Thought Leadership
Letztendlich führt die mangelnde Koordination zwischen den Beteiligten aus verschiedenen Geschäftsbereichen, der IT, den Infosec- und GRC-Teams zu einer sogenannten Konfigurationsabweichung.
Das Ergebnis ist ein ineffizienter, zeitaufwändiger und langfristig nicht skalierbarer Sanierungsansatz, da immer mehr SaaS-Anwendungen für die Unternehmensnutzung zugelassen werden. Wenn Sicherheitsadministratoren keinen Einblick in die Änderungen an den Sicherheitseinstellungen einer SaaS-Anwendung haben, ist die Identifizierung von Fehlkonfigurationen mit der Suche nach einer Nadel im Heuhaufen vergleichbar, und sie können die Sicherheit der Anwendung nicht gewährleisten. Sie müssen dann manuelle Anwendungsbewertungen durchführen, um nach der Möglichkeit einer Fehlkonfiguration zu suchen. Wie nicht anders zu erwarten, ist der Audit-Prozess langsam und mühsam und bietet nur punktuelle Einblicke, wenn Hunderte von sanktionierten Anwendungen betroffen sind.
Um ein Beispiel zu nennen: Wenn eine Person für eine Anwendungsbewertung eine Woche benötigt, würde es bei 200 Anwendungen 200 Wochen dauern, um eine vollständige Bewertung aller Anwendungen vorzunehmen. Selbst wenn vier Personen jeden Tag eine Anwendungsbewertung durchführen würden, würde dies ein ganzes Jahr dauern. Bis dieses Team alle Anwendungen durchgesehen hat, muss es diesen Zyklus noch einmal wiederholen, da diese Audits nur eine punktuelle Bewertung darstellen. Wenn sich etwas ändert, würde InfoSec das erst im nächsten Überprüfungszyklus herausfinden.
Es erübrigt sich zu sagen, dass es heute keine effiziente Lösung gibt, die den SaaS-Bewertungsprozess über mehrere Anwendungen hinweg automatisiert und gleichzeitig die Prüfung kontinuierlich überwacht.
3. Herausforderung
Die Sicherung von SaaS unterscheidet sich von der Sicherung herkömmlicher Software:
Das SaaS-Modell hat viele Vorteile gegenüber herkömmlicher Software, denn es bietet sofortige globale Verfügbarkeit und automatische Updates auf die neuesten und besten Funktionen. Doch genau diese Eigenschaften machen sie auch zu einer Herausforderung für die Sicherheit. Während herkömmliche Software im Rechenzentrum bereitgestellt wird, sind SaaS-Anwendungen direkt über das Internet zugänglich, was die Gefahr von Fehlkonfigurationen deutlich erhöht.
Es gibt ein gutes Beispiel, bei dem eine beliebte Anwendung zur Problemverfolgung den Benutzern die Option bot, ihre Dashboards mit „allen“ zu teilen, was fälschlicherweise als „alle im Unternehmen“ interpretiert wurde, während es in Wirklichkeit „alle im Internet“ waren.
Upgrades für herkömmliche Software werden direkt vom IT-Team überwacht und durchgeführt. SaaS-Anwendungen hingegen aktualisieren sich dynamisch selbst, um neue Funktionen und Merkmale hinzuzufügen. Die häufigen Aktualisierungen verbessern die Funktionalität der Anwendung, beeinträchtigen aber auch ihre Sicherheit. Wenn eine SaaS-Anwendung angepasst wird, bieten ihre Einstellungen außerdem nicht mehr das erforderliche Sicherheitsniveau, was zu Konflikten mit den Compliance- und Sicherheitsrichtlinien des Unternehmens führt. Und es ist nicht nur so, dass Anpassungen zu Sicherheitslücken führen – oft sind auch die Standardeinstellungen nicht gut genug. IT-Teams in Unternehmen sollten sich an die Kerndevise von „Zero Trust“ halten und niemals davon ausgehen, dass die SaaS-Anwendung standardmäßig sicher ist.
SSPM-Ansatz als nächste Stufe
Bei zeitgemäßem SSPM geht es darum, über die Einhaltung von Vorschriften hinauszugehen und alle Einstellungen zu untersuchen, die sich auf die Sicherheitslage der Anwendung auswirken. Dieser Sicherheitsansatz bietet einen vollständigen Überblick über alle Einstellungen, die sich auf die Sicherheit der Anwendung auswirken, ermöglicht eine Behebung mit nur einem Klick und verhindert das Abdriften. Darüber hinaus sollte sich SSPM nicht auf eine Handvoll Anwendungen beschränken, denn alle können ein Risiko für das Unternehmen darstellen.
www.paloaltonetworks.com
