Các dịch vụ đám mây ngày càng trở nên quan trọng đối với hoạt động hàng ngày của nhiều công ty và việc áp dụng nhanh chóng các ứng dụng web đã cho phép các doanh nghiệp tiếp tục hoạt động với những trục trặc về năng suất hạn chế, ngay cả khi các hạn chế coronavirus trên toàn cầu buộc phải làm việc tại nhà.
Nhưng tại cùng một thời điểm, thậm chí các tập đoàn lớn đã trở thành con mồi của tin tặc. Làm thế nào bạn có thể duy trì tính toàn vẹn của tài nguyên và dữ liệu CNTT của mình trong khi vẫn tận dụng lợi ích của phần mềm dưới dạng dịch vụ (SaaS)?
Mặc dù an ninh mạng là một chủ đề rộng và phức tạp, chúng ta hãy xem xét một kịch bản SaaS giả định và xem xét một số rủi ro.
Hãy tưởng tượng rằng một trong những nhân viên của bạn đang viết một báo cáo nhạy cảm. Nó có thể có dữ liệu tài chính hoặc y tế trong đó. Nó có thể có thông tin về một thiết kế mới mang tính cách mạng. Dù đó là gì, báo cáo cần được giữ bí mật.
Điều gì sẽ xảy ra nếu nhân viên của bạn viết báo cáo trong Google Docs? Hãy giả sử rằng quyết định này đã không chạy qua bộ phận CNTT. Nhân viên chỉ làm theo thói quen vì Google Docs là thứ mà anh ta hoặc cô ta đã sử dụng trong nhiều năm để chia sẻ tài liệu dễ dàng với đồng nghiệp.
Một số rủi ro phải đối mặt với công ty của bạn là gì?
Vấn đề của các ứng dụng không được cung cấp
Một vấn đề chính mà bạn có thể gặp phải chỉ đơn giản là không biết rằng báo cáo có trong Google Docs. Khi bộ phận CNTT của bạn không biết về các ứng dụng SaaS mà nhóm của bạn sử dụng, họ không thể đánh giá liệu chúng có an toàn hay không.
Những ứng dụng này, do đó, coi bóng IT, công nghệ được sử dụng mà không có sự cho phép hoặc kiến thức của bộ phận CNTT. Vấn đề, tất nhiên, không phải là về Google.
Vấn đề tương tự có thể xảy ra với một tài liệu Word được đồng bộ hóa thông qua Dropbox hoặc với bất kỳ số lượng ứng dụng SaaS hợp pháp nào khác lưu trữ dữ liệu trên đám mây. Vấn đề là thiếu tầm nhìn.
Shadow IT có thể là một vấn đề nghiêm trọng, nhưng nó thường tồn tại vì nhân viên thiếu các công cụ phù hợp. Như Tạp chí kinh doanh Harvard lưu ý, đôi khi tắt bóng CNTT “có thể là một phản ứng thích hợp, nhưng chúng tôi cũng đã thấy CNTT áp dụng cách tiếp cận cởi mở và làm việc thành công với đơn vị lừa đảo để giúp bảo mật dữ liệu, chuẩn hóa API và cuối cùng là lắp ráp các giải pháp kết hợp nội bộ và dịch vụ bên ngoài. Nói chung, chúng tôi nghiêng về cách tiếp cận sau. ”
Đôi khi cách tiếp cận đúng là bảo mật các ứng dụng và đảm bảo rằng chúng được sử dụng có trách nhiệm.
Cách cải thiện bảo mật SaaS của bạn
Bạn có thể làm gì để cải thiện các quy trình xử phạt, tuân thủ và bảo mật cho các ứng dụng SaaS của mình? Bên cạnh việc tích cực nghiên cứu các nhà cung cấp dịch vụ, đây là một số gợi ý.
Mật khẩu là trái cây treo thấp. Đảm bảo rằng mọi người trong công ty của bạn đều có và sử dụng trình quản lý mật khẩu phù hợp như LastPass hoặc là 1 mật khẩu. Bạn có thể muốn xem xét yêu cầu khóa bảo mật phần cứng như khóa từ Yubico. Google đã thành công lớn trong việc ngăn chặn các cuộc tấn công lừa đảo đơn giản bằng cách yêu cầu nhân viên sử dụng các khóa bảo mật vật lý để xác thực hai yếu tố.
Bạn cũng có thể hưởng lợi từ việc sử dụng công cụ quản lý SaaS, đặc biệt nếu bạn sử dụng một số lượng lớn dịch vụ phần mềm hoặc gặp vấn đề với CNTT bóng tối.
