Příčinou velké části narušení cloudových systémů a úniků dat z nich jsou jejich chybně nastavené konfigurace, uvádějí specialisté neziskové organizace Cloud Security Alliance. Ti letos zpracovali studii 2022 SaaS Security Survey Report, v níž se mimo jiné zaměřili na využití služeb SaaS v organizacích, metody aplikované pro hodnocení jejich bezpečnosti nebo na povědomí o nových relevantních bezpečnostních produktech. Zvláštní pozornost věnovali také postupům souvisejícím s odhalováním a nápravou již zmíněných chybných konfigurací.
Pište pro CIO Business World
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři CIO BW?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu. Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Mnoho studií, které zkoumají bezpečnost cloudových služeb, se v případě chybných konfigurací soustředí především na infrastrukturní vrstvu. Komplexní prostředí aplikací SaaS často ignorují. Zanedbání jejich zabezpečení ale snižuje účinnou ochranu celé organizace, stejně jako pochybení na jiných úrovních a v dalších oblastech. I z tohoto důvodu organizace Cloud Security Alliance (CSA) zpracovala průzkum, v němž se na svět aplikací ve formě služby soustředí.
Pro dokreslení kontextu i zajímavost dodejme, že respondenti studie 2022 SaaS Security Survey v průměru provozovali 102 aplikacě typu SaaS. Nejvyšší udaný počet se přiblížil pěti tisícům.
Chybné konfigurace SaaS
Téma chybných konfigurací řadí organizace mezi hlavní hrozby cloud computingu již řadu let. Organizace CSA může jejich reflexi doložit přinejmenším k roku 2019, kdy vznikla první zpráva Top Threats to Cloud Computing: Egregious Eleven. Ke špičce se zařadily i vloni v rámci studie State of Cloud Security Risk, Compliance and Misconfigurations.
V letošním výzkumu se 43 procent dotazovaných organizací potýkalo s jedním nebo více incidenty, za jejichž vznikem stály chybné konfigurace služeb SaaS. Dalších dvacet procent respondentů si nebylo odpovědí jisto. A jak je tomu v případě služeb kategorie IaaS? Bezpečnostní incident z důvodu jejich chybné konfigurace podle CSA zaznamenalo či prožilo sedmnáct procent dotazovaných organizací.
Vysoké zastoupení problematického nastavení služeb SaaS lze podle autorů zprávy 2022 SaaS Security Survey řešit efektivně a současně elegantně automatizací průběžného skenování chybných konfigurací ve vrstvách IaaS i SaaS. Dokážou tak zabránit nebo alespoň snížit riziko vzniku bezpečnostního incidentu v podstatě v reálném čase.
Hlavní příčiny vzniku chybných konfigurací ve vrstvě aplikací jako služby spolu souvisejí. 35 procent respondentů výzkumu mezi ně řadí přístup mnoha organizačních útvarů k bezpečnostním nastavením služeb SaaS a 34 procent za ně považuje také nulovou vizibilitu změn, jež do těchto nastavení někdo provedl.
Obě zjištění nejsou nijak překvapivá. Nízká nebo nulová viditelnost změn patří mezi hlavní obavy již ve fázi adopce služeb SaaS. A ve většině organizací si i díky evoluci přijetí tohoto modelu konzumace softwaru zachovalo přístup k bezpečnostním nastavením více útvarů.
Na 22 procent respondentů letošní studie SaaS Security Survey uvedlo jako další příčiny vzniku bezpečnostních incidentů nedostatek znalostí o zabezpečení služeb SaaS a osm procent zneužití uživatelských oprávnění.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Dvě pětiny dotazovaných organizací zpřístupňují bezpečnostní nastavení služeb SaaS útvarům, jež nezajišťují správu informačních technologií. Nejčastěji jde o oddělení marketingu, obchodu nebo právních služeb. Obvykle svůj přístup považují za nezbytný pro zajištění svého provozu. Tento argument nemusí být zpochybňován, pokud k nastavení bezpečnostních parametrů SaaS a jejich evidenci budou mít přístup i týmy pověřené ochranou dat a infrastruktury. Umožní jim to detekovat, napravovat a korigovat chybná nastavení.
