SaaS güvenlik yönetimi firması Obsidian Security’ye göre, SaaS ortamları Avustralya ve APAC kuruluşları için kurumsal siber güvenlikte “adlandırılmamış bir kör nokta” olarak ortaya çıkıyor. Bu sorun kısmen SaaS sözleşmelerindeki paylaşılan sorumluluk modeli etrafındaki kafa karışıklığına bağlanıyor.
Eylül ayında, Avustralya ve APAC genelinde operasyonlarını genişlettiğini açıklayan Obsidian Security, devam eden bulut güvenliği incelemelerini tamamladıktan sonra yerel kuruluşların SaaS güvenlik stratejilerini yeniden değerlendirmesinde bir artış beklediğini söyledi.
Asya-Pasifik ve Japonya için kıdemli satış mühendisi olarak Crowdstrike’tan Obsidian’a katılan Andrew Latham, TechRepublic’e, yerel kuruluşların SaaS satıcı güvenliğini değerlendirirken kağıt üzerindeki kontrol listelerinin ötesine geçmesi gerektiğini söyledi. Ayrıca birçok müşterinin SaaS paylaşılan sorumluluk modelini hâlâ yanlış anladığını da belirtti.
SaaS yazılım siteleri ‘siber tehditlere karşı ön cephe’ haline geliyor
Obsidian, SaaS saldırılarının sıklığının arttığını ve sonuçlarının daha da ciddileştiğini belirtti. Avustralyalı etkinlik biletleme şirketi Ticketek’te bu yıl gerçekleştirilen ihlalde, bir tehdit aktörünün üçüncü taraf bir sağlayıcıya erişim sağlamasının ardından 17 milyon kişinin verileri açığa çıktı.
Chisholm, “Birçok kuruluşun, kendileri için uygulamaları yapılandırma konusunda SaaS sağlayıcılarına duyduğu örtülü güven, çoğu zaman hassas verileri bilmeden açığa çıkarıyor” dedi. “Paylaşılan sorumluluk modelinin bilinmemesi, SaaS uygulamalarının güvenliğinin bozulmasına neden olabilir, bu da işletmelerin ve bireylerin verileri için büyük bir risk oluşturabilir.”
BAKINIZ: 4 teknoloji liderinden 3’ünden fazlası SaaS güvenlik tehditlerinden endişe ediyor
Latham, Avustralya ve APAC’taki SaaS satıcı riskinin diğer küresel pazarlarla karşılaştırılabilir olduğunu söyledi.
“SaaS platformları her yerde mevcuttur ve internete bağlı olan herkesten veya herhangi bir şeyden kolay erişime sahiptir” diye açıkladı. “Küresel olarak gördüğümüz şey, uç noktaların verilere erişmeyi ve verileri sızdırmayı hedeflediği karmaşık saldırılardan, hesapların ele geçirilmesini ve SaaS Sistemlerinde depolanan verileri hedefleyen daha basit saldırılara doğru bir geçiş.”
Obsidian, iş açısından kritik bilgilerin daha fazla SaaS’a taşındığını buldu. Kullanılan SaaS uygulamalarının sayısı büyük farklılıklar gösterse de Productiv araştırması, 500’den az çalışanı olan şirketlerin ortalama 253 uygulama kullandığını tahmin ediyor; bu rakam 10.000’den fazla çalışanı olan şirketler için 473 uygulamaya yükseliyor.
SaaS paylaşılan sorumluluk modeli derinlemesine değerlendirilmiyor
Kuruluşlar genellikle SaaS sağlayıcısının güvenlik için paylaşılan sorumluluk modelindeki rollerini yanlış anlıyor.
Tipik olarak SaaS satıcıları ve müşterileri, sağlam veri güvenliği sağlamak için işbirliği yapar. Örneğin, satıcılar veri merkezleri gibi temel altyapı güvenliğinden sorumlu olabilirken, müşteriler öncelikle kullanıcı erişim yönetimi veya uygulama yapılandırması gibi hususları yönetebilir.
Latham, “Çoğu kuruluş, daha fazla iş yükünü buluta taşıdıkça Hizmet Olarak Altyapı gayrimenkullerini güvence altına alma sürecindedir” dedi. “Çoğu kişinin farkına varmadığı şey, SaaS dahil tüm bulut sağlayıcılarının uyguladığı bir Paylaşılan Güvenlik Modeli’nin var olmasıdır.”