Torii, một nền tảng quản lý SaaS, có thể giúp bạn khám phá và đánh giá tất cả các ứng dụng dựa trên đám mây được sử dụng trong tổ chức của bạn.
Khi bạn thêm nhiều dịch vụ, theo dõi những gì nhân viên của bạn đang sử dụng, tiền của bạn sẽ đi đâu và các chi tiết như khi hợp đồng được gia hạn có thể giúp bạn duy trì tính bảo mật của các dịch vụ đó và đảm bảo rằng bạn không bội chi hoặc sao chép khả năng .
Torii có thể giúp bạn tiết kiệm tiền bằng cách loại bỏ lãng phí, nhưng có lẽ quan trọng hơn, nó có thể cung cấp cho bạn khả năng hiển thị toàn diện và năng động về cách tổ chức của bạn sử dụng các ứng dụng SaaS. Bạn cũng có thể sử dụng nó để thiết lập các hành động được kích hoạt cho “quản lý SaaS tự trị”, như gửi một bảng câu hỏi cho các thành viên trong nhóm đã áp dụng các ứng dụng mới.
Hai mặt của bảo mật SaaS
Tất nhiên, bạn cần phải đánh giá các ứng dụng SaaSthậm chí chính thức bị xử phạtCả hai đều có quan điểm nội bộ và quan điểm bên ngoài. Bạn cần xem xét không chỉ các thực tiễn bảo mật của riêng bạn mà cả các thực tiễn bảo mật của dịch vụ bạn đang sử dụng.
Dữ liệu cực kỳ nhạy cảm có lẽ không nên rời khỏi mạng của bạn, nhưng tất cả thông tin nhận dạng cá nhân (PII) cần được xử lý đúng cách, hoặc bạn sẽ gặp rủi ro về các vấn đề tuân thủ quy định.
Về phía nội bộ, bộ phận CNTT thường xuyên phải đối mặt với các vấn đề với mật khẩu xấu. Ngay cả sau nhiều năm báo cáo tin tức về vi phạm dữ liệu nghiêm trọng, “123456” vẫn là một trong những mật khẩu được sử dụng phổ biến nhất năm 2019
Và, theo Yubico, một nhà sản xuất khóa xác thực phần cứng, hơn hai phần ba nhân viên chia sẻ mật khẩu và quyền truy cập ứng dụng với đồng nghiệp, trong khi hơn một nửa cũng sử dụng cùng một mật khẩu cho cả tài khoản cá nhân và doanh nghiệp.
Một vấn đề tiềm năng khác chỉ đơn giản là lượng thông tin mà người dùng có xu hướng chia sẻ với các ứng dụng SaaS. Nhiều người chia sẻ lịch và sổ địa chỉ một cách dễ dàng, và trong khi làm như vậy có thể thuận tiện, nó cũng cung cấp cho ứng dụng đó dữ liệu bổ sung, dữ liệu mà nó có thể không cần cho mục đích và dữ liệu của bạn có thể được bảo mật. Như với tất cả dữ liệu, khi nói đến các ứng dụng SaaS, bạn cần hỏi thông tin đó sẽ đi đâu, nó sẽ được lưu trữ như thế nào và nhà cung cấp dịch vụ sẽ làm gì với nó.
Về phía bên ngoài, ngay cả khi dịch vụ SaaS có các chính sách có vẻ tốt đối với việc sử dụng dữ liệu của bạn, các lỗ hổng mã vẫn có thể làm tổn hại đến phần mềm. Các Vi phạm Equachus 2017, chẳng hạn, đã bị tấn công bởi các tin tặc khai thác một lỗi trong Apache Struts, một khung ứng dụng web nguồn mở. Mặc dù bản vá lỗi đã có sẵn, Equachus đã không cài đặt nó. Nếu không có một bản cập nhật kịp thời, Equachus đã khiến bản thân dễ bị tổn thương trước một vấn đề đã biết. Do đó, thông tin bí mật về khoảng 150 triệu người Mỹ đã bị mất.
Chịu trách nhiệm bảo mật của bạn
Bảo mật là một mục tiêu di chuyển, và giảm thiểu rủi ro là một nhiệm vụ không bao giờ kết thúc. Mặc dù bạn không bao giờ có thể loại bỏ rủi ro hoàn toàn, nhưng ít nhất bạn có thể giảm thiểu nó. Với các bước bảo mật cơ bản và đánh giá cẩn thận về việc sử dụng SaaS của công ty bạn, bạn có thể giảm bề mặt tấn công và bảo mật dữ liệu của mình tốt hơn.
.
