Thought Leadership
Die Verbreitung von SaaS in Unternehmen hat in den letzten Jahren rasante Ausmaße angenommen. Dieser Trend hat zwar die Produktivität der Benutzer und die Flexibilität des Unternehmens erheblich gesteigert, gleichzeitig aber auch neue Möglichkeiten für Datenschutzverletzungen und Gefährdungen eröffnet.
Der „Schlüsselfertig“-Aspekt von Software-as-a-Service (SaaS) ist für Unternehmen verlockend, aber er kann letztlich trügerisch sein, wenn Sicherheitsrisiken eingeführt werden, die den Nutzern nicht bewusst sind.
Experten sehen daher im SaaS Security Posture Management (SSPM) eine zunehmend wichtige Entwicklung um die Sicherheitsrisiken in SaaS-dominierten Umgebungen einzudämmen:
Ein großes Unternehmen verwendet in der Regel 100 oder mehr zugelassene SaaS-Anwendungen. Jede dieser Anwendungen verfügt über eigene Einstellungen, Funktionen, Versionen und Updates. Selbst wenn jede sanktionierte Anwendung zu einem bestimmten Zeitpunkt ordnungsgemäß konfiguriert ist, können Angreifer immer noch nach Sicherheitslücken suchen, die durch eine neue Funktion oder eine von einem Anwendungsadministrator vorgenommene Konfigurationsänderung entstehen. Wenn dann noch eine neue SaaS-Anwendung ohne vorherige Genehmigung und Kontrolle zum bestehenden Portfolio sanktionierter Anwendungen hinzugefügt wird, müssen sich die Sicherheitsteams mit einer ganzen Reihe neuer blinder Flecken in der Sicherheit auseinandersetzen. Alles in allem ist jede SaaS-Anwendung – unabhängig vom Grad der Nutzung und des Schutzes – immer noch anfällig für Sicherheitslücken.
Fehlkonfigurationen sind eine der Hauptursachen für SaaS-Schwachstellen
Gartner hat vorausgesagt, dass mehr als 99 Prozent der Sicherheitsverletzungen in der Cloud auf vermeidbare Fehlkonfigurationen oder Fehler der Endbenutzer zurückzuführen sind. Heute werden SaaS-Fehlkonfigurationen schnell zu einer der Hauptursachen für Datenschutzverletzungen bei SaaS-Anwendungen. Zunächst gilt es zu klären, warum herkömmliche CASBs (Cloud Access Security Brokers) bei diesem Problem versagt haben.
Herkömmliche CASBs sind so konzipiert, dass sie sensible Daten zunächst mit einer Data Loss Prevention (DLP)-Einheit schützen. Das Problem bei diesem „Schutz der Daten zuerst“-Ansatz ist, dass der Großteil der SaaS-Angriffsfläche übersprungen wird – die Angriffsfläche, die die Sicherheit und Integrität der SaaS-Anwendung selbst darstellt. Sich auf den Schutz der Daten zu konzentrieren und dabei die Sicherheit der Anwendung selbst zu vernachlässigen, ist, als würde man auf einem rissigen Fundament bauen. Die Anwendung selbst sollte zuerst vor Schwachstellen geschützt werden, damit sie zuverlässig alle Sicherheitsgarantien, einschließlich der Datensicherheit, bieten kann.
Wenn eine SaaS-Anwendung aufgrund einer durch eine Fehlkonfiguration verursachten Schwachstelle beeinträchtigt wird, wirkt sich dies negativ auf die Gesamtsicherheit aus, so dass die Daten der Anwendung dem Risiko einer Verletzung ausgesetzt sind. Um dieses Problem zu lösen, hat sich das SaaS Security Posture Management (SSPM) schnell zu einem grundlegenden Instrument zum Schutz der Sicherheitslage von SaaS-Anwendungen entwickelt.
Was sind einige der wichtigsten SaaS-Herausforderungen, die SSPM für die SaaS-Sicherheit in Unternehmen so wichtigmachen?
1. Herausforderung
Die sichere Konfiguration von Tausenden von Einstellungen für Hunderte von genehmigten SaaS-Anwendungen ist keine leichte Aufgabe:
Sicherheitsteams haben bereits damit zu kämpfen, mit der ständig steigenden Nutzung von genehmigten SaaS-Anwendungen im Unternehmen Schritt zu halten. Dabei müssen sie auch sicherstellen, dass jede SaaS-Anwendung sicher konfiguriert ist. Um dies zu erreichen, müssen die Sicherheitsteams die Grundlagen verstehen. Erstens gibt es zu viele Anwendungen und jede Anwendung hat Dutzende bis Hunderte von Einstellungen, die sich auf die Sicherheit auswirken. Zweitens müssen alle Einstellungen jeder Anwendung verstanden und korrekt eingestellt werden, damit sie mit den Branchen- und Unternehmensrichtlinien übereinstimmen. Drittens müssen die Sicherheitsteams die Risiken verstehen, die selbst dann bestehen, wenn eine Einstellung versehentlich falsch konfiguriert wurde.
Eine beliebte Videokonferenz-App ist dafür ein gutes Beispiel. Die Anwendung scheint recht einfach zu sein, verfügt aber in Wirklichkeit über mehr als 50 Einstellungen, die sich auf die Sicherheit auswirken können – von Passwortanforderungen für Meetings bis hin zu Einstellungen für die Freigabe von Aufzeichnungen. All diese Einstellungen müssen von verschiedenen Abschnitten der Verwaltungskonsole aus verstanden werden und erstrecken sich über mehrere verschiedene Dokumentationen.
2. Herausforderung
Die Behebung von Sicherheitsfehlkonfigurationen in SaaS ist schwierig – sie zu beheben ist noch schwieriger:
SaaS-Anwendungen werden in der Regel nicht nur von einem, sondern von vielen Beteiligten im gesamten Unternehmen genutzt und betrieben. Während sich diese Teams darauf konzentrieren, das Unternehmen zu unterstützen und die Zusammenarbeit zu verbessern, sind sich nicht alle von ihnen über die Sicherheitsauswirkungen der zahlreichen Einstellungen der Anwendung im Klaren, insbesondere, wenn Änderungen an der Anwendung ohne das Wissen der anderen vorgenommen werden. Darüber hinaus können die Beteiligten leicht neue SaaS einführen und zum De-facto-Eigentümer werden, obwohl sie möglicherweise nicht über das Fachwissen verfügen, um eine sichere Bereitstellung zu gewährleisten.
