É hora de priorizar a segurança SaaS

É hora de priorizar a segurança SaaS. O foco na segurança IaaS veio em detrimento da segurança SaaS?

Saiba contra o que se proteger, especialmente permissões de usuário excessivas e interfaces de usuário, APIs e integrações mal configuradas.

Fizemos questão de reforçar a segurança para nuvens de infraestrutura como serviço, pois elas são muito complexas e têm muitas partes móveis. Infelizmente, muitos sistemas de software como serviço em uso há mais de 20 anos caíram na lista de prioridades de segurança na nuvem.

As organizações estão fazendo muitas suposições sobre a segurança SaaS. Em sua essência, os sistemas SaaS são aplicativos executados remotamente, com dados armazenados em sistemas back-end que o provedor de SaaS criptografa em nome do cliente. Você pode nem saber qual banco de dados está armazenando seus dados de contabilidade, CRM ou inventário – e foi informado de que não deveria se importar. Afinal, o provedor executa todo o sistema para você, e os usuários e administradores apenas o aproveitam por meio de algum navegador da web. De fato, SaaS significa que você está muito mais distante dos componentes do que outras formas de computação em nuvem.

SaaS, conforme indicado na maioria dos estudos de marketing, é a maior parte do mercado de computação em nuvem. Isso não é bem compreendido, já que o foco hoje em dia está nas nuvens IaaS, como AWS, Microsoft e Google, que desviaram a atenção do mundo amplamente fragmentado das nuvens SaaS, que são principalmente processos de negócios como serviço que você acessa por meio de um navegador. Mas o SaaS agora também inclui sistemas de backup e recuperação e outros serviços que são mais semelhantes ao IaaS, mas são fornecidos usando a abordagem SaaS para computação em nuvem. Eles impedem você de lidar com todos os detalhes minuciosos, que é o que a nuvem deveria fazer.

Suspeito que a segurança na nuvem SaaS se tornará mais uma prioridade assim que algumas violações bem publicadas atingirem a mídia. Você pode apostar que isso realmente está ocorrendo, mas, a menos que o público seja afetado diretamente, as violações geralmente não chegam a um comunicado de imprensa.

O que precisamos observar quando se trata de segurança SaaS?

O núcleo dos problemas de segurança de SaaS é o erro humano. As configurações incorretas ocorrem quando os administradores concedem direitos ou permissões de acesso ao usuário com muita frequência. As pessoas que talvez não deveriam ter recebido direitos podem acabar configurando incorretamente as interfaces SaaS, como API ou acesso à interface do usuário. Embora isso não seja um grande problema se os direitos forem restritos, muitas vezes as pessoas que precisam apenas de acesso a dados simples a uma única entidade de dados (como inventário) têm acesso a todos os dados. Isso pode ser explorado em violações de dados devastadoras que são altamente evitáveis.

Isso normalmente é um problema com o acesso a dados que o fornecedor de SaaS fornece por meio de interfaces de usuário e acesso à API. No entanto, também surgem problemas com as camadas de integração de dados que os clientes SaaS instalam para sincronizar dados na nuvem SaaS com outros bancos de dados hospedados na nuvem IaaS ou, mais provavelmente, de volta aos sistemas legados que ainda são mantidos internamente. Essas camadas de integração de dados geralmente são facilmente violadas pelo motivo mencionado anteriormente: manipulação incorreta dos direitos de acesso. As próprias camadas de integração de dados, muitas das quais também são fornecidas por SaaS, podem ter vulnerabilidades. De qualquer forma, seus dados ainda são violados.

Outros problemas de segurança são mais fáceis de entender. Um funcionário decide descontar algumas frustrações na empresa e copia a maioria dos dados hospedados em SaaS para um drive USB e os remove do prédio. Assim como conceder mais privilégios de acesso do que alguém precisa, isso é facilmente resolvido com restrições e mais educação.

Do lado dos provedores de SaaS, os problemas incluem falta de transparência, como seus próprios funcionários saindo do prédio com dados de clientes ou violações que não foram relatadas. É impossível saber quantas dessas situações ocorreram, mas se você não recebeu nenhuma notificação, pode ser uma indicação de que seu provedor de SaaS está retendo informações que podem ser prejudiciais a eles.

A segurança SaaS é uma abordagem e pilha de tecnologia antiga e nova. Foi a primeira segurança na nuvem em que trabalhei e percorremos um longo caminho desde então. No entanto, a segurança SaaS não recebeu tanto financiamento, amor ou educação quanto outras áreas de segurança na nuvem. Podemos pagar por isso em algum momento, a menos que conserte as coisas agora.

Fonte: InfoWorld por David S. Linthicum

Veja também:

• DLP Integrada VS DLP Dedicada
• Microsoft fornece orientação para bug que afeta a ferramenta de inspeção do Azure
• Especialista lista práticas que toda empresa deve ter para se adequar à LGPD
• Atenção para nova vulnerabilidade crítica no Apache Commons Text
• CISA oferece ferramenta gratuita RedEye Analytics para Red Teams
• ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais”
• Agência Nacional de Proteção de Dados transformada em autarquia
• Exploração contínua de CVE-2022-41352 (Zimbra 0-day)
• PF prende brasileiro suspeito de integrar organização criminosa internacional Lapsus$
• Mitigação de phishing pode custar às empresas mais de US$ 1 milhão por ano
• Grupo de Ransomware-as-a-service, Ransom Cartel, pode ter ligações com REvil
• Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo