Skip to content

Proteção para o SaaS de forma eficiente

Diversas organizações ao redor do mundo moveu seus processos de negócios críticos e sensíveis para aplicações SaaS. Enquanto a adoção do SaaS entrega um grande valor de negócio para a organização, ele dificulta a capacidade das equipes de segurança se manterem atualizadas com novas aplicações para monitorá-los e mantê-los seguros. As equipes de segurança, muitas vezes com poucos membros e muito trabalho, tem de descobrir como ter proteção no SaaS sem deixar o processo do negócio mais lento.

Mesmo as equipes de segurança mais experientes que entendem os desafios operacionais que vem com os riscos e ameaças enfrentados 24/7. Boa parte desses desafios são únicos ao SaaS. Por exemplo, cada aplicação mantem o gerenciamento de autorização e direito dentro da plataforma. Os direitos estão em partes profundas da plataforma em formatos específicos, criando silos de visibilidade. Cada aplicação implementa seu modelo único de acesso, privilégios e funções que determinam o que os usuários podem acessar e fazer.

As aplicações variam muito em termos de configuração de segurança e controle que eles expõem aos clientes. O Office 365 e o Salesforce oferecem um grande conjunto de controles e centenas de configurações enquanto o Slack oferece apenas alguns. Os clientes são responsáveis por configurar essas aplicações de forma apropriada e seguir constantemente as melhores práticas de segurança, garantindo que as configurações se mantenham seguras. Porém, é mais fácil falar do que fazer. Mesmo uma pequena configuração errada pode levar a exposição de dados de usuários fazendo com que eles fiquem desprotegidos. As equipes de segurança acabam se perdendo no processo de configurar e gerenciar os aplicativos SaaS.

 

Primeiro passo: “Arregaçando as mangas”

Os profissionais de segurança costumam tomar conta da proteção do SaaS de forma manual. O administrador inspeciona e monitora os usuários, privilégios, atividades, configurações e alertas gerados regularmente pela aplicação para cada um dos aplicativos que ela esteja assegurando, seguindo estes passos:

  1. Realizar o login no console de administração da aplicação SaaS
  2. Ver se algum alerta gerado pela aplicação precisa ser investigado. As aplicações estão em níveis diferentes de sofisticação no que se diz respeito aos riscos de segurança e ameaça que eles podem detectar e alertar.
  3. Navegar até o log de atividades e ver se há algo suspeito ou inapropriado. Alguém compartilhou um arquivo ou armazenamento de forma insegura? Houve um grande número de tentativas de login sem sucesso de uma localidade não familiar? Algum administrador fez login sem usar a autenticação de múltiplo fator? Esses dados são apresentados em diferentes lugares e diferentes formatos em cada aplicativo.
  4. Navegar até onde estão localizados os dados sobre usuários e privilégios. Checar quem tem acesso privilegiado e ter certeza de que não há nenhuma atribuição inesperada de privilegio (por exemplo, contas de backdoor ou elevação de privilégio não autorizada. A navegação depende de cada aplicativo. Para ver qual usuário tem acesso ao que, você precisa entender primeiro o modelo de acesso e privilegio de cada aplicação.
  5. Checar se há contas de administrador obsoletas ou cotas de usuário que não tenham sido acessadas recentemente e podem ser recuperadas.
  6. Examinar a segurança das configurações para ter certeza que está tudo bem e que não há erros nas configurações.
Leia também:  Cybersecurity em 2022: O Que Esperar

Mesmo após seguir estes passos, os administradores podem perder ameaças que só estão visíveis quando eles olham privilégios e atividades através das aplicações. Algum usuário tem diversos privilégios em múltiplos aplicativos SaaS? Algum usuário baixou muitos arquivos do G Drive e relatórios do Salesforce?

Uma equipe de segurança enxuta encarregada de defender as aplicações SaaS, que podem ser gerenciadas por administradores de aplicações com conhecimento limitado (ou não) de segurança podem ser esmagadas pelas demandas para proteção do SaaS. Então, o que a equipe de segurança deve fazer para proteger o SaaS de forma eficiente? A chave para a eficiência e automação é utilização de ferramentas feitas com o propósito de proteger o tempo, o mais escarço dos recursos.

