روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گزارش نظرسنجی امنیتی SaaS سال 2022 با همکاری CSA وضعیت امنیت SaaS را از دید CISOها و متخصصین امنیتی در شرکت‌های امروزی بررسی می‌کند. در این گزارش پاسخ‌های 300 عضو CSA برای بررسی نه تنها ریسک‌های رو به افزایش در امنیت SaaS که همچنین اینکه چطور سازمان‌های کنونی برای امنیت‌بخشی خود متفاوت از هم کار می‌کنند جمع‌آوری شده است. با ما همراه بمانید.

جمعیت‌شناسی

اکثر پاسخ‌دهندگان (71 درصد) در آمریکا بودند، 17 درصد از آسیا و 13 درصد از EMEA[1]. از این تعداد شرکت‌کننده 49 درصد بر فرآیند تصمیم‌گیری تأگیر می‌گذارند و 39 درصد خود فرآیند را پیش‌ می‌برند. این نظرسنجی سازمان‌های فعال در صنایع مختلف را از جمله مخابرات (25 درصد)، مالی (22درصد) و دولتی (9 درصد) بررسی کرده است. در ادامه قرار است 7 یافته‌ی کلیدی از این نظرسنجی را با شما به اشتراک بگذاریم.

1. تنظیمات نادرست SaaS به رخدادهای امنیتی منجر می‌شود

از سال 2019، تنظیمات نادرست SaaS به دغدغه مهمی برای سازمان‌ها تبدیل شد؛ دست کم 43 درصد از سازمان‌ها گزارش دادند که دارند یا یک یا بیش از یک رخداد امنیتی که علتش تنظیمات نادرست SaaS بوده دست و پنجه نرم می‌کنند. با این حال از آنجایی که بسیاری سازمان دیگر می‌گویند نمی‌دانند رخداد امنیتی را اصلاً تجربه کرده‌اند یا نه، تعداد رخدادهای مربوط به SaaS می‌تواند به بیش از 63 درصد برسد. این ارقام در مقایسه با 17 درصد رخدادهای سایبری ناشی از تنظیمات نادرست IaaS بسیار قابل‌توجه است.

2. نبود قابلیت‌دید و دسترسی بسیاری از دپارتمان‌ها به تنظیمات امنیتی SaaS بوده است

گرچه چندین عامل را باید در این بخش بررسی کرد اما پاسخ‌دهندگان آن را به دو دلیل اصلی محدود می‌کنند: داشتن دپارتمان‌های زیادی با دسترسی به تنظیمات امنیتی SaaS (35 درصد) و نبود قابلیت‌دید در مورد تغییرات در تنظیمات امنیتی SaaS (34 درصد).

اینها دو مسئله به هم مرتبط هستند که هیچکدامشان هم تعجب‌آور نیست.

یکی از دلایل اصلی نبود قابلیت دید این حقیقت است که بسیاری از دپارتمان‌ها به تنظیمات امنیتی دسترسی دارند و بسیاری از این دپارتمان‌ها نه آموزش صحیحی دیده‌اند و نه تمرکزشان روی بخش امنیتی بوده است.

3. سرمایه‌گذاری در برنامه‌های کاربردی تجاری مهم SaaS از ابزارها و کارمندان امنیت SaaS پیشی گرفته است

همه می‌دانند که کسب و کارها دارند بیشتر و بیشتر اپ‌ها را بکار می‌گیرند- همین سال گذشته به تنهایی 81 درصد پاسخ‌دهندگان می‌گویند در بخش اپ‌های تجاری مهم SaaS سرمایه‌گذاری‌های خود را بیشتر کرده‌اند. از طرف دیگر نیز سرمایه‌گذاری در ابزارهای امنیتی (73 درصد) و کارمندان (55 درصد) برای امنیت  SaaS کمتر است. این ناهماهنگی نشان‌دهنده بار سنگینی است بر شانه‌ تیم‌های امنیتی موجود برای نظارت بر امنیت SaaS.

4. شناسایی و رفع نقایص تنظیمات  SaaS به طور دستی و سنتی همچنان شرکت‌ها را در معرض قرار می‌دهد

46 درصد سازمان‌ها که دستی امنیت SaaS خود را نظارت می‌کنند در حال انجام بررسی‌هایی هستند که فقط یک بار در ماه یا کمتر است. این درحالیست که 5 درصد اصلاً بررسی‌ای انجام نمی‌دهند! بعد از کشف تنظیم نادرست، تیم‌های امنیتی برای حل آن باید وقت بیشتری بگذارند. تقریباً از هر 4 سازمان یکی برای حل یک تنظیم نادرست باید یک هفته یا بیشتر وقت بگذارد (وقتی دارد این کار را دستی انجام می‌دهد). در این بازه زمانی شرکت بسیار آسیب‌پذیری خواهد بود.

