![Mengapa SaaS membutuhkan pendekatan holistik untuk keamanan [Q&A]](https://www.eri-salary-survey.com/wp-content/uploads/2022/12/Mengapa-SaaS-membutuhkan-pendekatan-holistik-untuk-keamanan-QA.jpg)
Tahun lalu Toyota mengalami pelanggaran data karena secara tidak sengaja membuka kredensial yang memungkinkan akses ke data pelanggan di repositori publik GitHub.
Jenis pelanggaran ini dapat dihindari jika organisasi mengalihkan fokus mereka pada kredensial yang diekspos dalam aplikasi SaaS. Kami berbicara dengan Corey O’Connor, direktur produk di platform keamanan SaaS DoControl, tentang mengapa dia yakin keamanan identitas harus lebih dari sekadar melindungi kunci.
BN: Bagaimana organisasi dapat meningkatkan fokus mereka pada kredensial yang diekspos dalam aplikasi SaaS?
CO: Penggunaan kredensial istimewa biasa terjadi di hampir setiap serangan dunia maya. Ini dipahami dengan baik. Namun, merupakan tantangan berkelanjutan untuk mengamankan kredensial dan identitas yang memiliki akses ke sana, terutama dalam realitas inisiatif transformasi digital saat ini dan perjalanan menuju cloud. Ancaman akses manusia dan non-manusia ke data perusahaan menjadi tantangan dalam skala besar. Anda memiliki lebih banyak sistem dan aplikasi yang diakses oleh sejumlah identitas berbeda, baik internal maupun eksternal, serta non-manusia yaitu integrasi aplikasi ke aplikasi. Data dihasilkan dan dipertukarkan dalam volume yang sangat tinggi. Ini meningkatkan permukaan serangan organisasi dan kemungkinan eksfiltrasi data. Keamanan menjadi pemblokir yang memperkenalkan hutang teknis yang tidak perlu ke bisnis jika tidak dinavigasi secara efektif.
Ada banyak contoh di mana identitas mesin atau non-manusia diperkenalkan untuk membantu mengaktifkan bisnis (yaitu akun layanan atau bot perangkat lunak dengan teknologi Otomasi Proses Robot). Organisasi perlu meningkatkan fokus mereka pada akses pengguna non-manusia. Identitas ini dan kredensial terkaitnya sering diabaikan oleh tim Keamanan, dan dapat menjadi target yang menarik bagi penyerang untuk mendapatkan pijakan awal. Misalnya, protokol OAuth menyediakan cara yang mudah bagi satu aplikasi untuk terhubung ke aplikasi lain, tetapi ketika akses ini disusupi, protokol tersebut dapat memberikan akses tidak sah ke data sensitif dalam aplikasi yang terhubung dengannya. Risiko serangan berbasis rantai pasokan yang melibatkan token OAuth dan kredensial identitas non-manusia lainnya menjadi hal biasa.
BN: Mengapa kita melihat peningkatan risiko orang dalam yang lalai terkait dengan kredensial istimewa dan aplikasi SaaS?
CO: Kenaikan ini terkait dengan apa yang awalnya membantu membentuk normal baru dengan lingkungan kerja hibrid dan jarak jauh. Untuk mendukung bisnis, ada perpaduan berbagai perangkat dan aplikasi yang dimanfaatkan pengguna untuk menyelesaikan pekerjaan. Anda memiliki aplikasi terkait pekerjaan yang terinstal di perangkat pribadi dan sebaliknya. Anda kemudian memiliki file yang sedang diakses dan dibagikan ke akun email pribadi. Pada hari-hari awal pandemi, terjadi lonjakan adopsi Software as a Service (SaaS) baru dan teknologi cloud lainnya untuk mendukung bisnis. CIO ingin mengaktifkan bisnis dan tidak memperlambatnya. Aplikasi SaaS yang signifikan dan perluasan data adalah salah satu hasil negatif.
Dari sudut pandang pengguna manusia, Anda memiliki masalah pengelolaan data dan paparan berlebih di lingkungan SaaS biasa — menampilkan ratusan aplikasi berbeda, ribuan pengguna internal dan eksternal, dan puluhan ribu file. Kesalahan manusia masih sangat lazim dan menantang setiap organisasi. Perilaku risiko orang dalam yang sengaja jahat atau murni lalai perlu dideteksi, persona yang tepat perlu disiagakan, dan tanggapan yang sesuai perlu diterapkan (yaitu karyawan yang keluar yang membagikan daftar pelanggan dengan akun email pribadi mereka).
