Може би е изненадващо да научите, че 34% от специалистите по сигурността не знаят колко приложения SaaS са внедрени в техните организации. И това не е чудно – неотдавнашният доклад AppOmni 2024 State of SaaS Security Report разкрива, че само 15% от организациите централизират сигурността на SaaS в рамките на своите екипи по киберсигурност. Тези статистически данни не само подчертават едно критично „сляпо петно“ в областта на сигурността, но и сочат факта, че организационната култура често се пренебрегва като движещ фактор за тези рискове. Тъй като SaaS средите стават все по-децентрализирани, липсата на яснота относно ролите и отговорностите оставя компаниите изложени на риск.
Повечето екипи по сигурността се фокусират единствено върху техническите въпроси, като често пропускат как културата на компанията – нейните ежедневни практики, нагласи и процеси на прилагане на политики по подразбиране – формира позицията на организацията по отношение на сигурността. Прекалената самоувереност, неясните отговорности и липсата на постоянно наблюдение могат да доведат до пробиви в сигурността на SaaS. Нека разгледаме защо изграждането на култура, която цени споделената отговорност и проактивната сигурност, е от решаващо значение.
Децентрализираното снабдяване с приложения SaaS промени изцяло играта за много организации. Бизнес звената вече могат свободно да избират и приемат инструментите, от които се нуждаят, за да останат гъвкави и да постигат бизнес целите си, но с тази свобода идва и огромно предизвикателство: да се поддържат последователни и ефективни практики за сигурност във всички звена.
Бизнес звената често са лазерно фокусирани върху бързината и иновациите, което означава, че сигурността често остава на заден план. От друга страна, екипите по сигурността се опитват да се справят с огромния и постоянно променящ се пейзаж от SaaS приложения, при избора на които не са имали думата. В резултат на това разминаване може да се създаде култура, в която сигурността не е приоритетна или още по-лошо, се разглежда като пречка, която забавя бизнес инициативите и операциите.
Това, което често следва, е среда, в която уязвимостите могат да процъфтяват. Автономията повишава производителността, но без координиран надзор на сигурността носи и сериозни рискове. Бързото внедряване на нови инструменти без задълбочени прегледи може да отслаби контрола върху сигурността и да позволи потенциалните заплахи да останат незабелязани.
Проучването на AppOmni, проведено сред 644 ръководители и мениджъри в областта на сигурността в цял свят, показва, че 31% от тях твърдят, че техните организации са претърпели пробив в сигурността на данни с пет пункта повече в сравнение с предходната година. Този скок на нарушенията може да бъде свързан с културата на сигурност на SaaS. Нарушението на Snowflake от 2023 г. например е причинено от това, че клиентите не са успели да въведат сигурно двуфакторно удостоверяване, за да защитят производствените си среди. Мащабният пробив във веригата за доставки в Sisense, доставчик на платформа за бизнес разузнаване (BI) и анализ на данни, посочва опасностите от неправилното осигуряване на екосистемите SaaS, до които имат достъп трети страни.
И в двата случая поради децентрализираното приемане липсваше видимост и контрол върху интеграциите с трети страни, което доведе до излагане на риск на големи количества данни. Тези инциденти подчертават необходимостта от култура, насочена към сигурността, която да обхваща цялата организация, а не само ИТ сектора.
Създаването на култура, съобразена със сигурността, не се състои само в създаването на политики, а в промяна на начина на мислене. Бизнес звената трябва да разберат значението на сигурността и да привлекат екипите по сигурността още в началото на избора на нови инструменти. В същото време екипите по сигурността трябва да работят активно с бизнес звената и да предлагат насоки, които подкрепят иновациите, а не ги възпрепятстват. Преодоляването на тази пропаст между автономността и сигурността е от ключово значение за изграждането на сигурна и продуктивна среда.
Много организации смятат, че са сигурни, но продължават да се случват пробиви, причинени от предотвратими проблеми като неправилни конфигурации. А прекалената увереност е културен проблем, който може да доведе до сериозни проблеми.
Въпреки че компаниите често оценяват своята зрялост на киберсигурността на SaaS като висока, реалността често е различна. Често има разминаване между това, което се приема за сигурно, и това, което действително е сигурно, обикновено защото сложността и рисковете на SaaS средите се подценяват.
Платформите SaaS са силно приспособими и се интегрират с много инструменти, но без внимателно управление те могат да внесат значителни уязвимости. Докладът на AppOmni показва, че близо половината от анкетираните казват, че имат по-малко от 10 приложения, свързани с платформата Microsoft 365, но обобщените данни показват, че има над хиляда връзки SaaS-to-SaaS към Microsoft 365.
Прекалената увереност в сигурността на SaaS често се дължи на непълното разбиране на модела на споделената отговорност. Мнозина вярват, че основните мерки за сигурност – като многофакторното удостоверяване – са достатъчни, за да осигурят безопасността на техните SaaS среди. Но без непрекъснат мониторинг уязвимостите и другите проблеми със сигурността на SaaS могат да останат скрити, докато не стане твърде късно.
