Ngày 04 tháng 3 năm 2023Tin tức về hacker Bảo mật SaaS / An ninh mạng
Tháng 1 vừa qua, một công ty Quản lý tư thế bảo mật SaaS (SSPM) có tên Wing Security (Wing) đã tạo nên làn sóng với việc ra mắt giải pháp khám phá CNTT SaaS-Shadow miễn phí. Các công ty dựa trên đám mây đã được mời để hiểu rõ hơn về cách sử dụng SaaS của nhân viên thông qua một sản phẩm tự phục vụ hoàn toàn miễn phí hoạt động trên mô hình “freemium”. Nếu người dùng ấn tượng với giải pháp và muốn hiểu rõ hơn hoặc thực hiện hành động khắc phục, họ có thể mua giải pháp doanh nghiệp.
“Trong thực tế kinh tế ngày nay, ngân sách bảo mật không nhất thiết bị cắt giảm, nhưng người mua cẩn thận hơn rất nhiều trong các quyết định mua hàng của họ và họ đúng là như vậy. Chúng tôi tin rằng bạn không thể đảm bảo những gì bạn không biết, vì vậy hiểu biết nên là một mặt hàng cơ bản. Một lần bạn hiểu mức độ của lớp tấn công SaaS của mình, bạn có thể đưa ra quyết định có căn cứ về cách bạn sẽ giải quyết nó. Khám phá là bước đầu tiên tự nhiên và cơ bản và bất kỳ ai cũng có thể truy cập được.” Galit Lubetzky Sharon, Đồng sáng lập và CTO của Wing cho biết
Công ty báo cáo rằng trong vài tuần đầu tiên ra mắt, hơn 200 công ty đã đăng ký sử dụng công cụ khám phá miễn phí tự phục vụ của họ, bổ sung vào cơ sở khách hàng hiện tại của công ty. Gần đây, họ đã phát hành một báo cáo ngắn về những phát hiện từ hàng trăm công ty đã tiết lộ việc sử dụng SaaS và những con số này thật đáng lo ngại.
Rủi ro hữu hình của việc sử dụng SaaS ngày càng tăng
Trong 71,4% công ty, nhân viên sử dụng trung bình 2,4 ứng dụng SaaS đã bị vi phạm trong ba tháng qua. Trung bình, 58% ứng dụng SaaS chỉ được sử dụng bởi một nhân viên. Một phần tư người dùng SaaS của các tổ chức là bên ngoài. Những con số này, cùng với dữ liệu thú vị khác, được tìm thấy trong báo cáo của công ty, cùng với lời giải thích về lý do tại sao họ tin rằng đây là trường hợp và những rủi ro cần được xem xét.
Việc sử dụng SaaS thường phi tập trung và khó quản lý, đồng thời những ưu điểm của nó cũng có thể gây ra rủi ro bảo mật khi không được quản lý. Mặc dù các hệ thống IAM/IM giúp các tổ chức giành lại quyền kiểm soát đối với một phần việc sử dụng SaaS của nhân viên, nhưng quyền kiểm soát này chỉ giới hạn ở các ứng dụng SaaS bị xử phạt mà bộ phận CNTT/Bảo mật biết. Thách thức là các ứng dụng SaaS thường do nhân viên tích hợp mà không liên quan đến nhóm CNTT hoặc bảo mật. Nói cách khác, đây là SaaS Shadow IT. Điều này đặc biệt đúng đối với nhiều ứng dụng SaaS không yêu cầu thẻ tín dụng hoặc cung cấp phiên bản miễn phí.
Tình huống phổ biến là một nhân viên, thường làm việc từ xa, đang tìm kiếm một giải pháp nhanh chóng cho một vấn đề kinh doanh. Giải pháp thường là một ứng dụng mà nhân viên tìm thấy trực tuyến, được cấp quyền (có thể là quyền đọc và ghi, hoặc thậm chí thực thi), và sau đó hoàn toàn quên mất. Điều này có thể dẫn đến một số rủi ro bảo mật.
