - mondta a TechNewsWorldnek. "Az átvétel siettetése biztonsági lefedettségi hiányosságokat is okozott, amelyek adatszennyezéshez és jogsértésekhez vezetnek" - mondta.
Szoftveres láthatósági rés
Liz Herbert, a Forrester Research alelnöke és vezető elemzője kifejtette, hogy amikor a SaaS a 2000-es évek elején elterjedt, sok magánszemély és üzletági vezető az ingyenes és kis léptékű SaaS-ajánlatokat követte, amelyeket könnyű volt a radar alatt megvásárolni, mert úgy érezték, hogy ezek az ajánlatok jobban megfelelnek az igényeiknek, és nagyobb sebességet és agilitást biztosítanak számukra, mint a vállalati szanálású lehetőségek. "Sok esetben erős üzleti eredményeket értek el - legalábbis kezdetben" - mondta a TechNewsWorldnek.
"Ma már jelentős problémává nőtte ki magát a SaaS burjánzás - és a legtöbb esetben senki sem tudja, hogy pontosan mekkora". Minden olyan eszköz, amelyet nem kezelnek, kockázatot jelent, tette hozzá Mark Guntrip, a kaliforniai Mountain View-ban működő Menlo Security felhőbiztonsági szolgáltató kiberbiztonsági stratégiáért felelős vezető igazgatója. "Ha megnézzük a SaaS-alkalmazások, köztük a személyes használatra szánt alkalmazások elterjedésének növekedését, az egyének, sőt a részlegek is könnyen bevezethetnek egy új alkalmazást az IT bevonása nélkül" - mondta a TechNewsWorldnek.
"Ez láthatósági rést okozhat a biztonság számára, ami hatással lehet egy szervezetre" - mondta. Morgan hozzátette, hogy a felhő eleve elhomályosítja az alkalmazások és a benne tárolt adatok belső működését. "Bár ez egyes szervezetek számára egyszerűséget kínálhat, a homályosítás elhomályosíthatja a lehetséges fenyegetések és támadások belátását is" - mondta. "A modern fenyegetések kihasználják ezt a tulajdonságot, hogy a radar alatt elrejtőzve navigáljanak a szervezet hálózatain keresztül a céladatok azonosítása érdekében" - tette hozzá.
Adat mindenhol probléma
Napjaink felhő- és SaaS-platformjaival már nem a vállalati hálózat az egyetlen módja az adatok elérésének - magyarázta Brendan O'Connor, a San Franciscó-iAppOmni felhőbiztonsági helyzetkezelő szolgáltató vezérigazgatója és társalapítója. Az adatokhoz ma már gyakran harmadik féltől származó alkalmazásokon, otthoni IoT-eszközökön és külső felhasználók, például ügyfelek, partnerek, vállalkozók és MSP-k számára létrehozott portálokon keresztül is hozzáférnek.
"Gyakran az ezeken a csatornákon keresztül történő hozzáférés teljesen megkerüli a vállalati hálózatot, ehelyett OAuth tokenekre vagy más típusú ellenőrzésre támaszkodik" - mondta a TechNewsWorldnek. "Miközben a vállalatok szívesen használják ezeket a hozzáférési pontokat a felhő- és SaaS-rendszereik funkcionalitásának növelésére" - mondta - "gyakran elhanyagolják, hogy ugyanúgy biztosítsák és felügyeljék őket, mint a vállalati hálózaton, ami jelentős hozzáférési sebezhetőségekhez vezet, amelyek a vállalat számára teljesen ismeretlenek lehetnek."
A nem felügyelt SaaS-használat azt jelenti, hogy az érzékeny vállalati adatok olyan helyekre is elszaporodhatnak, amelyeket soha nem ilyen típusú adatok tárolására szántak - tette hozzá Sounil Yu, a JupiterOne, egy Morrisville-i (N.C.) székhelyű, kibereszköz-kezelési és irányítási megoldásokat kínáló vállalat CISO-ja. "A SaaS-alkalmazások gyakran integrálódnak más SaaS-alkalmazásokkal" - mondta a TechNewsWorldnek. "Ha ezeket az integrációkat sem kezelik, akkor a szervezetek azt kockáztatják, hogy több SaaS-csatornán keresztül túlságosan megengedő és folyamatos hozzáférést biztosítanak vállalati adataikhoz."
Mi a teendő
A szervezetek igyekeznek csökkenteni a SaaS-alkalmazások által az adataikra jelentett kockázatot anélkül, hogy a sebességet, a kreativitást és az üzleti sikert elfojtanák - jegyezte meg Herbert. "A megoldás nem egyszerű, de általában az oktatás, az irányítás és az alkalmazások előzetes ellenőrzésének kombinációja" - mondta.
"Néhány szervezet próbálkozott büntetésekkel és büntetéssel, de ez vegyes sikerrel járt az oktatással és az okosabb beszerzési stratégiákkal szemben" - tette hozzá.
O'Connor fenntartotta, hogy új megközelítésre van szükség ahhoz, hogy lépést tudjunk tartani a gyorsan változó felhő- és SaaS-környezetekkel. "A biztonsági és IT-csapatok nem támaszkodhatnak többé kizárólag a házon belüli szakértelemre, és nem várhatják el, hogy lépést tartsanak" - állította.
"Mivel a felhő- és SaaS-környezetek - és a kapcsolódó biztonsági konfigurációk - összetettsége csak tovább fog növekedni, a vállalatoknak automatizált eszközökkel kell biztosítaniuk, hogy a biztonsági beállítások megfeleljenek az üzleti szándéknak, és folyamatosan figyelemmel kell kísérniük a biztonsági ellenőrzéseket, hogy megakadályozzák a konfigurációk elkalandozását". "Ez egyszerűen már nem olyan feladat, amellyel a csapatok kizárólag kézi folyamatok segítségével képesek lesznek lépést tartani" - tette hozzá.