Ngày 24 tháng 4 năm 2023Tin tức về hackerSaaS Security
Một đánh giá gần đây của Wing Security, một công ty bảo mật SaaS đã phân tích dữ liệu của hơn 500 công ty, đã tiết lộ một số thông tin đáng lo ngại. Theo đánh giá này, 84% công ty có nhân viên sử dụng trung bình 3,5 ứng dụng SaaS đã bị vi phạm trong 3 tháng trước đó. Mặc dù điều này có liên quan, nhưng nó không có gì đáng ngạc nhiên. Mức tăng trưởng theo cấp số nhân trong việc sử dụng SaaS khiến các nhóm bảo mật và CNTT phải vật lộn để theo kịp ứng dụng SaaS nào đang được sử dụng và cách thức sử dụng. Điều này không có nghĩa là nên tránh hoặc chặn SaaS; ngược lại, các ứng dụng SaaS phải được sử dụng để đảm bảo tăng trưởng kinh doanh. Nhưng sử dụng chúng phải được thực hiện với một số mức độ thận trọng.
Xác định ứng dụng SaaS nào có rủi ro
Yếu tố rủi ro trực quan nhất để xác định xem một ứng dụng có rủi ro hay không là tra cứu và xem liệu ứng dụng đó có bị vi phạm hay không. Các ứng dụng SaaS rõ ràng là một mục tiêu khi chúng ta thấy ngày càng có nhiều cuộc tấn công liên quan đến SaaS. Vi phạm là một dấu hiệu rõ ràng để tránh xa, ít nhất là cho đến khi nhà cung cấp SaaS hoàn toàn khắc phục và phục hồi (có thể mất một thời gian…). Nhưng có những tiêu chí khác cần tính đến khi xác định liệu một ứng dụng SaaS có an toàn để sử dụng hay không. Đây là hai điều nữa để xem xét:
Tuân thủ – Sự tuân thủ về bảo mật và quyền riêng tư mà nhà cung cấp ứng dụng có hoặc không có là một dấu hiệu tốt về sự an toàn của nó. Việc đảm bảo SOC, HIPAA, ISO (danh sách còn tiếp tục…) yêu cầu các quy trình lâu dài và tỉ mỉ, trong đó công ty phải tuân thủ các quy định và điều kiện nghiêm ngặt. Biết tuân thủ của một công ty là bắt buộc để hiểu mức độ bảo mật của nó.
sự hiện diện trên thị trường – Kiểm tra xem ứng dụng có hiện diện trên các thị trường nổi tiếng và được tính toán hay không cũng là một bước hữu ích khi xác định tính toàn vẹn của ứng dụng, có thể được liên kết với các biện pháp bảo mật của ứng dụng. Ở những thị trường được tôn trọng, các ứng dụng cần phải trải qua quá trình kiểm tra, chưa kể chúng nhận được đánh giá của người dùng, đây được cho là một trong những chỉ số quan trọng nhất về tính hợp pháp của ứng dụng.
Mặc dù việc hiểu ứng dụng nào có khả năng gây rủi ro là rất quan trọng, nhưng đó không phải là nhiệm vụ dễ dàng. Và nó cũng không phải là bước đầu tiên. Theo Wing Security, tất cả các công ty mà họ xem xét đều có số lượng ứng dụng SaaS cao ở mức ba chữ số đang được sử dụng. Vì vậy, câu hỏi đầu tiên và cơ bản mà nhóm bảo mật nên đặt ra là:
Có bao nhiêu ứng dụng SaaS mà nhân viên đang sử dụng?
Rõ ràng, không thể xác định liệu SaaS có được sử dụng an toàn hay không mà không khám phá trước có bao nhiêu ứng dụng SaaS được sử dụng và ứng dụng nào. Điều này là cơ bản, nhưng không đơn giản. SaaS được sử dụng bởi bất kỳ và tất cả nhân viên, và mặc dù việc thực thi SSO và sử dụng các hệ thống IAM là quan trọng và hữu ích, nhưng bản chất phi tập trung, có thể truy cập và thường là tự phục vụ của các ứng dụng SaaS có nghĩa là nhân viên có thể bắt đầu sử dụng hầu hết mọi SaaS mà họ cần chỉ bằng cách tìm kiếm cho nó trực tuyến và kết nối nó với không gian làm việc của công ty họ, dễ dàng tránh được IAM. Điều này đặc biệt đúng khi xem xét nhiều ứng dụng SaaS cung cấp công cụ miễn phí hoặc phiên bản miễn phí của nó.
