Studi: 84% Perusahaan Gunakan Aplikasi SaaS yang Dibobol

The Hacker News

Cyberthreat.id -  Wing Security, baru-baru ini meninjau sebuah perusahaan keamanan SaaS yang menganalisis data lebih dari 500 perusahaan, mengungkapkan beberapa informasi yang mengkhawatirkan. 

Perangkat Lunak sebagai Layanan (SaaS) adalah model perangkat lunak berbasis cloud yang mengirimkan aplikasi ke pengguna akhir melalui peramban internet. Vendor SaaS meng-host layanan dan aplikasi bagi pelanggan untuk mengakses sesuai permintaan. 

Disebutkan, 84% perusahaan memiliki karyawan yang menggunakan rata-rata 3,5 aplikasi SaaS yang dilanggar dalam 3 bulan sebelumnya. 
Meskipun memprihatinkan, menurut The Hacker News, itu tidak terlalu mengejutkan. Pertumbuhan eksponensial dalam penggunaan SaaS membuat tim keamanan dan TI berjuang untuk mengikuti aplikasi SaaS mana yang digunakan dan bagaimana caranya. 

“Ini bukan untuk mengatakan bahwa SaaS harus dihindari atau diblokir; sebaliknya, aplikasi SaaS harus digunakan untuk memastikan pertumbuhan bisnis. Tetapi menggunakannya harus dilakukan dengan tingkat kehati-hatian tertentu,” tulis The Hacker News.

Menentukan aplikasi SaaS mana yang berisiko#

Faktor risiko yang paling intuitif untuk menentukan apakah suatu aplikasi berisiko adalah mencarinya dan melihat apakah itu telah dilanggar. “Aplikasi SaaS jelas menjadi target karena kita melihat semakin banyak serangan terkait SaaS.” 

Pelanggaran adalah indikasi yang jelas untuk menjauh, setidaknya sampai vendor SaaS benar-benar memperbaiki dan memulihkan. Namun, menurut The Hacker News, ada kriteria lain yang perlu diperhatikan saat menentukan apakah aplikasi SaaS aman untuk digunakan. Berikut adalah dua lagi untuk dipertimbangkan:

Kepatuhan - Kepatuhan keamanan dan privasi yang dimiliki atau tidak dimiliki oleh vendor aplikasi, merupakan indikasi yang baik untuk keamanannya. Mengamankan SOC, HIPAA, ISO membutuhkan proses yang panjang dan teliti di mana perusahaan harus mematuhi peraturan dan ketentuan yang ketat. Mengetahui kepatuhan perusahaan sangat penting untuk memahami tingkat keamanannya.

Kehadiran pasar - Memeriksa apakah suatu aplikasi hadir di pasar yang terkenal dan diperhitungkan juga merupakan langkah yang membantu saat menentukan integritasnya, yang dapat dikaitkan dengan tindakan keamanannya. Di pasar yang disegani, aplikasi harus melalui proses pemeriksaan, belum lagi menerima ulasan pengguna yang bisa dibilang merupakan salah satu indikator terpenting dari legitimasi aplikasi.

Meskipun memahami aplikasi mana yang berpotensi berisiko itu penting, namun itu bukanlah tugas yang mudah. Dan itu juga bukan langkah pertama. Menurut Wing Security, perusahaan yang diulas semuanya memiliki jumlah aplikasi SaaS tiga digit yang tinggi yang digunakan. Jadi pertanyaan pertama dan mendasar yang harus ditanyakan oleh tim keamanan adalah:

#Berapa banyak aplikasi SaaS yang digunakan karyawan?

Jelas, tidak mungkin untuk menentukan apakah SaaS digunakan dengan aman tanpa terlebih dahulu mengetahui berapa banyak aplikasi SaaS yang digunakan dan yang mana. Ini dasar, tetapi tidak sederhana. 

SaaS digunakan oleh setiap dan semua karyawan, dan sementara menegakkan SSO dan menggunakan sistem IAM adalah penting dan bermanfaat, sifat aplikasi SaaS yang terdesentralisasi, dapat diakses, dan seringkali swalayan berarti karyawan dapat mulai menggunakan hampir semua SaaS yang mereka butuhkan hanya dengan mencari untuk online dan menghubungkannya ke ruang kerja perusahaan mereka, dengan mudah menghindari IAM.

Ini terutama benar ketika mempertimbangkan banyak aplikasi SaaS yang menyediakan alat gratis atau versi gratisnya.

Perlu diingat, penemuan aplikasi SaaS juga disediakan sebagai alat swalayan gratis sehingga menjawab pertanyaan yang disebutkan di atas seharusnya cukup mudah. Setelah pemetaan penggunaan SaaS yang jelas dilakukan, langkah selanjutnya adalah menentukan aplikasi SaaS yang berisiko.

Setelah aplikasi berisiko diklasifikasikan seperti itu, penting untuk mencabut token yang mereka terima dari pengguna yang menghubungkannya ke organisasi. Ini bisa menjadi proses yang panjang dan rumit tanpa alat yang tepat.

Memastikan penggunaan SaaS aman membutuhkan pertanyaan dan menjawab dua pertanyaan lagi:

1. Izin apa yang diberikan ke aplikasi SaaS?

Mungkin tidak perlu dikatakan lagi bahwa tidak semua aplikasi menimbulkan risiko setiap saat. Perlu juga ditambahkan bahwa meskipun aplikasi SaaS dilanggar, risiko yang ditimbulkannya sangat bergantung pada izin yang diberikan. 

Hampir semua aplikasi SaaS memerlukan beberapa tingkat izin untuk mengakses data perusahaan untuk menyediakan layanan yang dirancang untuk itu. Izin berkisar dari izin baca-saja hingga izin tulis yang memungkinkan aplikasi SaaS bertindak atas nama pengguna, seperti mengirim email atas nama pengguna. 

Manajemen postur keamanan SaaS yang tepat berarti memantau izin yang diberikan oleh pengguna ke suatu aplikasi dan memastikan itu hanya diberikan izin yang diperlukan.

2. Data apa yang mengalir di dalam dan di antara aplikasi ini?

Pada akhirnya, yang terpenting adalah melindungi data penting perusahaan, baik itu informasi bisnis, Pii, atau kode. Data memiliki banyak format, dan mengalir dengan berbagai cara. 

Cara unik SaaS digunakan di semua unit dan tim bisnis dan oleh siapa pun di organisasi menimbulkan risiko berbagi data menggunakan aplikasi SaaS yang tidak dirancang untuk berbagi data yang aman. Ini juga menimbulkan risiko data dibagikan antara aplikasi SaaS. 

Saat ini, banyak aplikasi SaaS yang terhubung, dan satu aplikasi onboard dapat memberikan akses ke subset dari banyak lainnya. Ini adalah jaringan raksasa interkonektivitas dan berbagi data.

#Mulailah dengan dasar-dasar - Kenali lapisan SaaS Anda

Keamanan SaaS bisa sangat luar biasa. Ini adalah perbatasan baru yang kuat yang terus berkembang. Ini juga merupakan risiko lain dalam daftar panjang risiko yang harus dihadapi tim keamanan. 

Kunci untuk mengatasi keamanan SaaS adalah mengetahui aplikasi mana yang sedang digunakan. Langkah dasar pertama ini menyoroti tantangan TI bayangan SaaS dan memungkinkan tim keamanan untuk menilai dengan tepat urgensi dan besarnya risiko keamanan SaaS mereka. Mengetahui dengan pasti jumlah dan sifat SaaS yang digunakan tidak boleh rumit atau mahal.[]