Şöyle ekledi: “IaaS ile kendi kontrollerinizi uygulayabilirsiniz. Ancak SaaS ile yapamazsınız. SaaS sağlayıcısının müşteri verilerinin güvenliğiyle ilgilendiğine dair genel bir varsayım var, ancak çoğu zaman bunu yapmıyorlar.”
Kâğıt bazlı anketler SaaS satıcı riskini değerlendirmek için yeterli değil
SaaS satıcılarının güvenlik gereksinimlerini karşıladığını doğrulamak için genellikle satın alma sırasında kağıt bazlı anketler kullanılır. Latham, bu anketlerin bir SaaS sağlayıcısının güvenliği nasıl yönettiği ve hesap ele geçirme gibi verilere yönelik risklere karşı nasıl koruduğu konusunda yeterince derinlemesine bilgi sağlayamayabileceğini söyledi.
BAKIN: Şirketlerin neredeyse üçte biri geçen yıl SaaS güvenlik ihlali yaşadı
Latham, “En büyük sorun, yeni bir SaaS sağlayıcısını değerlendirirken kağıt bazlı bir anketin yeterli olmadığını anlamak olacaktır” dedi. “Son zamanlardaki yüksek profilli ihlallerin çoğu hesap devralmalardan kaynaklanıyor. Paylaşılan Sorumluluk Matrisi açısından bu tür saldırılar, SaaS satıcısının sorumluluk aldığı sınırın üzerindedir.”
‘Ayın karanlık yüzü’ gibi SaaS tedarik zinciri riski
Genişletilmiş üçüncü ve dördüncü taraf yazılım tedarik zinciri riski, SaaS pazarında yaygındır.
Kuruluşlar birincil SaaS sağlayıcılarını değerlendirse de, bu satıcılar genellikle birden fazla SaaS satıcısıyla karmaşık bir SaaS ağında entegre olur ve bu da verilere yönelik gerçek risklerin değerlendirilmesini zorlaştırır.
Latham, “Bu, ayın karanlık yüzüne benzer” dedi. “Üçüncü ve dördüncü taraf SaaS sistemleri arasında ‘ön kapıda’ görünenden 10 kat daha fazla veri aktarımı gerçekleşiyor.
“Tedarik zinciri, bir SaaS sağlayıcısının işi desteklemek için gerekli hizmetlerin bilinen bir tedarikçisi olduğunu öne sürse de, sorun olan tüm onaylanmamış entegrasyonlardır” diye ekledi.
Bu entegrasyonlar “görünüşte masum” görünebilir, ancak istismar edildiğinde saldırganların SaaS kiracısının haberi olmadan SaaS verilerini sızdırmasına olanak tanıyabilir.
Latham, “Üçüncü ve dördüncü taraf SaaS satıcılarıyla yapılan güvenilir entegrasyonların kötüye kullanıldığı ve verilerin yetkisiz kullanıcılara açıklandığı birçok örnek var” diye açıkladı.
Obsidian Security, buluttan sonra SaaS’a odaklanılmasını bekliyor
Avustralyalı şirketler, dünyanın diğer bazı bölgelerinden farklı olarak pazarın SIM Takas saldırılarından büyük ölçüde arınmış olmasından dolayı minnettar olabilir. Bu saldırılar, siber suçluların telekomünikasyon şirketlerini kurbanın mobil hizmetini kontrol ettikleri bir SIM kartla değiştirmeleri için kandırmasıyla meydana gelir.
“ACMA’nın [The Australian Communications and Media Authority] Telekomünikasyon sağlayıcılarına yönelik kimlik kontrolü gereklilikleri, diğer bölgelerde hala yaygın olan SIM değiştirme saldırılarının neredeyse tamamını ortadan kaldırdı” dedi Latham.
Ancak SaaS güvenliği sorunu devam ediyor, ancak Obsidian bunun yakında odak noktası olacağına inanıyor.
“Genel olarak birçok Avustralya kuruluşunun IaaS iş yüklerine yönelik projelerinin olduğunu görüyoruz. Tamamlandıktan sonra SaaS’a bakacaklar. ABD gibi diğer pazarlar muhtemelen 18 ay ileride, ilk IaaS güvenlik projelerini tamamlamış ve SaaS güvenlik projelerini başlatmış durumdalar” dedi Latham.
Kaynak: https://www.techrepublic.com/article/obsidian-enterprises-saas-threats/