Mengapa SaaS membutuhkan pendekatan holistik untuk keamanan [Q&A]

Saat organisasi memindahkan lebih banyak sistem mereka ke cloud, mereka menghadapi berbagai ancaman baru. Ini dikombinasikan dengan kurangnya keterampilan keamanan siber membuat pengamanan sistem SaaS menjadi tantangan.

Galit Lubetzky Sharon, salah satu pendiri dan CTO Wing Security, percaya bahwa diperlukan pendekatan baru yang lebih holistik, yang melibatkan karyawan di seluruh organisasi. Kami berbicara dengannya untuk mempelajari lebih lanjut.

BN: Apa saja hal yang harus dipahami oleh semua organisasi (tetapi mungkin tidak) tentang keamanan SaaS?

GLS: Keamanan SaaS (Software-as-a-Service) bukanlah konsep baru. Namun, sering diabaikan dan tidak selalu dilindungi dengan baik, membuat banyak organisasi rentan terhadap serangan. Keamanan SaaS tidak berbeda dengan praktik keamanan lain yang dilakukan organisasi, tetapi yang sering mereka lewatkan adalah bagaimana kelemahan dalam keamanan SaaS benar-benar berdampak pada perusahaan — mulai dari berbagi data eksternal hingga aplikasi berisiko dan titik buta (umumnya dikenal sebagai IT Bayangan). Akibatnya, organisasi berisiko tanpa sepenuhnya memahami apa yang harus dicari saat mengamankan lingkungan SaaS mereka. Berikut adalah tiga hal yang harus diperhatikan oleh perusahaan:

Titik Buta: Organisasi memerlukan alur kerja yang andal untuk menilai semua aplikasi dengan cepat sambil mengumpulkan informasi tentang apa dan bagaimana aplikasi SaaS digunakan. Jumlah praktik keamanan yang perlu diterapkan oleh organisasi, dan jumlah aplikasi serta data yang dipindahkan di sekitar perusahaan selalu tinggi. Dengan semua bagian yang bergerak ini, kerentanan dan risiko akan hilang begitu saja. Oleh karena itu, sangat penting untuk memiliki sistem yang dapat mengisolasi dan menganalisis setiap aplikasi dan memiliki visibilitas dan pemahaman lengkap dari setiap aplikasi SaaS Anda. Berbagi Data Eksternal: Berbagi file adalah kebutuhan dan kemudahan dalam bisnis saat ini, tetapi karyawan perlu berpikir dari semua file, repositori, dan data yang telah dibagikan selama bertahun-tahun dan masih dibagikan. Perusahaan juga harus menerapkan alat yang merampingkan proses pemantauan dan regulasi untuk kolaborasi data dengan orang di luar organisasi. Hal ini memungkinkan para pemimpin untuk mencabut sumber daya bersama yang tidak perlu dan berisiko hanya dalam beberapa langkah. Ancaman Terkait App2App: Koneksi App2App diperlukan untuk alur kerja yang lebih lancar dan layanan SaaS yang lebih baik. Tantangannya di sini adalah aplikasi SaaS sering mengomunikasikan informasi dan data sensitif di antara mereka. Koneksi App2App, dibiarkan tanpa pengawasan, berpotensi menyebabkan perpindahan lateral ke data organisasi Anda. Oleh karena itu, penting untuk memastikan lingkungan SaaS bersih, diperbarui, dan aplikasi, token, dan izin yang tidak perlu atau tidak digunakan dihapus.

BN: Apa saran terbaik Anda untuk para pemimpin yang ingin meningkatkan keamanan SaaS di organisasi mereka?

