Οι εφαρμογές SaaS έχουν γίνει αντικείμενο πραγματικής ανησυχίας για πολλές επιχειρήσεις. Και αυτό είναι ακόμα πιο σημαντικό αν λάβουμε υπόψη ότι οι εφαρμογές GenAI είναι ουσιαστικά, εφαρμογές SaaS.
Δείτε επίσης: SEC: Απαιτεί την ενίσχυση της ασφάλειας στον κόσμο του SaaS
Η εταιρεία ασφαλείας Wing (Wing), μια εταιρεία η οποία παρέχει υπηρεσίες SaaS, πραγματοποίησε μια ανάλυση σε 493 εταιρείες που χρησιμοποιούν λογισμικό ως υπηρεσία (SaaS) κατά το τέταρτο τρίμηνο του 2023. Η μελέτη τους αποκαλύπτει πώς οι εταιρείες χρησιμοποιούν το SaaS σήμερα και την ποικιλία των απειλών που προκύπτουν από τη χρήση του. Αυτή η μοναδική ανάλυση παρέχει σπάνιες και σημαντικές εισηγήσεις για το εύρος των κινδύνων που σχετίζονται με το SaaS, αλλά παρέχει επίσης πρακτικές συμβουλές για τη μείωσή τους και για να διασφαλιστεί ότι μπορεί να χρησιμοποιηθεί ευρέως χωρίς να απειλείται η ασφάλεια.
Το 2023 μας έφερε μερικά διάσημα παραδείγματα κακόβουλων παικτών που εκμεταλλεύονται ή επιτίθενται απευθείας σε SaaS, συμπεριλαμβανομένης της βορειοκορεατικής ομάδας UNC4899, της ομάδας κακόβουλου λογισμικού 0ktapus και της ρωσικής ομάδας Midnight Blizzard APT, η οποία επιτέθηκε σε γνωστούς οργανισμούς όπως η JumpCloud, η MGM Resorts και η Microsoft (αντίστοιχα), καθώς και πολλούς άλλους που συχνά παραμένουν άγνωστοι.
Το πρώτο εύρημα από αυτήν την έρευνα επικυρώνει ότι αυτές οι εφαρμογές είναι αναμφίβολα αναπόσπαστο μέρος του συνόλου εργαλείων και προμηθευτών των σύγχρονων οργανισμών. Ακόμα και στις πιο αυστηρές εταιρείες, όταν ένας προσεκτικός υπάλληλος χρειάζεται μια γρήγορη και αποτελεσματική λύση, θα την αναζητήσει και θα τη χρησιμοποιήσει για να ολοκληρώσει τα καθήκοντά του πιο γρήγορα και καλύτερα.
Επομένως, κάθε οργάνωση που ενδιαφέρεται για την ασφάλεια της αλυσίδας εφοδιασμού της πρέπει να υιοθετήσει μέτρα ασφαλείας SaaS. Σύμφωνα με την τεχνική MITRE ATT&CK με τον τίτλο “Έμπιστες Σχέσεις” (T1199), μια επίθεση στην αλυσίδα εφοδιασμού συμβαίνει όταν ένας εισβολέας στοχεύει έναν προμηθευτή για να τον εκμεταλλευτεί ως μέσο για να διεισδύσει σε ένα ευρύτερο δίκτυο εταιρειών. Με το να εμπιστεύονται εξωτερικούς προμηθευτές SaaS με ευαίσθητα δεδομένα, οι οργανισμοί εκθέτουν τον εαυτό τους σε κινδύνους της αλυσίδας εφοδιασμού που ξεπερνούν τις άμεσες ανησυχίες ασφαλείας.
Δείτε ακόμα: Welltok: Παραβίαση δεδομένων επηρεάζει 8,5 εκατ. ασθενείς
Τέσσερις κοινοί κίνδυνοι για το SaaS
1) Shadow SaaS
Το πρώτο πρόβλημα με τη χρήση του SaaS είναι το γεγονός ότι συχνά παραμένει εντελώς απαρατήρητο: Ο αριθμός των εφαρμογών που χρησιμοποιούνται από τις οργανώσεις είναι συνήθως 250% μεγαλύτερος από αυτόν που αποκαλύπτεται από ένα βασικό και συχνά χρησιμοποιούμενο αίτημα στον χώρο εργασίας.
2) MFA Bypassing
Η έρευνα της Wing δείχνει μια τάση όπου οι χρήστες επιλέγουν να χρησιμοποιούν ένα όνομα χρήστη/κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στις υπηρεσίες που χρειάζονται, παρακάμπτοντας τα μέτρα ασφαλείας που έχουν θεσπιστεί.
