Hãy tưởng tượng điều này: một khóa toàn công ty đối với CRM của công ty, như Salesforce, vì quản trị viên bên ngoài của tổ chức cố gắng vô hiệu hóa MFA cho chính họ. Họ không nghĩ đến việc tham khảo ý kiến của nhóm bảo mật và không xem xét các tác động bảo mật, chỉ cần nhóm của họ dễ dàng sử dụng thông tin đăng nhập của họ.
Tuy nhiên, CRM này định nghĩa MFA là cài đặt bảo mật cấp cao nhất; ví dụ: Salesforce có cấu hình “Giá trị đăng nhập đảm bảo cao” và ngay lập tức khóa tất cả người dùng như một biện pháp phòng ngừa an toàn. Toàn bộ tổ chức rơi vào bế tắc và thất vọng và bối rối.
Đặc biệt, đây không phải là sự kiện diễn ra một lần, quản trị viên của các ứng dụng SaaS quan trọng đối với doanh nghiệp thường ngồi bên ngoài bộ phận bảo mật và có quyền kiểm soát sâu sắc. Chưa được đào tạo và không tập trung vào các biện pháp bảo mật, những quản trị viên này đang làm việc theo KPI của bộ phận của họ. Ví dụ: Hubspot thường thuộc sở hữu của bộ phận tiếp thị, tương tự như vậy, Salesforce thường thuộc sở hữu của bộ phận kinh doanh, v.v. Các bộ phận kinh doanh sở hữu các ứng dụng này vì đó là thứ cho phép họ thực hiện công việc của mình một cách hiệu quả. Tuy nhiên, nghịch lý nằm ở chỗ, nhóm bảo mật có trách nhiệm bảo mật ngăn xếp ứng dụng SaaS của tổ chức và họ không thể thực hiện hiệu quả nhiệm vụ này nếu không có toàn quyền kiểm soát ứng dụng SaaS.
Báo cáo Khảo sát Bảo mật SaaS năm 2022, do CSA và Adaptive Shield điều hành, đi sâu vào thực tế của nghịch lý này, trình bày dữ liệu từ các CISO và các chuyên gia bảo mật ngày nay. Bài viết này sẽ khám phá các điểm dữ liệu quan trọng từ những người được hỏi và thảo luận về giải pháp cho các nhóm bảo mật có thể là gì.
Tìm hiểu cách nhóm bảo mật của bạn có thể giành lại quyền kiểm soát tất cả các ứng dụng SaaS.
Ứng dụng SaaS trong tầm tay của các bộ phận kinh doanh
Trong một tổ chức điển hình, một loạt các ứng dụng SaaS được sử dụng (xem hình 1), từ nền tảng dữ liệu đám mây, ứng dụng cộng tác và chia sẻ tệp đến CRM, quản lý dự án và công việc, tự động hóa tiếp thị, v.v. Sự cần thiết của mỗi và mọi ứng dụng SaaS phải đảm nhiệm một vai trò thích hợp nhất định mà tổ chức yêu cầu. Nếu không sử dụng tất cả các ứng dụng SaaS này, một doanh nghiệp có thể bị tụt hậu hoặc mất nhiều thời gian hơn để đạt được KPI của mình.
Báo cáo Khảo sát Bảo mật SaaS năm 2022 báo cáo rằng 40% các ứng dụng này được quản lý và sở hữu bởi các nhóm không bảo mật, chẳng hạn như bán hàng, tiếp thị, pháp lý, v.v. (xem trong hình 2). Mặc dù các đội bảo mật và CNTT được cho là điểm đến chính của việc quản lý ứng dụng SaaS, nhưng 40% các bộ phận kinh doanh cũng tham gia và có toàn quyền truy cập khiến bối cảnh mối đe dọa trở nên phức tạp.
Các nhóm bảo mật không thể tước bỏ quyền sở hữu này vì chủ sở hữu ứng dụng doanh nghiệp cần duy trì mức độ truy cập cao vào các ứng dụng SaaS có liên quan của họ để sử dụng tối ưu. Tuy nhiên, nếu không có kiến thức chuyên sâu về bảo mật hoặc lợi ích được giao (KPI bảo mật phản ánh trên sản phẩm công việc của họ), thì không hợp lý để nhóm bảo mật mong đợi rằng chủ doanh nghiệp sẽ đảm bảo mức độ bảo mật cao trong SaaS của họ.