Dari perspektif pengguna non-manusia, Anda mengalami peningkatan dalam aplikasi yang disetujui dan tidak disetujui dalam kawasan SaaS. Beberapa dari aplikasi ini sering memiliki hak istimewa yang berlebihan dengan cakupan izin yang berisiko, aplikasi tersebut mungkin belum diverifikasi oleh penerbit (yaitu melalui Marketplace vendor), dan banyak yang tidak disetujui secara internal oleh tim TI/Keamanan. Pendekatan yang sama perlu diterapkan untuk akses non-manusia, di mana Anda memiliki kemampuan untuk mengidentifikasi perilaku jahat, seperti aktivitas yang menunjukkan serangan berbasis rantai pasokan. Mendeteksi aktivitas terkait aplikasi berisiko tinggi seperti panggilan API penulisan yang berlebihan, melakukan sejumlah besar pembaruan, atau server aplikasi diketahui memiliki alamat IP berbahaya. Tim TI/Keamanan harus diberi tahu dan mengambil tindakan yang tepat untuk menghapus token OAuth, menangguhkan aplikasi, dll. Banyak dari langkah ini perlu diotomatisasi untuk mempertahankan kelangsungan bisnis dan postur keamanan yang kuat.
BN: Bagaimana semakin banyak organisasi yang mengadopsi strategi cloud-first dapat memastikan bahwa ‘kunci menuju kerajaan’ ini tidak salah penanganan?
CO: Mengetahui siapa yang memiliki akses dan apa yang penting di sini. Sekali lagi, ini berlaku untuk pengguna manusia, serta identitas mesin. Membuat inventaris lengkap pengguna, aplikasi, aset, domain, grup, dll — dan memiliki pemahaman tentang konteks bisnis melalui pelacakan komunikasi, pemetaan, dan grafik hubungan sangat penting. Konteks bisnis sangat penting agar tidak memperlambat bisnis, dan tim keamanan harus dapat memahami apa yang merupakan praktik normal versus peristiwa yang menimbulkan risiko material bagi bisnis. Jika tidak, Anda akan mendapatkan banyak kesalahan positif, menempatkan tim Keamanan lebih jauh dari mengidentifikasi dan merespons peristiwa dan ancaman. Menegakkan prinsip hak istimewa paling rendah untuk pengguna manusia dan non-manusia adalah salah satu cara untuk mendukung postur keamanan yang kuat bagi organisasi yang mengejar strategi cloud-first.
BN: Bagaimana organisasi dapat beralih dari pola pikir keamanan sebagai renungan, terutama karena pengguna terus berbagi kredensial sehingga data yang terpapar jatuh ke tangan yang salah?
CO: Perlu ada kontrol yang lebih ketat seputar kredensial istimewa, baik untuk pengguna manusia maupun non-manusia. Misalnya, sangat umum file pem, kunci AWS, dan kredensial lainnya dibagikan oleh pengembang dan administrator melalui Slack. Mengekspos kredensial tersebut tanpa batas waktu melalui saluran Slack jelas bermasalah. Harus ada keseimbangan dalam mendukung bisnis dengan cara yang masuk akal dari perspektif keamanan. Ini bisa menjadi tantangan saat bisnis tumbuh dan berkembang, itulah sebabnya otomatisasi memainkan peran penting. Keamanan harus menjadi pendorong bisnis.
BN: Saran apa yang dapat Anda berikan untuk memitigasi risiko dan menyesuaikan kondisi keamanan untuk memastikan kunci tidak salah penanganan?
CO: Fokus pada tiga hal spesifik: temukan, pantau, dan pulihkan.
Temukan semua aplikasi SaaS yang terhubung ke tumpukan inti SaaS. Identifikasi masalah ketidakpatuhan untuk seluruh aplikasi SaaS untuk memastikan kebijakan keamanan ditegakkan secara efektif. Mengekspos pemetaan aplikasi SaaS-ke-SaaS lengkap dan inventaris komprehensif aplikasi pihak pertama, kedua, dan ketiga (yaitu pengguna yang diinstal, akses drive, izin seluruh drive, dan lainnya). Bangun pemahaman yang kuat tentang platform, aplikasi, dan pengguna SaaS yang paling berisiko yang terekspos dalam kawasan SaaS. Aktifkan IT Bayangan melalui tinjauan aplikasi dengan pengguna bisnis untuk memantau dan mengontrol lingkungan SaaS. Tetapkan indeks risiko untuk setiap aplikasi untuk mengaktifkan penilaian dan evaluasi real SaaS. Buat kebijakan pra-persetujuan dan alur kerja yang mengharuskan pengguna akhir memberikan justifikasi bisnis untuk menerapkan aplikasi baru. Karantina aplikasi yang mencurigakan, kurangi izin yang terlalu berlebihan, dan cabut atau hapus aplikasi atau akses. Dengan cara ini pengguna dapat menjadi produktif tanpa menimbulkan risiko yang tidak perlu. Remediasi perlu diotomatisasi dalam kasus tertentu. Seperti menegakkan penegakan kebijakan keamanan di seluruh tumpukan aplikasi SaaS yang mencegah penggunaan aplikasi yang tidak disetujui atau berisiko tinggi, dan memulihkan potensi risiko yang mungkin diungkapkan oleh aplikasi tersebut (yaitu token yang tidak valid, izin ekstensif atau tidak terpakai, aplikasi terdaftar vs. tidak terdaftar, dll.). Menerapkan alur kerja keamanan otomatis akan mengurangi paparan risiko yang terkait dengan interkonektivitas aplikasi-ke-aplikasi (yaitu menangguhkan atau menghapus potensi aplikasi berbahaya secara otomatis).
Kredit foto: Alexander Supertramp / Shutterstock
