Os ambientes SaaS estão emergindo como um “ponto cego não resolvido” na segurança cibernética empresarial para organizações australianas e APAC, de acordo com a empresa de gerenciamento de segurança SaaS Obsidian Security. Esta questão é parcialmente atribuída à confusão em torno do modelo de responsabilidade partilhada nos contratos SaaS.
Em setembro, a Obsidian Security, que anunciou que está expandindo as operações na Austrália e na APAC, disse que espera um aumento nas organizações locais reavaliando suas estratégias de segurança SaaS assim que concluírem as revisões contínuas de segurança na nuvem.
Andrew Latham, que ingressou na Obsidian vindo da Crowdstrike como engenheiro de vendas sênior para Ásia-Pacífico e Japão, disse à TechRepublic que as organizações locais deveriam ir além das listas de verificação em papel ao avaliar a segurança do fornecedor de SaaS. Ele também observou que muitos clientes ainda não entendem o modelo de responsabilidade compartilhada SaaS.
Propriedades de software SaaS se tornando 'linha de frente para ameaças cibernéticas'
A frequência dos ataques SaaS está aumentando, observou Obsidian, e as consequências estão se tornando mais graves. A violação deste ano na Ticketek, uma empresa australiana de venda de ingressos para eventos, viu os dados de 17 milhões de pessoas serem expostos depois que um agente de ameaça obteve acesso a um fornecedor terceirizado.
“A confiança implícita que muitas organizações têm nos provedores de SaaS para configurar aplicativos para elas muitas vezes deixa dados confidenciais expostos sem saber”, disse Chisholm. “O desconhecimento do modelo de responsabilidade compartilhada pode deixar os aplicativos SaaS inseguros, representando um enorme risco para os dados de empresas e indivíduos.”
VEJA: Mais de 3 em cada 4 líderes de tecnologia se preocupam com ameaças à segurança de SaaS
Latham disse que o risco do fornecedor de SaaS na Austrália e na APAC é comparável a outros mercados globais.
“As plataformas SaaS são onipresentes, com fácil acesso de qualquer pessoa ou qualquer coisa conectada à Internet”, explicou. “O que estamos vendo globalmente é uma mudança de ataques complexos, onde os endpoints são direcionados para acessar e exfiltrar dados, para ataques mais simples, direcionados ao controle de contas e dados armazenados em sistemas SaaS.”
A Obsidian descobriu que mais informações críticas aos negócios estão migrando para SaaS. Embora o número de aplicações SaaS em utilização varie muito, a pesquisa da Productiv estimou que as empresas com menos de 500 funcionários utilizam uma média de 253 aplicações – aumentando para 473 aplicações para empresas com mais de 10.000 funcionários.
O modelo de responsabilidade compartilhada SaaS não está sendo avaliado em profundidade
As organizações muitas vezes entendem mal o seu papel no modelo de responsabilidade compartilhada do fornecedor de SaaS em termos de segurança.
Normalmente, os fornecedores e clientes de SaaS colaboram para garantir uma segurança robusta dos dados. Por exemplo, os fornecedores podem ser responsáveis pela segurança da infraestrutura subjacente, como data centers, enquanto os clientes podem gerenciar principalmente aspectos como gerenciamento de acesso de usuários ou configuração de aplicativos.
“A maioria das organizações está no processo de proteger seu patrimônio de infraestrutura como serviço à medida que movem mais cargas de trabalho para a nuvem”, disse Latham. “O que a maioria não percebe é que existe um modelo de segurança compartilhada que todos os provedores de nuvem, incluindo SaaS, implementam.”
Ele acrescentou: “Com IaaS, você pode implementar seus próprios controles. No entanto, com SaaS você não pode. Há uma suposição ampla de que o provedor de SaaS está cuidando da segurança dos dados do cliente, mas muitas vezes não está.”
Questionários em papel não são suficientes para avaliar o risco do fornecedor de SaaS
Questionários em papel são frequentemente usados durante a aquisição para verificar se os fornecedores de SaaS atendem aos requisitos de segurança. Latham disse que esses questionários podem não fornecer informações suficientemente profundas sobre como um provedor de SaaS gerencia a segurança e se protege contra riscos aos dados, como apropriação de contas.
VEJO: Quase um terço das empresas sofreu uma violação de segurança de SaaS no ano passado
“O maior problema seria compreender que um questionário em papel não é suficiente ao avaliar um novo fornecedor de SaaS”, disse Latham. “Muitas violações recentes de alto perfil foram aquisições de contas. Esses tipos de ataques, em relação à Matriz de Responsabilidade Compartilhada, estão acima da linha onde o fornecedor de SaaS assume a responsabilidade.”
Risco da cadeia de suprimentos de SaaS como o ‘lado negro da lua’
O risco estendido da cadeia de suprimentos de software de terceiros e terceiros é comum no mercado de SaaS.
Embora as organizações avaliem os principais provedores de SaaS, esses fornecedores geralmente se integram a vários fornecedores de SaaS em uma malha SaaS complicada, dificultando a avaliação de riscos reais para os dados.
“É análogo ao lado escuro da lua”, disse Latham. “Há até 10 vezes mais transferência de dados entre sistemas SaaS de terceiros e quartos do que é visível na 'porta da frente'.
“Embora a cadeia de fornecimento possa sugerir que um fornecedor de SaaS é um fornecedor conhecido de serviços necessários para apoiar o negócio, são todas as integrações não sancionadas que são um problema”, acrescentou.
Essas integrações podem parecer “inocentes superficialmente”, mas quando exploradas podem permitir que adversários exfiltrem dados SaaS sem o conhecimento do locatário SaaS.
“Há muitos exemplos de abuso de integrações confiáveis com fornecedores de SaaS terceirizados, expondo dados a usuários não autorizados”, explicou Latham.
Obsidian Security espera foco em SaaS depois da nuvem
As empresas australianas podem estar gratas porque, ao contrário de outras partes do mundo, o mercado tem estado praticamente livre de ataques de troca de SIM. Esses ataques ocorrem quando os criminosos cibernéticos enganam as empresas de telecomunicações para que mudem o serviço móvel da vítima para um cartão SIM que eles controlam.
“Os requisitos da ACMA (Autoridade Australiana de Comunicações e Mídia) para verificações de identidade para provedores de telecomunicações praticamente erradicaram os ataques de troca de SIM, que ainda prevalecem em outras regiões”, disse Latham.
No entanto, o problema da segurança SaaS permanece, embora a Obsidian acredite que em breve se tornará um foco.
“Em geral, vemos muitas organizações australianas com projetos em andamento para cargas de trabalho IaaS. Depois de concluído, eles examinarão o SaaS. Outros mercados, como os EUA, estão provavelmente 18 meses à frente, tendo concluído os seus projetos iniciais de segurança IaaS e iniciado projetos de segurança SaaS”, disse Latham.
Notícias de Tecnologia:
Relatório descobre que sistemas operacionais da Apple estão sendo alvos de agentes de ameaças
5 métodos de pagamento online para pequenas empresas experimentarem em 2024
Tecnologia de Armazenamento em Nuvem para Pequenas Empresas
Interrompa a programação de eventos paralelos de 2024 e empresas de hospedagem
O que você precisa saber sobre orçamento para um novo telhado
Republicanos vs Democratas: Quem está à frente nas pesquisas sobre sexo?