Obsidian Security предупреждает о растущих угрозах SaaS для предприятий

По данным компании Obsidian Security, занимающейся управлением безопасностью SaaS, среды SaaS становятся «нерешенной слепой зоной» в корпоративной кибербезопасности для австралийских и Азиатско-Тихоокеанских организаций. Эта проблема частично объясняется путаницей вокруг модели общей ответственности в контрактах SaaS.

В сентябре компания Obsidian Security, объявившая о расширении деятельности в Австралии и Азиатско-Тихоокеанском регионе, заявила, что ожидает резкого увеличения числа местных организаций, пересматривающих свои стратегии безопасности SaaS, после завершения текущих проверок безопасности облачных сред.

Эндрю Лэтэм, который присоединился к Obsidian из Crowdstrike в качестве старшего инженера по продажам в Азиатско-Тихоокеанском регионе и Японии, рассказал TechRepublic, что местные организации должны выйти за рамки бумажных контрольных списков при оценке безопасности поставщиков SaaS. Он также отметил, что многие клиенты по-прежнему неправильно понимают модель общей ответственности SaaS.

SaaS-программное обеспечение становится «передовой линией киберугроз»

Obsidian отметила, что атаки SaaS становятся все более частыми, а последствия становятся все более серьезными. В этом году в результате взлома Ticketek, австралийской компании по продаже билетов на мероприятия, были раскрыты данные 17 миллионов человек после того, как злоумышленник получил доступ к стороннему провайдеру.

«Неявное доверие, которое многие организации испытывают к поставщикам SaaS в плане настройки приложений для них, часто оставляет конфиденциальные данные неосознанно открытыми», — сказал Чизхолм. «Незнание модели общей ответственности может оставить приложения SaaS незащищенными, что создает огромный риск для данных предприятий и частных лиц».

SEE: Более 3 из 4 руководителей технологических компаний обеспокоены угрозами безопасности SaaS

Лэтэм отметил, что риск поставщика SaaS в Австралии и Азиатско-Тихоокеанском регионе сопоставим с другими мировыми рынками.

«Платформы SaaS распространены повсеместно, к ним легко получить доступ из любого или любого устройства, подключенного к Интернету», — пояснил он. «То, что мы видим во всем мире, — это переход от сложных атак, когда конечные точки нацелены на доступ и извлечение данных, к более простым атакам, направленным на захват учетных записей и данных, хранящихся в системах SaaS».

Obsidian обнаружила, что все больше критически важной для бизнеса информации переносится в SaaS. Хотя количество используемых приложений SaaS сильно различается, исследование Productiv подсчитало, что компании с числом сотрудников менее 500 человек используют в среднем 253 приложения, а для компаний с числом сотрудников более 10 000 человек этот показатель возрастает до 473 приложений.

Модель общей ответственности SaaS не подвергалась глубокой оценке

Организации часто неправильно понимают свою роль в модели общей ответственности поставщиков SaaS за безопасность.

Обычно поставщики SaaS и клиенты сотрудничают для обеспечения надежной безопасности данных. Например, поставщики могут отвечать за безопасность базовой инфраструктуры, такой как центры обработки данных, в то время как клиенты могут в первую очередь управлять такими аспектами, как управление доступом пользователей или конфигурация приложений.

«Большинство организаций находятся в процессе защиты своей инфраструктуры как услуги, поскольку они перемещают больше рабочих нагрузок в облако», — сказал Лэтем. «Большинство не осознают, что существует модель общей безопасности, которую реализуют все поставщики облачных услуг, включая SaaS».

Он добавил: «С IaaS вы можете реализовать собственные элементы управления. Однако с SaaS вы не можете этого сделать. Существует широко распространенное предположение, что поставщик SaaS заботится о безопасности данных клиентов, но зачастую это не так».

Бумажные анкеты недостаточны для оценки риска поставщика SaaS

Бумажные анкеты часто используются во время закупок для проверки соответствия поставщиков SaaS требованиям безопасности. Лэтэм сказал, что эти анкеты могут не дать достаточно глубокого понимания того, как поставщик SaaS управляет безопасностью и защищает от рисков для данных, таких как захват учетных записей.

СМОТРЕТЬ: Почти треть компаний пострадали от нарушения безопасности SaaS в прошлом году

«Самой большой проблемой было бы понять, что бумажной анкеты недостаточно при оценке нового поставщика SaaS», — сказал Лэтем. «Многие недавние громкие нарушения были связаны с захватом учетных записей. Подобные атаки, в отношении Матрицы общей ответственности, находятся выше черты, за которой поставщик SaaS берет на себя ответственность».

Риск цепочки поставок SaaS как «темная сторона Луны»

Расширенный риск цепочки поставок программного обеспечения от третьих и четвертых сторон является обычным явлением на рынке SaaS.

Хотя организации оценивают основных поставщиков SaaS, эти поставщики часто сами интегрируются с несколькими поставщиками SaaS в сложную сеть SaaS, что затрудняет оценку реальных рисков для данных.

«Это похоже на темную сторону Луны», — сказал Лэтэм. «Между сторонними и четвертыми SaaS-системами происходит в 10 раз больше передачи данных, чем видно у «входной двери».

«Хотя цепочка поставок может указывать на то, что поставщик SaaS является известным поставщиком услуг, необходимых для поддержки бизнеса, проблемой являются все несанкционированные интеграции», — добавил он.

Эти интеграции могут показаться «невинными на первый взгляд», но при их эксплуатации злоумышленники могут извлекать данные SaaS без ведома арендатора SaaS.

«Существует множество примеров, когда надежные интеграции со сторонними и четвертыми поставщиками SaaS злоупотребляют, раскрывая данные неавторизованным пользователям», — пояснил Лэтэм.

Obsidian Security ожидает сосредоточения на SaaS после облака

Австралийские компании могут быть благодарны, что, в отличие от некоторых других частей света, рынок в значительной степени свободен от атак SIM Swap. Эти атаки происходят, когда киберпреступники обманывают телекоммуникационные компании, заставляя их менять мобильный сервис жертвы на SIM-карту, которую они контролируют.

«Требования ACMA [Австралийского управления по коммуникациям и СМИ] к проверке личности поставщиков телекоммуникационных услуг практически искоренили атаки по подмене SIM-карт, которые по-прежнему распространены в других регионах», — сказал Лэтэм.

Однако проблема безопасности SaaS остается, хотя в Obsidian полагают, что вскоре она станет предметом пристального внимания.

«В целом мы видим, что многие австралийские организации имеют проекты для рабочих нагрузок IaaS в процессе разработки. После завершения они будут рассматривать SaaS. Другие рынки, такие как США, вероятно, опережают их на 18 месяцев, завершив свои первоначальные проекты безопасности IaaS и запустив проекты безопасности SaaS», — сказал Лэтэм.