GLS: Saat melihat keamanan SaaS organisasi, saya menyarankan para pemimpin untuk melihat bagaimana mereka dapat mendukung tim keamanan mereka dan mencari solusi holistik yang bekerja dengan lancar tanpa terlalu mengganggu atau sebaris. Tim keamanan hanya dapat melihat dan melakukan banyak hal. Solusi yang dapat secara otomatis masuk dan membantu memulihkan aktivitas yang mencurigakan sambil terus menemukan, mengklasifikasikan, dan mengontrol lingkungan Anda sangat penting untuk keamanan aplikasi SaaS. Dengan itu, pemimpin organisasi harus dapat menilai lanskap SaaS mereka dengan cepat dan mudah, bersama dengan mengumpulkan informasi terkait seperti bagaimana, apa, dan kapan aplikasi SaaS baru digunakan. Ini akan membantu mendapatkan visibilitas mendalam tentang status keamanan SaaS perusahaan dan mengelolanya secara maksimal.

BN: Apa ancaman SaaS terbesar yang dihadapi organisasi? Bagaimana mereka bisa memerangi ancaman ini sebelumnya?

GLS: Sebagai pemimpin keamanan, alangkah baiknya jika kita dapat memprediksi masa depan dan mengetahui risiko dan ancaman apa yang dihadapi perusahaan kita. Sayangnya, kami tidak memiliki kemewahan itu; alih-alih, kami dapat memahami ancaman apa yang berpotensi dihadapi organisasi kami dan merencanakannya dengan tepat.

Ancaman SaaS dapat terlihat sangat berbeda tergantung pada lingkungan Anda. Perusahaan sering menyerah pada serangan ketika mereka berasumsi bahwa semua vendor memasukkan prosedur keamanan yang komprehensif ke dalam produk mereka dan itu aman. Sekalipun demikian, tidak cukup untuk memastikan keamanan. Hal lain yang cukup sering kami lihat adalah organisasi tidak memasukkan aplikasi dengan benar. Hal ini dapat menyebabkan beberapa masalah bagi organisasi, termasuk jika pengguna ‘menerima semua’ dan mulai menggunakan aplikasi tanpa pemahaman lengkap tentang data apa yang diekspos dan aplikasi lain apa yang sekarang bekerja di latar belakang untuk aplikasi ini, membawa kerentanan yang tidak diinginkan. tim tidak akan tahu keberadaannya.

Meskipun tidak ada bola kristal untuk melihat ancaman apa yang berpotensi dihadapi perusahaan Anda, ada banyak hal yang dapat Anda lakukan untuk mempersiapkan dan melindungi perusahaan sebelumnya. Karena serangan di domain SaaS merupakan fenomena yang meningkat, saya menyarankan terlebih dahulu untuk memiliki visibilitas pada aplikasi yang digunakan sepanjang waktu, memahami tingkat keamanan dan implikasi dari aplikasi ini, lalu mengotomatiskan perbaikan yang disarankan untuk memastikan bahwa celah dikurangi secepat mungkin. Organisasi harus mulai dengan memanfaatkan alat penemuan dan remediasi otomatis yang memungkinkan tim untuk mengetahui semua aplikasi yang mereka gunakan, sehingga Anda dapat bereaksi cepat terhadap situasi jika terjadi dan mengetahui risiko dan kerentanan di awal tanpa mengorbankan waktu perusahaan Anda.

BN: Bagaimana para pemimpin dapat memanfaatkan sumber daya mereka yang ada untuk membantu memerangi potensi ancaman?

GLS: Saya yakin kita semua akrab dengan kekurangan keterampilan dunia maya dan seringnya kekurangan sumber daya untuk memajukan inisiatif dunia maya, yang memberi banyak tekanan pada tim keamanan yang menangani risiko dunia maya yang ada dan yang baru muncul. Alih-alih menempatkan lebih banyak di piring mereka untuk memilih dan memilih masalah mana yang lebih berbahaya daripada yang lain, saya pikir banyak perusahaan mengabaikan bagaimana karyawan mereka dapat dimanfaatkan untuk membantu tim keamanan memerangi ancaman.

