Недавние кибератаки в цепочке поставок побуждают правила кибербезопасности в финансовом секторе ужесточить требования к соблюдению требований, и ожидается, что другие отрасли последуют их примеру. У многих компаний по-прежнему нет эффективных методов управления связанными с этим задачами обеспечения безопасности и соответствия требованиям SaaS, требующими времени. Бесплатные инструменты оценки рисков SaaS - это простой и практичный способ обеспечить наглядность и первоначальный контроль над разрастанием SaaS и теневым ИИ. Теперь эти инструменты предлагают постепенные обновления, помогая специалистам по безопасности соответствовать бюджету своей компании или уровню зрелости.
Давление со стороны регулирующих органов, распространение SaaS и искусственного интеллекта, а также повышенный риск взломов или утечек данных через сторонние приложения делают безопасность SaaS одной из самых востребованных областей для изучения и внедрения практиками. Новые правила потребуют надежного управления жизненным циклом рисков SaaS сторонних производителей, которое начинается с обнаружения сервисов SaaS и управления рисками сторонних производителей (TPRM) и заканчивается требованием от CISO сообщать об инцидентах в своей цепочке поставок в течение 72 часов. Финансовые киберрегламенты, такие как NY-DFS и DORA, основаны на схожих принципах снижения рисков, несмотря на использование разной терминологии.
* Сопоставление требований NY-DFS с четырьмя этапами обеспечения безопасности SaaS
Для многих компаний, которые еще не используют полноценные решения безопасности SaaS, масштабируемые многоуровневые модели предоставляют простой способ выявить риски и быстро показать рентабельность инвестиций. Более продвинутые организации захотят, чтобы уровни Pro или full Enterprise эффективно выполняли все четыре типичных этапа соблюдения требований, подробно описанных выше, и управляли ими.
Давление со стороны регулирующих органов, распространение SaaS и искусственного интеллекта, а также повышенный риск взломов или утечек данных через сторонние приложения делают безопасность SaaS одной из самых востребованных областей для изучения и внедрения практиками. Новые правила потребуют надежного управления жизненным циклом рисков SaaS сторонних производителей, которое начинается с обнаружения сервисов SaaS и управления рисками сторонних производителей (TPRM) и заканчивается требованием от CISO сообщать об инцидентах в своей цепочке поставок в течение 72 часов. Финансовые киберрегламенты, такие как NY-DFS и DORA, основаны на схожих принципах снижения рисков, несмотря на использование разной терминологии.
Уроки, которые следует извлечь из требований финансовой безопасности SaaS
Специалисты по безопасности, которые понимают требования финансового сектора к кибербезопасности, лучше подготовлены к управлению рисками SaaS и работе с различными другими системами обеспечения соответствия. Ожидается, что эти основополагающие принципы, которые в целом подразделяются на четыре этапа, будут воспроизведены во многих отраслях. Они предоставляют отличный шаблон для безопасного использования SaaS, который следует изучить в качестве передовой практики обеспечения безопасности.
* Сопоставление требований NY-DFS с четырьмя этапами обеспечения безопасности SaaS
1. Обнаружение и управление рисками сторонних производителей (TPRM)
Путь обеспечения безопасности SaaS начинается с идентификации и сопоставления всех сервисов сторонних производителей, используемых организацией. Эти услуги необходимо оценить на предмет их важности для операций и влияния на непубличную информацию (NPI), а также сравнить их с оценкой репутации поставщика (оценка рисков извне). В то время как многие компании сосредотачиваются только на "санкционированных приложениях", проверяемых в процессе покупки, этот подход не поспевает за быстрым внедрением SaaS и тем, как он используется в организациях. Комплексная политика безопасности должна также охватывать "теневые технологии", которые относятся к несанкционированным приложениям, используемым отдельными сотрудниками, а также к бесплатным пробным версиям, используемым разными командами. Оба типа приложений обычно раскрывают NPI и предоставляют бэкдор-доступ к наиболее конфиденциальным активам компании.2. Установление и обеспечение соблюдения политик риска
После оценки рисков группам безопасности необходимо разработать четкие политики в отношении утвержденных и неутвержденных поставщиков SaaS и типов данных, которыми можно обмениваться с этими облачными сервисами. Оптимизированное обучение пользователей имеет решающее значение для обеспечения понимания всеми этих политик. Также требуется постоянное обеспечение соблюдения, что имеет особое значение в средах SaaS. Средний сотрудник использует 29 различных приложений с частыми изменениями. Многие компании по-прежнему полагаются на периодические проверки и ручные процессы, которые могут не учитывать принудительное применение теневых ИТ и приложений, добавленных даже через несколько минут после аудита SaaS. Важно отметить, что CISO по-прежнему несут ответственность за любые инциденты безопасности, связанные с этими приложениями SaaS, запущенными с опозданием или используемыми сотрудниками.3. Сокращение поверхности атаки
Затем фокус смещается на управление поверхностью атаки и сокращение числа утвержденных поставщиков. Решения SaaS для управления состоянием безопасности (SSPM) являются мощными для этого сложного, но важного этапа. Это включает в себя ужесточение начальных конфигураций приложений SaaS с акцентом на многофакторную аутентификацию (MFA), адаптацию и управление правами доступа для идентификационных данных людей и не-людей посредством проверок доступа пользователей. Опытные команды также отслеживают неиспользуемые токены и приложения с чрезмерными разрешениями, а также управляют обменом информацией. Эти аспекты имеют решающее значение для безопасности SaaS, но лишь частично регулируются нормативными актами.4. Обнаружение инцидентов и реагирование на них
Несмотря на все меры по снижению рисков, третьи стороны все еще могут сталкиваться с нарушениями. Исследование Wing показало, что почти все 500 рассмотренных компаний использовали по крайней мере одно взломанное приложение в прошлом году. Финансовые регуляторы требуют, чтобы CISO быстро сообщали об инцидентах в цепочке поставок (в течение 72 часов в соответствии с NY-DFS и на следующий рабочий день в соответствии с DORA). Интерпретация этих требований все еще нуждается в проверке, в результате чего многие CISO полагаются на передовую практику своих поставщиков при составлении отчетов о событиях. Учитывая рынок, включающий 350 000 различных приложений SaaS, и проблемы теневых ИТ, надежные вспомогательные службы необходимы для быстрого восстановления после событий и соблюдения требований.Безопасность SaaS для всех
Организации различаются по уровню зрелости в области безопасности SaaS, склонности к риску и инвестициям в рабочую силу и инструменты для обеспечения безопасности. Wing Security предлагает бесплатный инструмент начального уровня для обнаружения и оценки рисков, связанных с наиболее часто используемыми приложениями SaaS в организации. Недавно они обновили свой базовый уровень начального уровня для автоматизации трудоемких задач, критически важных для групп безопасности. Этот новый уровень включает в себя глубокое теневое обнаружение ИТ-технологий, разработку политики и ее обеспечение, а также непрерывное обучение персонала поставщикам SaaS. Начиная с 3500 долларов в год для небольших организаций, базовый уровень предлагает экономически эффективную точку входа в систему безопасности SaaS с возможностью дальнейших обновлений для расширения числа вариантов использования защиты и снижения затрат на выполнение нормативных задач.Для многих компаний, которые еще не используют полноценные решения безопасности SaaS, масштабируемые многоуровневые модели предоставляют простой способ выявить риски и быстро показать рентабельность инвестиций. Более продвинутые организации захотят, чтобы уровни Pro или full Enterprise эффективно выполняли все четыре типичных этапа соблюдения требований, подробно описанных выше, и управляли ими.