3) Forgotten tokens
Οι χρήστες χρησιμοποιούν στις εφαρμογές τα tokens που χρειάζονται, το οποίο είναι απαραίτητο για να εκτελούν τον σκοπό τους οι εφαρμογές SaaS. Το πρόβλημα είναι ότι αυτά τα tokens συχνά ξεχνιούνται μετά από λίγες ή ακόμα και μία χρήση. Η έρευνα της Wing αποκάλυψε την ύπαρξη μεγάλου αριθμού αχρησιμοποίητων tokens σε διάστημα 3 μηνών, δημιουργώντας έναν περιττά μεγάλο χώρο επίθεσης για πολλούς πελάτες.
4) The new risk of Shadow AI
Στην αρχή του 2023, οι ομάδες ασφαλείας επικεντρώθηκαν κυρίως σε μερικές επιλεγμένες γνωστές υπηρεσίες που προσφέρουν πρόσβαση σε μοντέλα βασισμένα σε τεχνητή νοημοσύνη. Ωστόσο, καθώς προχωρούσε το έτος, χιλιάδες συμβατικές εφαρμογές SaaS υιοθέτησαν μοντέλα τεχνητής νοημοσύνης. Οι οργανισμοί αναγκάστηκαν να συμφωνήσουν σε ενημερωμένους όρους και προϋποθέσεις που επιτρέπουν σε αυτές τις εφαρμογές να χρησιμοποιούν και να βελτιώνουν τα μοντέλα τους χρησιμοποιώντας τα πιο εμπιστευτικά δεδομένα των οργανισμών.
Δείτε επίσης: Πελάτες της LogicMonitor πλήττονται από παραβίαση δεδομένων
Η έκθεση ολοκληρώνεται με θετικό τόνο, αναφέροντας τρόπους με τους οποίους οι εταιρείες μπορούν να αντιμετωπίσουν τον αυξανόμενο κίνδυνο της αλυσίδας εφοδιασμού SaaS.
- Συνεχής ανίχνευση και διαχείριση μη εξουσιοδοτημένων τεχνολογικών δραστηριοτήτων (shadow IT).
- Προτεραιότητα στην αντιμετώπιση των μη σωστών ρυθμίσεων SaaS.
- Βελτιστοποίηση της ανίχνευσης ανωμαλιών με προκαθορισμένα πλαισία, αυτοματοποίηση όπου είναι δυνατόν.
- Παρακολούθηση όλων των εφαρμογών SaaS που χρησιμοποιούν τεχνητή νοημοσύνη και έλεγχος του SaaS για ενημερώσεις στους όρους και προϋποθέσεις που αφορούν τη χρήση της τεχνητής νοημοσύνης.
Για την πλήρη λίστα των ευρημάτων, συμβουλές για τη διασφάλιση ασφαλούς χρήσης των SaaS και μια πρόβλεψη ασφάλειας SaaS για το 2024, **κατεβάστε την πλήρη έκθεση εδώ**.
Οι λύσεις SaaS είναι ιδιαίτερα ωφέλιμες για τη βιομηχανία λογισμικού. Οι εταιρείες λογισμικού μπορούν να προσφέρουν τα προϊόντα τους ως υπηρεσίες μέσω του διαδικτύου, εξαλείφοντας την ανάγκη για φυσική εγκατάσταση και συντήρηση. Η βιομηχανία λιανικής πώλησης επωφελείται επίσης από τις λύσεις SaaS. Τα συστήματα αυτά επιτρέπουν την αυτοματοποίηση των διαδικασιών παραγγελίας και αποθήκευσης, καθώς και τη διαχείριση των πελατών και των πωλήσεων.
Οι εταιρείες πληροφορικής μπορούν να χρησιμοποιήσουν τις λύσεις SaaS για την αποτελεσματική διαχείριση των προγραμμάτων τους, την ανάπτυξη λογισμικού και την υποστήριξη των πελατών τους. Η βιομηχανία υγείας επωφελείται επίσης από τις λύσεις SaaS. Τα συστήματα αυτά μπορούν να βοηθήσουν στην αυτοματοποίηση των διαδικασιών διαχείρισης ασθενών, την οργάνωση των ιατρικών εγγράφων και τη διαχείριση των υπηρεσιών υγείας.
Τέλος, οι εκπαιδευτικές οργανώσεις μπορούν να χρησιμοποιήσουν τις λύσεις SaaS για την αποτελεσματική διαχείριση των συστημάτων διαχείρισης μάθησης, την οργάνωση των εκπαιδευτικών πόρων και την παροχή εξ αποστάσεως μάθησης.
Πηγή: thehackernews