Tidak jarang pemimpin keamanan berpikir bahwa karyawan adalah mata rantai terlemah dalam keamanan dunia maya karena sedikitnya latar belakang pengetahuan dan kesalahan alami manusia. Namun, saya berpendapat bahwa karyawan saat ini — banyak di antaranya tumbuh dengan kemampuan untuk bekerja online dan berinteraksi dengan sekumpulan teknologi yang terhubung — memahami tantangan keamanan organisasi lebih dari, katakanlah, satu dekade lalu. Dan, dengan meningkatnya jumlah alat pemantauan dan remediasi, paradigma keamanan baru muncul di mana pengguna akhir tidak harus menjadi beban, tetapi kekuatan.

Perusahaan dapat mulai memanfaatkan karyawan mereka dengan melibatkan mereka dalam mengamankan aplikasi SaaS yang mereka gunakan dan membiasakan mereka dengan alat keamanan yang hanya membutuhkan satu menit dari waktu mereka, setiap saat. Meskipun CISO bertanggung jawab dan tim keamanan harus menjaga visibilitas dan kontrol penuh atas proses keamanan, beberapa tugas seperti mencabut token, izin, atau data bersama dapat diberikan kepada karyawan yang paling mengetahui konteks bisnis aplikasi yang mereka pilih untuk digunakan. Karyawan yang sudah memahami aplikasinya sendiri dan yang dapat mengidentifikasi perilaku anomali akan menjadi sekutu yang sangat berharga dalam mencegah dan menangkal ancaman dunia maya.

BN: Keamanan berkembang dan begitu juga tim keamanan, seperti apa seharusnya tim keamanan modern?

GLS: Keamanan dunia maya perusahaan tidak lagi menjadi tanggung jawab tertutup yang hanya diperuntukkan bagi administrator TI dan tim dengan jabatan pekerjaan yang sangat spesifik dan teknis. Karena hampir semua orang, mulai dari eksekutif perusahaan hingga karyawan baru, menggunakan teknologi perusahaan dan aplikasi SaaS, individu di semua tingkatan organisasi dapat (dan seharusnya) mulai memainkan peran yang lebih penting dalam keamanan.

Jika kita ingin menggambarkan tim keamanan modern dari atas ke bawah, mari kita mulai dengan C-suite. Kepemimpinan menetapkan nada bagi organisasi dengan mengetahui risiko teknologi dan mengalokasikan sumber daya yang sesuai (personel, teknologi pertahanan, dan waktu pelatihan di seluruh perusahaan) untuk berinvestasi dalam postur keamanan yang lebih baik. Selanjutnya, ada personel keamanan, para ahli yang mengambil tanggung jawab paling rumit untuk menciptakan sistem pertahanan yang dapat meremediasi peringatan keamanan, mengelola pemutakhiran, dan merencanakan inisiatif keamanan secara strategis.

Terlalu sering, keamanan dianggap sebagai ‘pemblokir’: jangan lakukan ini, jangan gunakan itu… Tim keamanan harus memiliki alat berkelanjutan untuk visibilitas dan perbaikan berkelanjutan yang memungkinkan mereka bereaksi dengan cepat. Dengan solusi yang tepat, keamanan dapat memungkinkan karyawan menggunakan hampir semua SaaS yang mereka inginkan dan butuhkan, sehingga mereka bukan lagi pemblokir melainkan pengaktif.

Untuk mendukung tim keamanan dalam melintasi t’s dan dotting i’s, ada karyawan. Sebagai pengguna utama aplikasi perusahaan dan solusi SaaS, karyawan harus memiliki akses ke teknologi remediasi sehingga mereka dapat membantu mengidentifikasi dan memperbaiki aktivitas aplikasi atau teknologi mencurigakan yang mungkin mereka temui selama hari kerja rata-rata. Di sinilah pentingnya untuk menyerukan pentingnya memiliki platform keamanan SaaS yang inovatif. Karena penggunaan aplikasi SaaS berkembang pesat, organisasi perlu memanfaatkan solusi yang memberikan visibilitas ke dalam penggunaan SaaS karyawan serta perbaikan otomatis untuk masalah keamanan yang mereka temukan. Memiliki kemampuan ini akan memperkuat lini pertahanan perusahaan Anda dan meningkatkan efisiensi keamanan untuk setiap level tim modern.

Kredit foto: Alexander Supertramp / Shutterstock