Компании стремятся использовать приложения типа «программное обеспечение как услуга» как средство повышения эффективности своих операций и производительности своих сотрудников. но слабый контроль доступа к облачным приложениям ставит под угрозу данные многих организаций.
Согласно исследованию, опубликованному DoControl во вторник, средняя компания из 1000 человек, использующая приложения SaaS, предоставляет свои данные от 1000 до 15000 внешних сотрудников.
От 200 до 3000 компаний также имеют доступ к данным компании, добавлено в нем, в то время как 20 процентов файлов SaaS типичного предприятия доступны внутри компании всем, кто может щелкнуть ссылку.
В отчете предупреждается, что риск, связанный с неуправляемым доступом к данным SaaS, не является изолированной или тривиальной проблемой.
43% утечек данных, проанализированных в 2020 году, были связаны с уязвимостями веб-приложений, отмечается в отчете. Хотя может показаться удивительным, что почти половина всех утечек данных связана с приложениями SaaS, учитывая растущую зависимость бизнеса от этих программ, вполне логично, что это такая огромная область угроз.
«В среднем компания из 1000 человек хранит от 500000 до 10000000 активов в приложениях SaaS», — сказал Адам Гавиш, соучредитель и генеральный директор компании DoControl, расположенной в Нью-Йорке, которая обеспечивает мониторинг доступа к данным, оркестровку и исправление для приложений SaaS.
«Следовательно, компании, обеспечивающие публичное совместное использование, могут непреднамеренно разрешить публичное использование до 200 000 таких активов», — сказал он TechNewsWorld.
Проблема может усугубиться. Gartner прогнозирует, что использование сервисов SaaS будет продолжать расти, а выручка вырастет более чем на 30 процентов — со 110,5 млрд долларов США в 2020 году до 143,7 млрд долларов США в 2022 году.
Содержание статьи
Ускоряет Covid
Этому росту способствовала всемирная пандемия.
«Решения SaaS действительно доказали свою ценность с самого начала пандемии», — сказал Джейк Кунс, генеральный директор и директор по информационной безопасности компании Risk Based Security, поставщика аналитических данных об уязвимостях, данных о взломах и рейтингов рисков в Ричмонде, штат Вирджиния.
«SaaS-предложения легко настроить и обычно не требуют ИТ-ресурсов для предоставления», — сказал он TechNewsWorld.
«Это означает, что бизнес может выявлять проблемы и находить решения самостоятельно, в своих — собственные временные рамки », — сказал он.
«Кроме того, — продолжил он, — с переходом к удаленной работе возможность доступа к решению SaaS из любого места с подключением к Интернету чрезвычайно ценно».
Covid-19, безусловно, оказал большое влияние о внедрении облачных сервисов, поддерживал Джон Морган, генеральный директор Confluera, производителя платформы отслеживания киберугроз в Пало-Альто, Калифорния
«Хотя многие организации уже планировали такое внедрение, график был значительно ускорен из-за Covid-19 и необходимости иметь возможность работать удаленно», — сказал он TechNewsWorld.
«Стремление к внедрению также привело к возникновению пробелов в покрытии безопасности, что приводит к раскрытию данных и взломам», — сказал он.
Пробел в видимости программного обеспечения
Лиз Герберт, вице-президент и главный аналитик Forrester Research, объяснила, что с появлением SaaS в начале 2000-х годов многие частные лица и руководители бизнес-направлений стремились к свободным и малым: масштабировать предложения SaaS, которые было легко приобрести незаметно, потому что они чувствовали, что предложения лучше соответствуют их потребностям и дают им большую скорость и гибкость по сравнению с вариантами, санкционированными корпорацией.
«Во многих случаях они добивались хороших результатов в бизнесе — по крайней мере, вначале», — сказала она TechNewsWorld.
«Сегодня разрастание SaaS превратилось в серьезную проблему — и в большинстве случаев никто не знает, насколько она велика», — сказала она.
Любые неуправляемые активы представляют опасность, — добавил Марк Гантрип, старший директор по стратегии кибербезопасности Menlo Security, поставщика облачной безопасности в Маунтин-Вью, Калифорния.
«Если вы посмотрите на рост внедрения приложений SaaS, включая приложения для личного пользования, отдельные лица и даже отделы могут легко представить новое приложение без участия ИТ», — сказал он TechNewsWorld.
«Это может создать пробел в видимости безопасности, который может повлиять на организацию», — сказал он.
По задумке, облако скрывает внутреннюю работу приложений и хранящиеся в нем данные, добавил Морган.
«Хотя это может упростить некоторые организации, обфускация может также затруднить понимание потенциальных угроз и атак», — сказал он.
«Современные угрозы используют эту характеристику, чтобы скрыться от радаров, чтобы перемещаться по сетям организации и идентифицировать данные цели», — добавил он.
Проблема с данными повсюду
С сегодняшними облачными и SaaS-платформами корпоративная сеть больше не является единственным способом доступа к данным, — пояснил Брендан О'Коннор, генеральный директор и соучредитель AppOmni, облачной системы безопасности. провайдер осанки в Сан-Франциско.
Теперь к данным часто обращаются через сторонние приложения, устройства Интернета вещей в доме и порталы, созданные для внешних пользователей, таких как клиенты, партнеры, подрядчики и MSP, — продолжил он.
«Часто доступ по этим каналам полностью обходится без корпоративной сети, вместо этого полагаясь на токены OAuth или другие типы проверки», — сказал он TechNewsWorld.
«Хотя компании стремятся использовать эти точки доступа для увеличения функциональности своих облачных и SaaS-систем, — сказал он, — они часто пренебрегают их защитой и мониторингом так же, как они защищаются в своей корпоративной сети, приводит к серьезным уязвимостям доступа, которые могут быть полностью неизвестны компании ».
Использование неуправляемого SaaS означает, что конфиденциальные корпоративные данные могут распространяться в места, которые никогда не были предназначены для хранения данных такого типа, добавил Сунил Ю, директор по информационной безопасности JupiterOne, компания из Моррисвилля, Северная Каролина, поставщик решений для управления киберактивами и корпоративного управления.
«Приложения SaaS часто интегрируются с другими приложениями SaaS», — сказал он TechNewsWorld. «Если этими интеграциями также не управлять, организации рискуют предоставить чрезмерно разрешительный и непрерывный доступ к своим корпоративным данным через несколько каналов SaaS».
Что делать
Организации прилагают усилия для сокращения Герберт отметил, что приложения SaaS несут в себе риск для их данных, не сдерживая их скорости, творчества и успеха в бизнесе.
«Решение не простое, но, как правило, представляет собой комбинацию приложений для обучения, управления и предварительной проверки», — сказала она.
«Некоторые организации испробовали меры наказания и наказания, но они имели смешанный успех по сравнению с образованием и более продуманными стратегиями поиска», — добавила она.
О’Коннор утверждал, что необходим новый подход, чтобы не отставать от быстро меняющихся облачных сред и сред SaaS.
«Группы безопасности и ИТ-службы больше не могут полагаться исключительно на собственный опыт и рассчитывать на то, что им не удастся не отставать», — заявил он.
«Поскольку сложность облачных сред и сред SaaS — и связанных с ними конфигураций безопасности — будет только увеличиваться, компаниям потребуется использовать автоматизированные инструменты, чтобы убедиться, что их настройки безопасности соответствуют их бизнес-целям, и постоянно контролировать меры безопасности, чтобы предотвращать дрейф конфигурации », — сказал он.
«Это просто больше не та задача, которую команды смогут выполнять, используя только ручные процессы», — добавил он.