Rủi ro liên quan đến SaaS có thể được phân loại thành ba loại khác nhau:
Ứng dụng liên quan
Các ví dụ bao gồm các ứng dụng rủi ro có điểm bảo mật thấp, cho thấy khả năng cao các ứng dụng này dễ bị tấn công. Và các ứng dụng gần đây đã bị xâm phạm nhưng có quyền truy cập vào dữ liệu của tổ chức, ngay lập tức sẽ xâm phạm dữ liệu đó. Trong giải pháp miễn phí của mình, Wing gắn điểm bảo mật cho từng ứng dụng được tìm thấy và cảnh báo người dùng về các ứng dụng rủi ro trong ngăn xếp SaaS của họ.
Các ví dụ khác về rủi ro mà các ứng dụng SaaS vốn có bao gồm các ứng dụng SaaS của bên thứ 3, những ứng dụng “cõng” SaaS đã biết và được phê duyệt. Hoặc các ứng dụng được cấp nhiều quyền hiếm khi được cấp: Theo Wing, 73,3% tất cả các quyền mà người dùng cấp cho ứng dụng đã không được sử dụng trong hơn 30 ngày. Điều này đặt ra câu hỏi, tại sao lại để ngỏ các cánh cửa vào dữ liệu của tổ chức bạn khi bạn thậm chí không sử dụng ứng dụng đang yêu cầu chúng?
Người dùng liên quan
Không thể bỏ qua yếu tố con người. Xét cho cùng, SaaS thường được nhân viên sử dụng nó trực tiếp đưa vào. Họ là những người cấp quyền, không phải lúc nào cũng nhận thức được ý nghĩa đằng sau những quyền này. Ở đây cũng vậy, giải pháp miễn phí của Wing cung cấp một số hỗ trợ: Đối với 100 ứng dụng đầu tiên được tìm thấy, Wing cung cấp danh sách những người dùng sử dụng chúng. Để biết thông tin đầy đủ về người dùng là ai, người dùng bên ngoài và hành vi không nhất quán của người dùng trên các ứng dụng, Wing cung cấp phiên bản doanh nghiệp của mình.
Dữ liệu liên quan
Rủi ro liên quan đến bảo mật dữ liệu là rất lớn và có cả một danh mục sản phẩm giải quyết chúng, chẳng hạn như DLP và DSPM. Tuy nhiên, khi nói đến các ứng dụng SaaS mà nhân viên sử dụng, các sự cố liên quan đến dữ liệu có thể bắt nguồn từ các tệp nhạy cảm được chia sẻ trên các ứng dụng không dùng để chia sẻ tệp, bí mật được chia sẻ trên các kênh công khai (Slack là một ví dụ phổ biến) và thậm chí là số lượng lớn của các tệp mà nhân viên chia sẻ bên ngoài và sau đó quên đi, để lại kết nối bên ngoài rộng mở. Giữ môi trường SaaS trong sạch không chỉ bao gồm việc duy trì các ứng dụng và người dùng mà còn quản lý thông tin nằm trong và giữa các ứng dụng này.
Tóm lại, khám phá CNTT SaaS-Shadow đã trở thành một lĩnh vực quan tâm quan trọng đối với các nhóm CNTT và bảo mật, vì việc sử dụng các ứng dụng SaaS tiếp tục tăng nhanh. Mặc dù các ứng dụng SaaS mang lại nhiều lợi ích cho doanh nghiệp, nhưng chúng cũng gây ra rủi ro bảo mật đáng kể khi không được quản lý. Những rủi ro này bao gồm việc sử dụng các ứng dụng bị vi phạm, cấp quyền quá mức, sự không nhất quán của người dùng và các vấn đề bảo mật dữ liệu.
Điều quan trọng là các tổ chức phải có khả năng quan sát được việc sử dụng SaaS của nhân viên để đưa ra quyết định sáng suốt và thực hiện các hành động khắc phục để giảm thiểu những rủi ro này. Vào năm 2023, kỳ vọng là việc khám phá CNTT SaaS-Shadow cơ bản sẽ không còn phải trả giá nữa, vì nó phải là một mặt hàng cơ bản cho các tổ chức nhằm bảo vệ môi trường SaaS của họ.
