امروزه سازمانها برای انجام فعالیت های کسب و کاری خود به پلتفرمهای اجاره نرمافزار (SaaS[1]) متکی هستند. در واقع SaaS یکی از راهکارهای ارايه نرمافزار با استقرار بر روی وبسرور است. بنابراین کاربر به نصب نرمافزار روی سیستم شخصی خود نیازی نداشته و تنها با دسترسی به اینترنت و یک مرورگر وب میتواند از آن بهره بگیرد.
معمولاً سازمانها حدود 35 تا صدها برنامه کاربردی مثل اسلک، آفیس 365، زوم، زندسک، سیلفورس، هاب اسپات و غیره دارند که از طریق راهکارهای SaaS اجرا میشوند. این برنامههای کاربردی نقش مهمی در عملکرد سازمانهای مدرن دارند تا حدی که تداوم عملیات بسیاری از مشاغل بدون وجود آنها تقریباً غیرممکن است.
استفاده از برنامههای کاربردی SaaS که فوقالعاده مقیاسپذیر هستند، بسیار ساده است. این برنامه ها همچنین مزایای زیادی در خصوص صرفهجویی در زمان و هزینهها داشته و به سازمانها امکان رشد همزمان با صرفهجویی در منابع را میدهند. در حال حاضر بسیاری از این برنامهها با کنترلهای امنیتی خاصی ارایه میشوند تا بتوانند از دادههای حساس شرکتها محافظت کنند.
حل مشکل مدیریت امنیت SaaS
با وجود همه مزایای گفته شده، استفاده از پلتفرمهای SaaS با مخاطرات امنیتی زیادی همراه است. هر چند توسعهدهندگان این پلتفرمها سعی میکنند مدام امنیت آنها را ارتقا دهند اما سازمانهایی که از این ابزارها استفاده میکنند همچنان دچار نفوذهای امنیتی میشوند. این نفوذها عموماً به دلیل نقص امنیتی خود پلتفرمها نیستند بلکه ناشی از پیکربندی نادرست برنامههای کاربردی SaaS توسط سازمانها می باشند.
با وجود انواع تنظیمات، کنترلها و سیاستهایی که هر سازمانی باید آنها را مدیریت و پیگیری کند، غفلت از امنیت پلتفرمهای SaaS امری نسبتاً طبیعی است. در نهایت، حفرههای امنیتی مهمی می توانند شکل بگیرند که سازمانها را در معرض مخاطره قرار دهند.
علت ایجاد مشکلات امنیتی برای برنامههای کاربردی SaaS در اثر پیکربندی نادرست
کسب اطمینان از اینکه برنامههای کاربردی SaaS همواره به شکل صحیح و مناسبی پیکربندی میشوند یک مسئولیت بزرگ بوده و برای تنظیم درست همه پیکربندیها باید از آنچه در برنامههای کاربردی مختلف مورد استفاده شما در جریان است، مطلع باشید.
همه پلتفرمهای SaaS که برای تداوم کسبوکار حیاتی هستند، دهها تنظیم امنیتی یا تنظیمات مرتبط با کاربر دارند. با یک محاسبه ساده متوجه خواهید شد که نظارت و مراقبت از همه این سیستمها تقریباً غیرممکن است. همچنین، با توجه به اینکه برنامههای کاربردی مثل “Salesforce” راهنمای امنیتی مخصوص با حجم چند صد صفحه دارند که همواره هم بهروزرسانی میشوند، بنابراین کاملاً مشخص است تلاش برای پیشگیری از پیکربندیهای نادرست توسط خود سازمانها رویکرد مناسب و معقولی نیست.
به تازگی نقص پیکربندی در پلتفرم نرمافزاری یک شرکت بینالمللی باعث فراهم شدن امکان دسترسی همه به این سیستمها شد و فهرست کامل کارمندان، ایمیلها، زمانبندیها و داشبوردهای این شرکت را در معرض مخاطره قرار داد. دهها مورد مشابه مانند این نمونه وجود دارد که در آنها میتوان با نظارتهایی ساده از وقوع حوادث فاجعه بار پیشگیری کرد.
