В днешната бързо развиваща се среда на SaaS фокусът е върху потребителите. Това е една от най-компрометираните области в управлението на сигурността на SaaS и изисква стриктно управление на ролите и разрешенията на потребителите, наблюдение на привилегированите потребители, нивото на тяхната активност (неактивни, активни, хиперактивни), вида им (вътрешни/външни), дали са присъединяващи се, преместващи се или напускащи и др.
Не е изненадващо, че усилията в областта на сигурността са насочени главно към човека. Опциите за конфигуриране включват инструменти като MFA и SSO за удостоверяване на човека. Контролът на достъпа, базиран на роли (RBAC), ограничава нивото на достъп; насоките за сложност на паролите блокират достъпа на неоторизирани хора до приложението.
И все пак в света на SaaS не липсва достъп, предоставен на нечовешки участници, или с други думи, на свързани приложения на трети страни.
Акаунти за услуги, OAuth оторизации и API ключове са само някои от нечовешките идентичности, които изискват достъп до SaaS. Когато се разглеждат през призмата на приложението, нечовешките акаунти са подобни на човешките акаунти. Те трябва да бъдат автентифицирани, да им бъде предоставен набор от разрешения и да бъдат наблюдавани. Тъй като обаче те не са човешки, значително по-малко внимание се отделя на гарантирането на сигурността.
Интеграциите вероятно са най-лесният начин да се разбере нечовешкият достъп до приложение SaaS. Calendly е приложение, което елиминира обратните имейли за уговаряне на срещи, като показва наличността на потребителя. То се интегрира с календара на потребителя, чете календара, за да определи наличността, и автоматично добавя срещи. Когато се интегрира с Google Workspace чрез оторизация OAuth, то изисква обхвати, които му позволяват да вижда, редактира, споделя и изтрива календари на Google, наред с други обхвати. Интеграцията се инициира от човек, но Calendly не е човек.
Други нечовешки акаунти включват споделяне на данни между две или повече приложения. SwiftPOS е приложение и устройство за точки на продажба (POS) за барове, ресторанти и обекти за търговия на дребно. Данните, уловени от POS, се прехвърлят към платформа за бизнес разузнаване, като Microsoft Power BI, където се обработват и анализират. Данните се прехвърлят от SwiftPOS към Power BI чрез нечовешки акаунт.
Управлението и осигуряването на нечовешки акаунти не е толкова просто, колкото изглежда. Като начало, всяко приложение има свой собствен подход за управление на тези видове потребителски акаунти. Някои приложения, например, прекъсват интеграцията на OAuth, когато потребителят, който я е разрешил, бъде изключен от приложението, докато други поддържат връзката.
Приложенията SaaS също прилагат различни подходи за управление на тези акаунти. Някои включват нечовешките акаунти в своя потребителски списък, докато други съхраняват и показват данните в различен раздел на приложението, което ги прави лесни за пренебрегване.
Човешките акаунти могат да бъдат удостоверявани чрез MFA или SSO. За разлика от тях нечовешките акаунти се удостоверяват еднократно и се забравят, освен ако не възникне проблем с интеграцията. Човешките акаунти имат и типични модели на поведение, като например влизане в приложенията в работно време. Нечовешките акаунти често осъществяват достъп до приложенията извън пиковите часове, за да намалят трафика и натоварването на мрежата. Когато човек влезе в своята SaaS в 3 часа сутринта, това може да предизвика разследване; когато нечовек влезе в мрежата в 3 часа сутринта, това е просто обичайната работа.
В стремежа си да опростят управлението на нечовешки акаунти много организации използват един и същ API ключ за всички интеграции. За да улеснят това, те предоставят широки набори от разрешения на API ключа, за да покрият всички потенциални нужди на организацията. В други случаи разработчикът използва свой собствен API ключ с високи права, за да предостави достъп на нечовешкия акаунт, позволявайки му да има достъп до всичко в приложението. Тези API ключове функционират като пропуски за пълен достъп, използвани от множество интеграции, което ги прави изключително трудни за контролиране.
Нечовешките акаунти в голяма степен не се наблюдават и имат широк обхват на разрешенията. Това ги прави привлекателна цел за заплахи. Компрометирайки някой от тези акаунти, заплахите могат да влязат незабелязано в приложението, което води до пробиви, неразрешени модификации или прекъсване на услугата.
Използвайки платформа за управление на сигурността (SaaS Security Posture Management – SSPM) в комбинация с решения за откриване и реагиране на заплахи, свързани с идентичността (Identity Threat Detection & Response – ITDR), организациите могат ефективно да управляват своите нечовешки акаунти и да откриват, когато те се държат необичайно.
Нечовешките акаунти се нуждаят от същата видимост от страна на екипите по сигурността като човешките акаунти и трябва да се управляват в същия потребителски списък като човешките си колеги. Чрез унифициране на управлението на идентичността е много по-лесно да се преглеждат достъпът и разрешенията и да се актуализират акаунтите, независимо кой е техният собственик. Това също така гарантира единен подход към управлението на акаунтите. Организационните политики, като например забраната за споделяне на акаунти, трябва да се прилагат повсеместно. Акаунтите, които не са човешки, трябва да бъдат ограничени до определени IP адреси, които са предварително одобрени в списък с разрешения, и не трябва да получават достъп чрез стандартните екрани за вход (вход в потребителския интерфейс). Освен това разрешенията следва да бъдат съобразени с техните специфични нужди като приложения, а не да бъдат широкообхватни или да съответстват на човешките им аналози.
ITDR също играе важна роля. Нечовешките акаунти могат да имат достъп до приложенията SaaS по всяко време на денонощието, но обикновено са доста последователни във взаимодействията си. ITDR може да открие аномалии в поведението, независимо дали става въпрос за промени в графика, вида на данните, които се добавят към приложението, или дейностите, които се извършват от нечовешкия акаунт.
Видимостта, осигурена от SSPM за акаунтите и ITDR за поведението на нечовешките идентичности, е от съществено значение за управлението на рисковете и идентифицирането на заплахите. Това е съществена дейност за поддържане на сигурни SaaS приложения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.