SaaS’a Geçiş – Güvenlik Açığını Kapatmak için Uygulamalar Üzerinden Görünürlük Kazanmak

Yazan: Charbel Khneisser, Bölge Direktörü – Teknik Satış, META, Riverbed

Uzaktan çalışmadaki artış dijital dönüşümü epey hızlandırdı. Dünya çapındaki işletmeler, verimliliği sürdürmek, operasyonları sorunsuz ilerletmek ve ekip üretkenliğini optimize etmek için bulut ve hizmet olarak yazılım (SaaS) uygulamalarına geçiş yapıyor. Gartner ise 2019 yılında 102.1 milyar USD olan SaaS gelirinin, 2022’ye kadar 140,6 milyar dolara çıkacağını tahmin ediyor. Maliyet etkinliği, asgari bakım ihtiyacı ve kullanıcılar için her zaman, her yerde erişim kolaylığı göz önüne alındığında bu artış kolayca anlam kazanıyor. Ancak, bir deyişe göre hiç kimsenin kiraladığı arabayı yıkatmaz, dolayısıyla işletmeler, SaaS uygulamalarının bakımı konusunda sıklıkla bu deyişe uygun bir duruş sergiliyor. Bu yaklaşım, işletmeleri ciddi güvenlik açıklarına, açıklanamayan performans sorunlarına ve genişleyen SaaS’de maliyet kontrolü ihmaline açık hale getiriyor ve işletmenin büyümesini engelliyor.

SaaS uygulamalarını çalıştırırken işletmeler, kimlik avı saldırıları gibi dış tehditleri tespit etmek için mücadele eder. Bunun nedeni, işletmelerde SaaS uygulamalarının doğası gereği güvenli olduğu algısının oluşabilmesi ve bu nedenle işletmenin artık içlerinde depoladığı verilerin etkin bir şekilde güvenliğini sağlamaktan sorumlu olmamasıdır. ‘Gözden ırak, gönülden ırak’ zihniyetiyle işletmeler, çalışanları ve uygulamaları üzerinde doğru görünürlük düzeyine sahip olabilmek için nokta atışı önlemleri almakta başarısız oluyorlar. Tam uyumlu görünürlüğü olmadan kuruluşlar, tespit edilmediği takdirde ciddi sonuçlara yol açan siber saldırılara karşı giderek daha savunmasız hale geliyor. Uzun vadeli itibar kaybına neden olan hassas müşteri verilerinin kaybı, bu siber saldırılara bir örnek olarak verilebilir. Bu nedenle, özellikle uzaktan çalışma dönemlerinde, kuruluşların SaaS uygulamalarına yönelik tehditlere özgü etkinlikleri tanımak için görünürlük araçlarını kullanması çok önemlidir. Ancak o zaman risk almadan bu uygulamalardan yararlanabilirler. Bu yazıda, şirketlerin dikkat etmeleri gereken noktalardan bahsedeceğim.

Uzaktan çalışma ve artan tehdit

Avrupa’da çalışanların büyük bir kısmı uzaktan çalışmaya devam ederken, kuruluşlar, kontrollü kolay olan kurumsal ağ dışında faaliyet yürüten çalışanları izleme zorluğuyla karşı karşıya. Bunun başlıca itici güçlerinden biri, personelin iş süreçlerini daha iyi sürdürmelerini ve yürütmelerini sağlayanlar lehine iş onaylı SaaS uygulamalarından giderek daha fazla uzaklaşmasıdır. Örneğin, kurumsal VPN üzerinden dosya paylaşımının fazla zaman aldığı durumlarda, çalışanlar kendilerine WeTransfer hesabı açarak, kuruluşun görüş alanı dışında dosya paylaşımı için kullanıyorlar. Buradaki sorun, kurumun görünürlüğünün olmadığı ve bu nedenle güvenliği sağlayamadığı modern bir gölge BT biçimi oluşturması ve ciddi bir güvenlik açığı yaratmasıdır.

Benzer şekilde, kişisel veya yönetilmeyen cihazlar SaaS ile kullanıldığında, bireysel kullanıcıların güvenliğinin ihlalini tespit etmek, kurumsal perspektiften bakıldığında epey zorlaştı. Çünkü SaaS uygulamasındaki veriler, yalnızca bunlara erişimi olan kullanıcı hesapları kadar güvenlidir. Kimlik avı, kötü amaçlı yazılım, zararlı uygulamalar ve tarayıcı uzantılarının tümü, kullanıcıların cihazlarının güvenliğinin ihlal edilebileceği alanlar olabilir ve kullanıcının eriştiği SaaS uygulamalarındaki verilere doğrudan erişim sağlayabilir. Bir işletmenin ufak bir güvenlik ihlaline kurban gitmesinin an meselesi olduğu gerçeği göz önüne alındığında, görünürlük eksikliği kabul edilemez bir sorundur.

Açığı kapatmak

SaaS uygulamalarının, uzaktan çalışma sırasında çalışan ve iş operasyonları verimliliğini artırmaya yardımcı olduğu aşikârdır. Çalışanlar Zoom ve Slack gibi işbirliği uygulamalarını iletişimi sürdürmek için kullanmaya devam ettikçe, kullanımda ciddi bir artış yaşandı. Zoom müşteri tabanını geçen yıldan bu yana neredeyse beş kat büyüttü ancak, bu uygulamalardan güvenle faydalanabilmek için SaaS’ın doğası gereği ortaya çıkabilecek güvenlik risklerinin ele alınması gerekiyor.

Bu zorlukların üstesinden gelmenin ilk adımı, işletmenin hangi SaaS uygulamalarını dağıtmak istediğine dikkatlice karar vermesidir. Şirketler bu kararı verirken, en uygun fiyatlı seçeneğin her zaman en iyisi seçenek olmadığını bilmelidir. Örneğin, uçtan uca şifrelemeye sahip olmayan en popüler video konferans uygulamalarından bazılarını düşünün. Uçtan uca şifreleme olmadan, gizli telefon görüşmelerine müdahale edilebilir, bunlar gizlice dinlenebilir ve daha sonra hedef odaklı kimlik avı kampanyaları gerçekleştirmek için bilgileri elde edilebilir. Bununla birlikte, bu tür sorunlar ve ortaya çıkan tehdit, genellikle karar verme sürecinde dikkate alınmaz. Denetimden yararlanmak ve güvenliği artırmak için kuruluşlar, hangi uygulamaları devreye aldıklarını ve bunlar üzerinde görünürlük kazanıp kazanamayacaklarını değerlendirmelidir. Bunu yaparken, kuruluşlar çalışanlara yönelik kesintileri en aza indirebilir ve sorunsuz iş operasyonlarını sürdürebilir.

SaaS seçimine yönelik maliyet öncelikli yaklaşım sorunlu bir yaklaşımdır. SaaS dağıtımının kolaylığı, şirketlerin bir yıl bir SaaS teklifini seçip, sonraki yıl diğerine geçerek esneklik yoluyla maliyetten tasarruf edebileceklerini düşünmelerine neden olabilir. Bu şekilde maliyet tasarrufu mümkün olsa dahi, her bir değişikliğin önemli bir güvenlik açığına yol açabileceği bilinmelidir. Kurumsal BT’nin yeni sistemleri nasıl izleyeceğini öğrenmek ve normal erişim kalıplarını ve erişim ihtiyaçlarını anlamak için zamana ihtiyacı vardır. Kullanıcılar yeni sistemlerle nasıl etkileşime gireceklerini öğrenirken özellikle kimlik avına karşı savunmasızdır. Sık değişiklikler, bir şirketi, normal şartlarda bertaraf edilmesi kolay saldırılara karşı dahi savunmasız bırakabilir.

Ancak, güvenlik açığını kapatmaya başlamak için işletmelerin ayrıca, sanal kuruluş genelinde de mümkün oranda veri kaydetmesi ve toplaması gerekir. Buna geleneksel ağ sınırının, kullanıcı dizüstü bilgisayarlarının ve uygulama oturum açma işlemlerinin izlenmesi de dâhildir. Kuruluşun tehditleri, casusluğu veya sabotajı tespit etme başarısı, farklı açılardan ne kadar fazla bilgi toplandığı ile doğru orantılıdır. Güvenlik çözümlerinin yanı sıra, SaaS uygulamalarının performans sorunları performansa zarar veriyor olabilir. İşletmeler, performans ve güvenlik için bu çift-görünürlüğü elde etmek için ağ performansı yönetimi araçları gibi çift kullanımlı çözümleri değerlendirmelidir. Bu mekanizmalar devreye alındığında, kuruluş SaaS uygulama kullanımı hakkında görünürlük kazanabilir ve ilgili herhangi bir faaliyeti belirlemek için toplanan verileri derinlemesine analiz edebilir. Bu durum, işletmelerin sorunları hızlı bir şekilde çözmesini, aynı zamanda çalışanlarının ve uygulamalarının güvenli ve verimli bir şekilde çalışmasını sağlayacaktır.

Güvenliğinize sahip çıkmak ve görünürlük kazanmak

SaaS uygulamaları gelecek demektir. Bu nedenle işletmelerin bunları güvence altına alma sorumluluklarını kabul etmeleri ve bunu başarmak için gerekli yatırımları yapmaları hayati önem taşımaktadır. Bu sorumluluk, uygulamalar üzerinde ihtiyaç duyulan görünürlüğü sağlayacak ve BT ekiplerinin işletme genelindeki güvenlik açıklarını kapatmasına yardımcı olacak teknolojilerin benimsenmesini içerir. Bunu yaparken, işletmeler, herhangi bir güvenlik tehdidini tespit edip üstesinden gelebileceklerini bilerek, iş operasyonlarının sorunsuz bir şekilde devam etmesini sağlamak için daha iyi bir şekilde konumlanmış olacaklardır.