Hình 2. Các phòng ban quản lý ứng dụng SaaS, Báo cáo khảo sát bảo mật SaaS 2022 Giải nén Nghịch lý quyền sở hữu ứng dụng SaaS
Khi được hỏi lý do chính dẫn đến các sự cố bảo mật do cấu hình sai (hình 3), những người trả lời báo cáo khảo sát đã trích dẫn những điều này ở bốn nguyên nhân hàng đầu của họ: (1) Có quá nhiều phòng ban có quyền truy cập vào các cài đặt bảo mật; (2) Thiếu khả năng hiển thị đối với các cài đặt bảo mật khi chúng bị thay đổi (3) Thiếu kiến thức về bảo mật SaaS; (4) Quyền của người dùng bị chiếm dụng. Tất cả những lý do này, dù công khai hay ngụ ý, đều có thể là do Nghịch lý quyền sở hữu ứng dụng SaaS.
Nguyên nhân hàng đầu của các sự cố bảo mật do cấu hình sai là có quá nhiều phòng ban có quyền truy cập vào các cài đặt bảo mật. Điều này đi đôi với nguyên nhân tiếp theo – thiếu khả năng hiển thị khi các thay đổi về bảo mật được thay đổi. Bộ phận kinh doanh có thể thực hiện các thay đổi đối với cài đặt ứng dụng để tối ưu hóa tính dễ sử dụng của ứng dụng mà không cần hỏi ý kiến hoặc thông báo cho bộ phận bảo mật.
Ngoài ra, quyền người dùng bị chiếm đoạt có thể dễ dàng bắt nguồn từ việc chủ sở hữu bộ phận kinh doanh ở vị trí lãnh đạo không chú ý cẩn thận đến bảo mật của ứng dụng. Thường thì người dùng được cấp các quyền đặc quyền mà họ thậm chí không cần.
Cách các nhóm bảo mật có thể giành lại quyền kiểm soát
Với mô hình trách nhiệm chung này, cách hiệu quả duy nhất để thu hẹp khoảng cách giao tiếp này là thông qua nền tảng Quản lý tư thế bảo mật SaaS (SSPM). Được ca ngợi là giải pháp PHẢI CÓ để liên tục đánh giá rủi ro bảo mật và quản lý tư thế bảo mật của ứng dụng SaaS trong “4 công nghệ phải có đã tạo nên chu kỳ hype Gartner cho bảo mật đám mây, năm 2021”, một giải pháp như vậy có thể cảnh báo cho nhóm bảo mật về bất kỳ thay đổi cấu hình ứng dụng do chủ sở hữu ứng dụng thực hiện và cung cấp hướng dẫn rõ ràng về cách khắc phục thông qua hệ thống quản lý cộng tác hoặc bán vé.
Với giải pháp SSPM, do nhóm bảo mật của tổ chức sở hữu và quản lý, nhóm bảo mật có thể có được khả năng hiển thị đầy đủ của tất cả các ứng dụng SaaS của công ty và cài đặt bảo mật của họ, bao gồm vai trò và quyền của người dùng. W
Các tổ chức có thể tiến thêm một bước nữa và yêu cầu chủ sở hữu ứng dụng tham gia nền tảng SSPM để họ có thể chủ động kiểm soát và giám sát tất cả các cấu hình trong ứng dụng do họ sở hữu. Bằng cách sử dụng khả năng quản trị trong phạm vi (hình 4), nhóm bảo mật có thể cấp cho chủ sở hữu ứng dụng quyền truy cập vào các ứng dụng mà họ sở hữu và có thể khắc phục các sự cố bảo mật với sự giám sát và chỉ đạo của họ.
Không có cách nào để loại bỏ quyền truy cập của các bộ phận kinh doanh vào cài đặt bảo mật ứng dụng SaaS và mặc dù người dùng trong toàn tổ chức nên được đào tạo về bảo mật SaaS cơ bản để giảm rủi ro có thể xảy ra từ các bộ phận kinh doanh, nhưng nó không phải lúc nào cũng xảy ra hoặc chỉ không đủ. Các tổ chức cần triển khai một giải pháp giúp tránh những tình huống này bằng cách cho phép nhóm bảo mật hiển thị và kiểm soát, cảnh báo về sai lệch cấu hình, nhật ký kiểm tra cung cấp thông tin chi tiết về các hành động trong ứng dụng SaaS và quản trị viên trong phạm vi.
Nhận bản giới thiệu 10 phút về cách giải pháp SSPM của Adaptive Shield giúp các nhóm bảo mật giành lại quyền kiểm soát.
.