Investiční nerovnováha
V uplynulých dvou letech ze zřejmých důvodů navýšilo 81 procent v průzkumu SaaS Security Survey oslovených organizací své investice do služeb SaaS, jež lze z hlediska chodu podniku považovat za kritické. Adekvátní navýšení výdajů na zabezpečení této kategorie aplikací indikovalo 73 procent respondentů. A navýšení počtu zaměstnanců, kteří se na služby SaaS zaměřují, uvedlo 55 procent dotazovaných. Uvedené hodnoty minimálně naznačují, že se rozevírají nůžky mezi výskytem aplikací ve formě služby a možnostmi jejich zabezpečení.
Odpovědí na výše popsaný stav by mohlo být adekvátní nasazení automatizovaných nástrojů pro monitorování bezpečnosti služeb SaaS. To přinejmenším snižuje zátěž příslušných týmů. K využití této technologie se ale přihlásilo jen 26 procent dotazovaných organizací. Současný vzorec investic do rozvoje služeb SaaS tedy do jisté míry opomíjí jejich zabezpečení. V dlouhodobém hledisku to může vést k neudržitelné situaci, v níž manuální zásahy zcela vyčerpají kapacity bezpečnostních týmů.
Frekvence kontrol SaaS
Rozevírající se nůžky strukturálního směřování investic do softwaru jako služby a jejich ochrany není třeba komentovat přehnaně opatrně. Následující zjištění zjevně dokládají problematičnost implementace SaaS v organizacích. Pět procent dotazovaných podniků nikdy nekontroluje nastavení využívaného softwaru jako služby. Třináct procent tak činí na roční bázi, patnáct procent na kvartální, osmnáct procent na měsíční, 24 procent na týdenní a čtrnáct procent na denní. Pouze desetina respondentů hovoří o průběžné kontrole bezpečnostních nastavení SaaS.
Náprava zjištěných konfiguračních chyb také nevypovídá o připravenosti organizací na potírání tohoto typu hrozeb. Zhruba čtvrtina je zvládne odstranit od data detekce v horizontu jednoho měsíce a delším. Další přibližná čtvrtina vykoná to samé v týdenní lhůtě a další, už třetí, v jednodenní. Do šesti hodin napraví zjištěné chybné konfigurace třináct procent organizací a více méně okamžitě tři procenta. Pokud se ale vrátíme na začátek, více než polovina podniků funguje minimálně jeden celý den se známou chybou v zabezpečení služeb SaaS. Nadpoloviční většina z této zúžené skupiny daný stav neřeší minimálně týden.
Zefektivnění bezpečnosti SaaS
Respondenti průzkumu SaaS Security Survey, jakkoli šlo převážně o bezpečnostní odborníky, neindikovali velkou znalost služeb a řešení pro ochranu cloudových služeb. Největší povědomí měli o nabídkách, jež se skrývají za zkratkou CASB (2,28 z pěti). Následovaly CSPM (2,07), SSPM (1,98) a CWPP (1,86). Příslušné rozpisy s dovolením neuvádíme.
Autory studie zaujalo řešení SSPM neboli SaaS Security Posture Management, jehož současné nebo plánované využití indikovalo 62 procent respondentů. Nástroje tohoto typu, jež výrazně přispívají ke zvýšení rychlosti detekce chybných konfigurací i jejich odstranění, jsou totiž na trhu dostupné přibližně dva roky.
Autor je spolupracovník redakce
Článek vyšel v magazínu CIO BW 5/22. Obsahuje spoustu dalších zajímavých článků, časopis si můžete zakoupit například zde.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU