2022 SaaS Güvenlik Raporuna Ait 7 Önemli Bilgi 

2022 Saas (Software-as-a-Service) Güvenlik Anketi Raporu, teknoloji güvenlik şeflerinin ve güvenlik uzmanlarının gözünde günümüzde şirketlerin güvenliğini değerlendiriyor. Rapor, 340 uzmanın gözünden hizmet yazılımı sektöründeki güvenlik zafiyetlerini ve farklı kurumların kendilerini nasıl güvenceye almaya çalıştıklarını değerlendiriyor.

Demografiler

Ankete katılanların büyük kısmı (%71) Amerika kıtalarında yer alırken, %17’si Asya, %13’ü ise EMEA (Avrupa, Orta Doğu ve Afrika) bölgesinde yer alıyor. Katılımcıların %49’u karar alım süreçlerinde yer alırken, %39’u süreçlerin işletilmesinden sorumlu. Birçok farklı sektörün yer aldığı ankette telekomünikasyon (%25), finans (%22) ve hükümet kurumları (%9) tepede yer aldı.

Raporda öne çıkan yedi madde şu şekilde:

1- SaaS ayarlarındaki düzensizlikler güvenlik unsurlarına neden oluyor

2019’dan bu yana SaaS düzenlemelerinde yaşanan sorunlar, ankete katılan şirketlerin bu tarihten bu yana en az bir kere SaaS sorunu yaşamasına neden oldu. Bazı şirketlerin bu alanda sorun yaşayıp yaşamadıklarını tespit etmemiş olması ise bu sorunun aslında şirketlerin %63’ü tarafından yaşanmış olabileceğine işaret ediyor. Ortaya çıkan değerler, IaaS (Infrastructure-as-a-Service; altyapı hizmetleri) alanında yaşanan %17 civarındaki sıkıntılar ile rastlandığında oldukça yüksek.

2- Görünülebilirlik sorunları ile birçok departmanın bilgilerinin çakışması sorun oluşturuyor

SaaS düzensizliklerine neden olan birçok faktör bulunurken, araştırmacılar bu sebepleri iki maddeye indirgiyor: SaaS güvenlik ayarlarına birçok departmanın erişiminin bulunması (%34) ve yapılan değişiklikler üzerinde görünülebilirliğin yetersiz kalması (%34). Birden çok departmanın SaaS ayarlarına erişiminin olmasının üzerine görünürlük sorununun yaşanması güvenlik hususunda sorunlar doğuruyor. Birçok departmanın erişim yetkisinin bulunmasına rağmen eğitim yetersizliği ve güvenliğe yeterince önem verilmemesi sorunların başlıca nedenleri.

3- Kritik SaaS uygulamalarına yapılan yatırım güvenlik yatırımlarını geride bırakıyor

Şirketlerin kullandığı uygulama ve araçların sayısı artarken, ankete katılan şirketlerin %81’i geçtiğimiz yıl içinde kullandıkları SaaS ürünlerini artırdı. Güvenlik araçlarına yapılan yatırım ise %73 olurken, SaaS güvenliği personeline yönelik yatırım %55’te kaldı. Ortaya çıkan dengesizlik, mevcut güvenlik ekiplerinin SaaS’a gerekli önemi vermesini kısıtlıyor.

4- SaaS düzensizliklerinin manuel tespiti ve düzenlenmesi organizasyonları ifşa ediyor

Ankete katılan şirketlerin %46’sı ayda bir kez veya daha sınırlı düzenlerde SaaS güvenlik kontrolünü manuel olarak gerçekleştirdiklerini belirtiyor. Bir hata tespit edilmesinin ardından giderilmesi birkaç hafta sürebiliyor. Her dört şirketten bir tanesi için sorunu manuel olarak aşmak bir hafta veya daha uzun sürüyor. Sorunları gidermek için gereken sürenin uzaması şirketlere yönelik riski artırıyor.

5- SSPM süreci SaaS düzensizliklerini tespit etme ve giderme sürecini kısaltıyor

SSPM, yani Güvenlik Durum Yönetimi uygulayan kurumların SaaS düzensizliklerini tespit etme ve giderme süresi de azalıyor. SSPM sahibi şirketlerin büyük kısmı (%78), haftada bir kez veya daha fazla SaaS güvenlik konfigürasyonlarını kontrol ediyor. Düzensizlikleri giderme konusunda SSPM kullanan şirketler hatayı bir hafta içinde gidermeyi başarıyor.

6- Üçüncü parti uygulamaların erişimi en ciddi endişe kaynağı

Kodsuz (no-code) veya düşük kodlu (low-code) platformlar olarak da adlandırılan üçüncü partiler üretkenliği artırıyor ve hibrit çalışmayı mümkün kılıyor. Aynı zamanda bir şirketin iş sürecini inşa etmek ve ölçeklendirmek adına önemli rol oynuyor. Öte yandan, birçok kullanıcı üçüncü parti uygulamaları ne denli erişim izni istediğini bilmeden kullanıyor. Bir kez erişim izni verildikten sonra üçüncü parti uygulamalar zararsız olabilecekken kötü amaçlı yazılımlara kapı da aralayabiliyor.

SaaS tedarik zincirinde görünülürlük olmadan çalışanlar şirketlerinin kritik uygulamalarına bağlanıyor, güvenlik ekipleri ise potansiyel tehditlere karşı önünü göremiyor. Şirketler daha fazla SaaS uygulaması kullandıkça, en belirgin endişelerinden biri görünülürlük olarak kendini gösteriyor. Bu endişe özellikle SaaS uygulamalarına erişen üçüncü parti uygulamalar için geçerli: %56.

7- Erken planlama ve SSPM uygulama

Her ne kadar bu kategori piyasaya iki sene önce sunulmuş olsa da hızla olgunlaşıyor. Bulut güvenlik sistemleri için değerlendirme yaparken, SSPM şirketler tarafından “az-çok bilinir” olarak beliriyor. Dahası, ankete katılan şirket temsilcilerinin %62’si SSPM kullandıklarını veya 24 ay içinde bu sistemi devreye alacaklarını söylüyor.

Sonuç 

2022 SaaS Güvenlik Anketi Raporu şirketlerin SaaS uygulamalarını nasıl kullandıkları ve koruduklarına ışık tutuyor. Şirketler daha fazla iş odaklı SaaS benimsedikçe risklerin de artacağı anlaşılıyor. Şirketlerin bu riski azaltması için iki adımı uygulaması önem taşıyor:

1- Güvenlik ekiplerinin üçüncü parti uygulama erişimi ve kullanıcı izinleri dahil olmak üzere SaaS güvenlik ayarlarını tamamen görebilmesini sağlamak. Böylece farklı departmanlar güvenlik riskine neden olacak şekilde düzensizliğe neden olmadan ayarlara erişim sağlayabilir.

2- İkinci olarak şirketlerin SSPM gibi otomasyon araçlarını devreye sokarak olası SaaS düzensizliklerini sürekli kontrol etmeleri ve hızlıca gidermeleri gerekiyor. Otomasyon araçları güvenlik ekiplerinin hataları hızlıca tespit etmesini ve gerçek zamanda onarmasını sağlıyor. Böylece şirketlerin güvenlik hassasiyeti bulundurduğu süre zarfı daralıyor ve sorunların ortaya çıkma riski azalıyor.

Bu iki adım güvenlik ekiplerinin işini kolaylaştırırken, farklı departmanların sorunsuz işlerine devam etmesini sağlıyor.