تلاش برای حل مشکل پیکربندیهای نادرست SaaS
در سالهای اخیر سازمانها با روشها و ابزارهای متفاوت سعی کردهاند مشکل پیکربندی نادرست SaaS را حل کنند و هر روش نیز امروزه به میزان متفاوتی از موفقیت دست یافته است. برای مثال کارگزارهای امنیت دسترسی ابر (CASB[2]) که با مشکلات امنیتی در برنامههای کاربردی SaaS مقابله میکنند؛ بیشتر حالت واکنشی داشته و تمرکز اصلی آنها بر روی شناسایی نفوذ پس از وقوع آن است که به پیشگیری از پیکربندیهای نادرست کمکی نمیکند. ابزارهای مدیریت وضعیت امنیتی ابر (CSPM[3]) نیز از نظر تئوری شبیه هم هستند اما آنها فقط به امنیت IaaS و PaaS میپردازند.
روش بعدی مورد استفاده توسط بعضی از سازمانها، بی توجهی به این مسأله مهم است که البته به هیچ وجه راهکار درستی به شمار نمی رود.
کمک خودکارسازی به بهینهسازی امنیت SaaS
کاملاً واضح است که پیکربندی صدها تنظیم مختلف در هر پلتفرم، به روش دستی قابل انجام نیست. سازمانها باید برای مدیریت پیکربندی برنامههای کاربردی SaaS از خودکارسازی استفاده کرده تا بتوانند از پیکربندی نادرست آنها جلوگیری کنند. بدون استفاده از چنین رویکردی سازمانها امکان کنترل کامل بر برنامههای کاربردی SaaS را نخواهند داشت. تلاش برای حفظ سیاستهای یکپارچه در تمام برنامههای کاربردی، تشخیص اینکه چه برنامههایی به چه قابلیتهای امنیتی نیازی دارند و نیز رسیدگی به هر برنامه کاربردی، کاری بسیار پیچیده و زمانبر بوده و احتمال وقوع خطا در آن زیاد است.
ظهور ابزارهایی به اسم «مدیریت وضعیت امنیتی SaaS» یا به اختصار “SSPM” به رفع این نیاز کمک میکند. بر اساس یافتههای مؤسسه گارتنر، این ابزارها به صورت پیوسته مخاطرات امنیتی را ارزیابی کرده و وضعیت امنیت برنامههای کاربردی SaaS را مدیریت میکنند. گزارش درباره پیکربندیهای امنیتی SaaS و ارایه توصیههایی برای بهبود پیکربندی با هدف کاهش مخاطرات، از جمله قابلیتهای این ابزارها به شمار می رود.
ابزارهای SSPM وضعیت امنیتی را به روش خودکار و قابل سفارش سازی، متناسب با شرایط برنامههای کاربردی در سازمان شما بررسی میکنند. اگر به دنبال جلوگیری از پیکربندی نادرست برنامههای کاربردی SaaS هستید، این راهکار میتواند برای شما فوقالعاده مفید باشد.
صحبتهای پایانی
به گفته مؤسسه گارتنر، تا سال 2025 میلادی حدود 99 درصد از خطاهای امنیتی در محیط ابر ناشی از عملکرد انسانها است. پیچیدهتر شدن محیطهای SaaS هم باعث افزایش پیچیدگی شرایط شده است. در حال حاضر باید اقدامات اصلاحی لازم را انجام داده و مطمئن شوید پیکربندی نادرست SaaS، سازمان شما را در معرض مخاطره قرار نمیدهد.
[1] Software as a service
[2] Cloud Access Security Brokers
[3] Cloud Security Posture Management tools
منبع: cybersecurity-insiders