Внедряването на SaaS понякога е пример за често срещано оплакване на CISO: те имат отчетност без отговорност.

Софтуерът като услуга (SaaS) се внедрява лесно. Толкова е лесно, че решението и внедряването понякога се вземат от потребителя в бизнес звеното, без да се обръща внимание на екипа по сигурността и без да се осъществява надзор от него. А видимостта на платформите SaaS е много малка.

Проучване (PDF) на AppOmni сред 644 организации, използващи SaaS, разкрива, че в 50 % от организациите отговорността за сигурността на SaaS е изцяло на собственика на бизнес единицата или на заинтересованата страна. В 34% тя е съвместна отговорност на бизнеса и екипа по киберсигурност, а само в 15% от организациите киберсигурността на SaaS внедряванията е изцяло на екипа по киберсигурност.

Тази липса на последователен централен контрол неизбежно води до липса на яснота. Тридесет и четири процента от организациите не знаят колко SaaS приложения са внедрени в тяхната организация. Четиридесет и девет процента от потребителите на Microsoft 365 смятат, че имат по-малко от 10 приложения, свързани с платформата – въпреки това собствената телеметрия на AppOmni разкрива, че истинският брой по-скоро е близо до 1000 свързани приложения.

Привлекателността на SaaS за атакуващите е ясна: често това е класическа възможност за „едно към много“, ако системите на доставчика на SaaS могат да бъдат пробити. През 2019 г. хакерът на Capital One получи лични данни от над 100 милиона кредитни заявления. Пробивът в LastPass през 2022 г. изложи на риск милиони клиентски пароли и криптирани данни.

Невинаги е едно към много: нарушенията, свързани със Snowflake, които се появиха на първите страници на вестниците през 2024 г., най-вероятно произтичат от вариант на атака от много към много срещу един доставчик на SaaS. От Mandiant предполагат, че един единствен участник в заплахата е използвал много откраднати идентификационни данни (събрани от много крадци на информация), за да получи достъп до акаунти на отделни клиенти, и след това е използвал придобитата информация, за да атакува отделните клиенти.

Доставчиците на SaaS обикновено разполагат със силна защита, често по-силна от тази на техните потребители. Това схващане може да доведе до прекомерно доверие на клиентите в сигурността на доставчика, а не в собствената им сигурност на SaaS. Например цели 8% от анкетираните не извършват одити, защото „разчитат на доверени SaaS компании“.

Въпреки това, общ фактор в много пробиви в SaaS е използването от нападателите на легитимни потребителски идентификационни данни за получаване на достъп (до такава степен, че AppOmni обсъди това на BlackHat 2024 в началото на август: вижте „Stolen Credentials Have Turned SaaS Apps Into Attackers’ Playgrounds“).

AppOmni вярва, че част от проблема може да бъде неразбирането от страна на организациите и потенциалното объркване по отношение на принципа на SaaS „споделена отговорност“.

Самият модел е ясен: контролът на достъпа е отговорност на клиента на SaaS. Проучването на Mandiant показва, че много клиенти не се ангажират с тази отговорност. Легитимните потребителски пълномощия са придобити от множество крадци на информация за дълъг период от време. Вероятно много от нарушенията, свързани със Snowflake, е можело да бъдат предотвратени чрез по-добър контрол на достъпа, включително MFA и ротация на потребителските пълномощия.

Проблемът не е в това дали тази отговорност принадлежи на клиента или на доставчика (въпреки че има аргумент, който предполага, че доставчиците трябва да я поемат), а в това къде в организацията на клиентите трябва да се намира тази отговорност. Звеното, което най-добре разбира и е най-подходящо за управление на пароли и MFA, очевидно е екипът по сигурността. Но не забравяйте, че само 15% от потребителите на SaaS възлагат на екипа по сигурността изключителната отговорност за сигурността на SaaS. А 50 % от компаниите не им възлагат никаква отговорност.

Главният изпълнителен директор на AppOmni, Брендън О’ Конър, коментира: „Миналогодишният ни доклад подчерта ясното разминаване между самооценките за сигурност и действителните рискове за SaaS. Сега установяваме, че въпреки по-голямата осведоменост и усилия, нещата се влошават. Точно както постоянно се появяват заглавия за пробиви, броят на експлойтите на SaaS е достигнал 31%, което е с пет процентни пункта повече от миналата година. Детайлите зад тази статистика са още по-лоши – въпреки увеличените бюджети и инициативи, организациите трябва да се справят много по-добре със защитата на внедряванията на SaaS.“

Изглежда ясно, че най-важният единичен извод от тазгодишния доклад е, че сигурността на SaaS приложенията в компаниите трябва да бъде издигната до критична позиция. Независимо от лекотата на внедряване на SaaS и бизнес ефективността, която SaaS приложенията осигуряват, SaaS не трябва да се внедрява без участието на CISO и екипа по сигурността и без постоянна отговорност за сигурността.