Lưu ý rằng, khám phá ứng dụng SaaS cũng được cung cấp dưới dạng một công cụ tự phục vụ miễn phí, vì vậy việc trả lời câu hỏi nêu trên sẽ đủ dễ dàng. Khi đã có bản đồ rõ ràng về việc sử dụng SaaS, bước tiếp theo là xác định các ứng dụng SaaS rủi ro. Sau khi các ứng dụng rủi ro được phân loại như vậy, điều quan trọng là phải thu hồi mã thông báo mà chúng nhận được từ những người dùng đã kết nối chúng với tổ chức. Đây có thể là một quá trình dài và rườm rà nếu không có công cụ phù hợp (Wing cung cấp khả năng loại bỏ ứng dụng rủi ro như một khả năng khác trong phiên bản miễn phí, nhưng với một số hạn chế được loại bỏ trong sản phẩm cao cấp).
Đảm bảo việc sử dụng SaaS an toàn yêu cầu hỏi và trả lời thêm hai câu hỏi:
1. Những quyền nào đã được cấp cho các ứng dụng SaaS?
Có lẽ không cần phải nói rằng không phải lúc nào tất cả các ứng dụng đều gây ra rủi ro. Cũng cần nói thêm rằng ngay cả khi một ứng dụng SaaS bị vi phạm, rủi ro mà nó có thể gây ra phụ thuộc rất nhiều vào các quyền mà ứng dụng đó được cấp. Hầu như tất cả các ứng dụng SaaS đều yêu cầu một số mức độ cho phép truy cập dữ liệu của công ty để cung cấp dịch vụ mà chúng được thiết kế. Các quyền bao gồm từ quyền chỉ đọc đến quyền ghi cho phép ứng dụng SaaS hành động thay mặt người dùng, chẳng hạn như gửi email bằng tên của người dùng. Quản lý trạng thái bảo mật SaaS thích hợp có nghĩa là giám sát các quyền do người dùng cấp cho một ứng dụng và đảm bảo ứng dụng đó chỉ được cấp các quyền cần thiết.
2. Dữ liệu chảy vào và giữa các ứng dụng này là gì?
Vào cuối ngày, tất cả là để bảo vệ dữ liệu quan trọng của công ty, cho dù đó là thông tin kinh doanh, Pii hay mã. Dữ liệu có nhiều định dạng và nó chảy theo nhiều cách khác nhau. Cách duy nhất mà SaaS được sử dụng trên tất cả các đơn vị và nhóm kinh doanh cũng như bởi bất kỳ ai trong tổ chức có nguy cơ chia sẻ dữ liệu bằng các ứng dụng SaaS không được thiết kế để chia sẻ dữ liệu an toàn. Nó cũng đặt ra nguy cơ dữ liệu được chia sẻ giữa các ứng dụng SaaS. Ngày nay, nhiều ứng dụng SaaS được kết nối và một ứng dụng tích hợp có thể cấp quyền truy cập vào một tập hợp con của nhiều ứng dụng khác. Đó là một mạng lưới kết nối và chia sẻ dữ liệu khổng lồ.
Bắt đầu với những điều cơ bản – Tìm hiểu lớp SaaS của bạn
Bảo mật SaaS có thể áp đảo. Đó là một biên giới mới, mạnh mẽ không ngừng phát triển. Nó cũng chỉ là một rủi ro khác trong một danh sách dài các rủi ro mà các nhóm bảo mật cần phải đối mặt. Chìa khóa để giải quyết vấn đề bảo mật SaaS là biết ứng dụng nào đang được sử dụng. Bước đầu tiên cơ bản này làm sáng tỏ thách thức CNTT trong bóng tối SaaS và cho phép các nhóm bảo mật đánh giá đúng mức độ khẩn cấp và mức độ rủi ro bảo mật SaaS của họ. Biết chắc chắn số lượng và bản chất của SaaS đang sử dụng không nên phức tạp hoặc tốn kém. Có rất nhiều công cụ có thể giải quyết vấn đề này và bạn có thể thử Wing. giải pháp bảo mật miễn phí để có ý tưởng về những gì bạn đang phải đối mặt.
