Nedavni cyber-napadi u lancu snabdijevanja podstiču propise o cyber sigurnosti u finansijskom sektoru da pooštre zahtjeve za usklađenost, a očekuje se da će to uslijediti i druge industrije. Mnoge kompanije još uvijek nemaju efikasne metode za upravljanje vremenski osjetljivim SaaS sigurnosnim zadacima i zadacima usklađenosti. Besplatni alati za procjenu rizika SaaS-a su jednostavan i praktičan način da se poveća vidljivost i početna kontrola širenja SaaS-a i Shadow vještačke inteligencije.
Ovi alati sada nude inkrementalne nadogradnje, pomažući sigurnosnim profesionalcima da ispune budžet ili nivo zrelosti svoje kompanije.
Regulatorni pritisak, širenje SaaS-a i vještačke inteligencije i povećani rizik od kršenja ili curenja podataka kroz aplikacije third-party, čine SaaS sigurnost jednim od najtoplijih područja za praktičare koje treba naučiti i usvojiti. Novi propisi će zahtijevati robusno upravljanje životnim ciklusom rizika third-party za SaaS koje počinje otkrivanjem SaaS usluge i upravljanjem rizikom third-party(TPRM) i završava zahtjevom CISO-a da prijave incidente u svom lancu snabdijevanja u roku od 72 sata.
Finansijski cyber zakoni kao što su NY-DFS i DORA oslanjaju se na slične principe smanjenja rizika uprkos upotrebi različitih terminologija.
Lekcije koje možete naučiti iz sigurnosnih zahtjeva za financijski SaaS
Stručnjaci za sigurnost koji razumiju zahtjeve cyber usklađenosti u finansijskom sektoru bolje su opremljeni za upravljanje svojim SaaS rizikom i rukovanje raznim drugim okvirima usklađenosti. Očekuje se da će se ovi temeljni principi, uopšteno kategorizirani u četiri koraka, preslikati u više industrija. Oni pružaju odličan template za sigurno korišćenje SaaS-a, što treba naučiti kao najbolju sigurnusnu praksu.
Mapiranje NY-DFS zahtjeva u četiri SaaS sigurnosna koraka
1.Third-Party otkrivanje i upravljanje rizikom(TPRM)
SaaS sigurnosno putovanje počinje identifikacijom i mapiranjem svih usluga third-party koje koristi organizacija. Ove usluge treba procijeniti zbog njihove važnosti za operacije i njihovog uticaja na non-public information(NPI), i treba ih uporediti sa ocjenom reputacije dobavljača (procjena rizika izvana). Dok se mnoge kompanije fokusiraju samo na „sankcionisane aplikacije“ koje se proveravaju tokom procesa kupovine, ovaj pristup ne ide u korak sa brzim usvajanjem SaaS-a i načinom na koji se koristi u organizacijama.
Sveobuhvatna sigurnosna politika bi takođe trebala pokrivati “shadow IT”, što se odnosi na nedozvoljene aplikacije koje su usvojili pojedini zaposlenici, kao i besplatne probne verzije koje se koriste u različitim timovima. Obe vrste aplikacija obično otkrivaju NPI i obezbeđuju backdoor pristup najpoverljivijim sredstvima kompanije.
2. Postavljanje i sprovođenje politika rizika
Nakon procjene rizika, sigurnosni timovi moraju uspostaviti jasne politike u vezi sa odobrenim i neodobrenim dobavljačima SaaS-a i vrstama podataka koji se mogu dijeliti sa ovim uslugama koje se nalaze u cloud-u. Pojednostavljena edukacija korisnika je ključna kako bi se osiguralo da svi razumiju ove politike. Kontinuirano sprovođenje, koje ima poseban značaj u SaaS okruženjima, takođe je potrebno. Prosječan zaposlenik koristi 29 različitih aplikacija, uz česte promjene. Mnoge kompanije se još uvijek oslanjaju na periodične preglede i ručne procese koji mogu previdjeti primjenu shadow IT i aplikacija koje su dodane čak i nekoliko minuta nakon revizije SaaS-a. Važno je napomenuti da CISO ostaju odgovorni za sve sigurnosne incidente u vezi sa ovim kasno uključenim SaaS aplikacijama ili aplikacijama koje zaposleni koriste.
3. Smanjenje površine napada
Zatim se fokus prebacuje na upravljanje površinskim napadima i smanjenje broja odobrenih provajdera. Rešenja SaaS Security Posture Management (SSPM) su moćna za ovaj složeni, ali kritični korak. Ovo uključuje učvršćivanje početnih konfiguracija SaaS aplikacija, sa regulatornim naglaskom na multi-factor autentifikaciju (MFA), uključenje i upravljanje pravima pristupa za ljudske i neljudske identitete putem pregleda korisničkih pristupa. Napredni timovi također nadgledaju neiskorištene tokene i prekomjerno dopuštene aplikacije, te upravljaju razmjenom informacija. Ovi aspekti su ključni za sigurnost SaaS-a, ali su samo djelimično pokriveni propisima.
4.Otkrivanje incidenata i odgovor
Uprkos svim koracima za smanjenje rizika, third-party i dalje mogu doživjeti povrede. Istraživanje koje je sproveo Wing otkrilo je da je gotovo svih 500 pregledanih kompanija koristilo barem jednu probijenu aplikaciju u prošloj godini. Finansijski regulatori zahtijevaju od CISO-a da brzo prijave incidente u lancu nabavke (u roku od 72 sata prema NY-DFS i do sledećeg radnog dana pod DORA). Tumačenje ovih zahtjeva još uvijek treba da se testira, ostavljajući mnoge CISO-e oslanjajući se na dobru praksu svojih dobavljača kada izvještavaju o događajima. Uz tržište koje se sastoji od 350.000 različitih SaaS aplikacija i izazova shadow IT-a, neophodne su robusne usluge podrške za brz oporavak od događaja i usklađenost.
SaaS sigunost za svakoga
Organizacije se razlikuju po svojim nivoima zrelosti SaaS sigurnosti, sklonostima riziku i ulaganjima u rad i alate za sigurnost. Wing Security nudi besplatnu početnu alatku za otkrivanje i procjenu rizika od najčešće korištenih SaaS aplikacija u organizaciji. Nedavno su ažurirali svoj početni nivo Basic Tier kako bi automatizirali radno intenzivne zadatke koji su ključni za sigurnosne timove. Ovaj novi nivo uključuje duboko otkrivanje shadow IT-a, postavljanje i provođenje politike, te besprijekorno obrazovanje radne snage o SaaS dobavljačima. Počevši od 3.500 USD godišnje za manje organizacije, osnovni nivo nudi cost-effective entry point u SaaS sigurnost, sa dostupnim daljnjim nadogradnjama kako bi se poboljšalo više slučajeva upotrebe zaštite i smanjili troškovi regulatornih zadataka.
Za mnoge kompanije koje još ne koriste potpuna SaaS sigurnosna rješenja, skalabilni modeli sa više nivoa nude jednostavan način za otkrivanje rizika i brzo pokazivanje povrata ulaganja. Naprednije organizacije će želeti Pro ili potpune Enterprise nivoe da efikasno adresiraju i upravljaju sva četiri tipična koraka usklađenosti koja su detaljno opisana iznad.
Izvor:The Hacker News