5. استفاده از SSPM زمان شناسایی و حل تنظیمات نادرست SaaS را کاهش می‌دهد

آن روی دیگر مورد 4 هم این است که سازمان‌هایی که SSPM را پیاده‌سازی کرده‌اند سریعتر و دقیق‌تر می‌توانند تنظیمات نادرست SaaS خود را شناسایی و مدیریت کنند. اکثریت این سازمان‌ها (78 درصد) برای بررسی تنظیمات امنیتی SaaS خود یک بار در هفته یا بیشتر از  SSPM استفاده می‌کنند. وقتی صحبت از حل تنظیمات نادرست می‌شود 81 درصد سازمان‌هایی که از SSPM استفاده می‌کنند می‌توانند ظرف یک روز تا یک هفته مشکل را حل کنند.

6. دسترسی به اپ طرف‌سوم، دغدغه‌ی اصلی است

اپ‌های طرف‌سوم که همچنین پلت‌فرم‌های بدون کد یا کد کم نیز نامیده می‌شوند می‌توانند بهره‌وری را بیشتر کرده و کار ترکیبی را ممکن سازند. آن‌ها در ساخت و مقیاس‌بندی فرآیندهای کاری شرکت نقش مهمی را ایفا می‌کنند. با این حال بسیاری از کاربران سریعاً به اپ‌های طرف‌سوم وصل می‌شوند بی‌آنکه بدانند این اپ‌ها باید تا چه اندازه بدان‌ها مجوز داده شود. این مجوزها اگر داده شود در ادامه به اپ‌ها حق انجام کارهای مخرب و مضر را می‌دهد (برای مثال رخنه کردن فایلی قابل‌اجرا). بدون قابلیت‌دید در زنجیره تأمین SaaS-to-SaaS کارمندان اپ‌های مهم تجاری سازمان خود را به این اپ‌ها وصل می‌کنند و تیم‌های امنیتی هم دید کافی نسبت به تهدیدهای بالقوه ندارند. با اتخاذ هرچه بیشتر اپ‌های SaaS از سوی سازمان‌ها یکی از دغدغه‌های اصلی‌شان نبود قابلیت‌دید است خصوصاً نبود دید کافی برای نظارت دسترسی اپ‌های طرف‌سوم به پشته هسته  saaS (56 درصد).

7.  برنامه‌ریزی پیش رو و پیاده‌سازی SSPM

گرچه این طبقه‌بندی دو سال پیش به بازار معرفی شد اما بلوغ خوبی را داشته است. موقع ارزیابی چهار راهکارهای امنیتی کلود، SSPM متوسط امتیاز «تا حدودی آشنا» را دریافت کرد. افزون بر این 62 درصد پاسخ‌دهندگان گزارش دادند که مدتی می‌شود از SSPM استفاده می‌کنند یا قصد دارند در 24 ماه آینده آن را به کار گیرند.

نتیجه‌گیری

گزارش بررسی امنیت SaaS 2022 بینش‌هایی را در مورد نحوه استفاده و محافظت سازمان‌ها از برنامه‌های کاربردی SaaS ارائه می‌دهد. بدون شک هر چه شرکت‌ها به استفاده از برنامه‌های SaaS حیاتی برای کسب‌وکار ادامه دهند، خطر بیشتری آن‌ها را تهدید خواهد کرد. برای رویارویی با این چالش، شرکت‌ها باید امنیت خود را از طریق دو روش برتر کلید بزنند:

تیم‌های امنیتی را فعال کنید تا در تمام تنظیمات امنیتی برنامه SaaS، از جمله دسترسی به اپ طرف سوم و مجوزهای کاربر، دید کامل پیدا کنند، که به نوبه خود به بخش‌ها اجازه می‌دهد تا دسترسی خود را بدون خطر ایجاد تغییرات نادرست که سازمان را آسیب‌پذیر می‌کند، حفظ کنند. شرکت ها باید از ابزارهای خودکار مانند SSPMها برای نظارت دائم و رفع سریع پیکربندی های نادرست امنیتی SaaS استفاده کنند. این ابزارهای خودکار به تیم‌های امنیتی اجازه می‌دهند تا مشکلات را در زمان واقعی شناسایی و برطرف کنند، و زمان کلی آسیب‌پذیر شدن سازمان را کاهش می‌دهند یا از بروز مشکل در یکجا جلوگیری می‌کنند. اجرای هر دو تغییر، از تیم امنیتی شما پشتیبانی می‌کند و در عین حال اطمینان می‌دهد که بخش‌ها به طور یکپارچه و کارآمد با یکدیگر همکاری می‌کنند.

[1]اروپا، خاورمیانه و آفریقا

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.