Automatizando as operações de proteção no SaaS

A segurança deve encontrar formas de eliminar o trabalho manual sempre que possível e aprimorar o esforço manual aplicando a automação em outro lugar. As Capacidades de detecção e resposta na nuvem (CDR, Cloud detection and response em inglês) pode ajudar diversas organizações a automatizar grande parte das áreas de proteção do SaaS. Vamos ver algumas dessas áreas:

Visibilidade

O primeiro passo em atingir uma segurança compreensiva é ter visibilidade contínua dos acessos, privilégios e atividades. As equipes de segurança precisam de:

  • Um inventário de usuários e acessos
  • Mapeamento de funções
  • Monitoramento de atividade
  • Autorizações de aplicativos terceiros

O CDR oferece uma visão consolidada e centralizada além de dados analíticos para detectar, investigar e mitigar riscos de ameaças na nuvem. As soluções de CDR agregam dados automaticamente sobre usuários, privilégios, atividades e configurações através de integrações API. Os dados são normalizados e enriquecidos com contexto sobre os usuários, dispositivos e localidades. Ao invés de eleger manualmente as aplicações pelos dados que eles precisam, as operação de segurança e equipes de IR podem olhar os dados que foram extraídos para visualização em um único lugar.

Detecção

Mesmo com acesso a uma grande quantidade de dados, as equipes de segurança normalmente têm largura de banda limitada para caçar ameaças. As soluções de CDR oferecem alertas criativos com base em detectar riscos não mitigados, vazamento de dados, comprometimento de contas e ameaças internas. O CDR analisa o privilegio e as atividades dentro e através das aplicações, aplicando machine learning e analisando o comportamento de usuários para encontrar sinais de problema como:

  • A conta está mostrando algum sinal de comprometimento?
  • O usuário legitimo está agindo de forma suspeita ou perigosa?
  • A API está sendo abusada?
  • Há um número alto de tentativas de login de um local desconhecido
Leia também:  As 6 principais ameaças na computação na nuvem e como mitigá-las

Ranqueando os alertas de acordo com o impacto, o CDR dá a equipes pequenas uma lista de prioridades a se focar. Oferecendo dados consolidados de atividade e toda a analítica requerida para investigar potenciais problemas em um único painel de controle, o CDR torna a vida dos analista, caçadores de ameaças e dos responsáveis de resposta ao incidente muito mais fácil.

Resposta

Quando se trata de recuperação e resposta a incidente, a velocidade na recuperação dos dados e análise do incidente são os principais pontos. Ter acesso aos dados sobre usuários, privilégios e atividade que as equipes de resposta a incidente precisam para a analisar a situação faz grande diferença no tempo de resposta e no impacto causado. O CDR dá aos investigadores os dados que eles precisam para trabalhar a tempo.

As soluções de CDR podem ser configuradas para tomar ações remediais de problemas que requerem atenção imediata. Por exemplo, os administradores de segurança podem dizer para o sistema bloquear automaticamente contas comprometidas, não compartilhar arquivos e/ou remover e-mails maliciosos encaminhados para então uma notificação ser enviado para investigação futura.

Para organizações que usam a orquestração, automação e resposta de segurança (SOAR, security orchestration, automation and response em inglês) ou algum serviço de gerenciamento de TI para manusear a remediação, a ferramenta de CDR oferece integração com essas ferramentas externas.

Aprimorando as defesas

Aprimoramento da postura de gerenciamento e segurança é crítico para a redução da superfície de ataque e o bloqueio efetivo de ameaças as aplicações de SaaS. Com o tipo certo de visibilidade, as equipes de segurança podem garantir que as aplicações de SaaS sejam configuradas de acordo com as melhores práticas, detectando e arrumando erros de configuração e removendo contas obsoletas.

Conclusão

Os ambientes de SaaS são inerentemente multi nuvem. A heterogeneidade  da identidade e do acesso, dos controles de segurança, da maturidade do serviço e da API através de diversas aplicações SaaS faz o trabalho de segurança dessas aplicações parecerem pesado. Com algum planejamento, preparação e utilizando ferramentas que podem aprimorar a eficiência da segurança do SaaS como as de CDR faz com que as equipes consigam aprimorar sua eficiência nas operações de proteção do SaaS de forma significativa. Os CDR ajudam a automatizar tarefas repetitivas para visibilidade, monitoramento, detecção, resposta e aprimoramento da segurança, além de permitir que caçadores de ameaças, analistas SOC e equipes de resposta ao incidente foquem na segurança.

Comente o que achou do artigo