Към този проблем се прибавят и организационните различия. Различните отдели могат да имат различни нива на осведоменост за сигурността, което води до пропуски в надзора. Докато ИТ обикновено разбират необходимостта от непрекъснато наблюдение, бизнес звената може да не виждат рисковете от неконтролираното използване на SaaS и поради това да имат много по-голяма разлика между възприетото и действителното ниво на сигурност.
За да решат тези проблеми, компаниите трябва да променят културата си към по-добро сътрудничество и споделени отговорности за сигурността. Време е да се премине отвъд фалшивото чувство за сигурност, което идва с прилагането на общи механизми за контрол на сигурността, и да се възприеме по-всеобхватен подход, който включва непрекъснато наблюдение, редовна преоценка и ангажимент към сигурността на всяко ниво на организацията.
Моделът на споделената отговорност е основна част от сигурността в облака, като определя за какво отговаря всеки от доставчиците на SaaS и техните клиенти. Но той често се разбира погрешно. Сигурността на SaaS не зависи само от доставчика – това е екипно усилие, изискващо активното участие както на доставчика на SaaS, така и на клиента. За съжаление тази споделена отговорност може да се разпадне, когато има културно разминаване, което оставя отворена вратата за нарушения.
Непрекъснатият мониторинг е ключът към споделената отговорност. Средата на SaaS винаги се променя, като актуализациите, новите потребители и интеграциите въвеждат нови рискове. Без непрекъснат мониторинг тези проблеми могат да се промъкнат незабелязано, докато не бъдат използвани за предизвикване на нарушение на сигурността на данните.
За да се управляват ефективно тези рискове, е изключително важно да се внедри решение за управление на сигурността на SaaS (SSPM), което предлага всеобхватни възможности. Надеждното решение за SSPM трябва да включва управление на конфигурацията и отклоненията за поддържане на базовите нива на политиките, функционалност за разкриване на достъпа до данни, за да се сигнализира за често срещани неправилни конфигурации, и откриване на заплахи, което се интегрира със SIEM и SOC инструменти.
Цялостното решение за SSPM трябва да осигурява видимост на връзките между SaaS и SaaS и да предлага оценки на съответствието по заявка. Тези функции осигуряват надзор в реално време, необходим за откриване и отстраняване на проблеми, преди те да се разраснат, като гарантират, че вашата среда SaaS остава сигурна.
Макар че непрекъснатият мониторинг е критичен компонент на стабилната програма за сигурност на SaaS, много организации не осъзнават колко важен е непрекъснатият мониторинг, докато не се стигне до пробив, който вече е извършен и щетите са нанесени. Почистването след пробив е скъпо – не само финансово, но и от гледна точка на въздействието върху репутацията. Пропускането на непрекъснатия мониторинг подкопава целия смисъл на модела на споделена отговорност, тъй като оставя пропуски в сигурността, които биха могли да бъдат лесно овладени с подходящи предпазни мерки. За да избегнат това, организациите трябва да превърнат решенията за SSPM в основополагащ компонент на цялостната си стратегия за сигурност. По този начин и компанията, и нейните доставчици на SaaS дават своя принос за запазване на сигурността.
Тъй като организационната култура играе толкова важна роля в защитата от пробиви в SaaS, справянето със сигурността на SaaS започва с изграждането на стабилна култура на сигурност във вашата организация.
За да започнете да изграждате култура на сигурност, съобразена със SaaS, се уверете, че:
Чрез предприемането на тези мерки организациите могат да изградят култура, която не само движи бизнеса им напред, но и дава приоритет на сигурността и намалява вероятността от нарушения, свързани с SaaS.
С нарастването на внедряването на SaaS поддържането на силна сигурност става още по-голямо предизвикателство. В перспектива до 2025 г. и след това е ясно, че само с технологии няма да се справим. Организациите трябва да се съсредоточат върху създаването на култура на сигурност, вплетена във всяка част от техните операции.
Всичко започва с интелигентни разходи. Екипите вече са наясно с необходимостта да се съсредоточат върху ефективността на разходите в своите програми за сигурност. Всъщност 29% очакват възвръщаемостта на инвестициите в киберсигурност, измерена чрез намаляване на риска, да бъде ключов въпрос за обсъждане през следващата година. За да останат начело, компаниите трябва да защитават най-критичните си активи, да използват усъвършенствани инструменти за наблюдение на достъпа и конфигурациите и да прилагат принципите на нулевото доверие в своите приложения.
В крайна сметка сигурността не е свързана само с инструменти и технологии. Тя е свързана и с хората. Изграждането на култура, в която всеки служител разбира значението на сигурността, е от решаващо значение. Непрекъснатото обучение за най-добрите практики в областта на киберсигурността ще помогне на служителите да се придържат към политиките и да предотвратяват пробиви в данните. Тъй като организациите се подготвят за бъдещето, съобразяването на тяхната култура с интелигентните практики за сигурност ще бъде от ключово значение за намаляване на рисковете и запазване на сигурността.
Изтеглете пълния текст на доклада, за да научите повече за осигуряването на бъдещата среда на SaaS.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.