Dado que muchos de los ciberataques más publicitados de 2023 giran en torno a una o más aplicaciones SaaS, SaaS se ha convertido en un motivo de verdadera preocupación en muchas discusiones en la sala de juntas. Más que nunca, teniendo en cuenta que las aplicaciones GenAI son, de hecho, aplicaciones SaaS.
Wing Security (Wing), una empresa de seguridad SaaS, realizó un análisis de 493 empresas que utilizan SaaS en el cuarto trimestre de 2023. Su estudio revela cómo las empresas utilizan SaaS hoy en día y la amplia variedad de amenazas que resultan de ese uso. Este análisis único proporciona información poco común e importante sobre la amplitud y profundidad de los riesgos relacionados con SaaS, pero también proporciona consejos prácticos para mitigarlos y garantizar que SaaS se pueda usar ampliamente sin comprometer la postura de seguridad.
El TL; Versión DR de la seguridad SaaS
El año 2023 trajo algunos ejemplos ahora infames de actores maliciosos que aprovechan o apuntan directamente a SaaS, incluido el grupo norcoreano UNC4899, el grupo de ransomware 0ktapus y la APT rusa Midnight Blizzard, que se dirigieron a organizaciones conocidas como JumpCloud, MGM Resorts y Microsoft (respectivamente), y probablemente muchas otras que a menudo no se anuncian.
La primera idea de esta investigación consolida el concepto de que SaaS es la nueva cadena de suministro, proporcionando un marco casi intuitivo sobre la importancia de asegurar el uso de SaaS. Estas aplicaciones son claramente una parte integral del conjunto de herramientas y proveedores de la organización moderna. Dicho esto, atrás quedaron los días en que cada tercero con acceso a los datos de la empresa tenía que pasar por la aprobación de seguridad o TI. Incluso en las empresas más rigurosas, cuando un empleado diligente necesita una solución rápida y eficiente, la buscará y la usará para hacer su trabajo más rápido y mejor. Una vez más, piense en el uso generalizado de GenAI, y el panorama es claro.
Como tal, cualquier organización preocupada por la seguridad de su cadena de suministro debe adoptar medidas de seguridad SaaS. De acuerdo con la técnica MITRE ATT&CK ‘Trusted Relationships’ (T1199), un ataque a la cadena de suministro ocurre cuando un atacante se dirige a un proveedor para explotarlo como un medio para infiltrarse en una red más amplia de empresas. Al confiar datos confidenciales a proveedores externos de SaaS, las organizaciones se someten a riesgos en la cadena de suministro que van más allá de las preocupaciones de seguridad inmediatas.
Cuatro riesgos comunes de SaaS
Hay varias razones y formas en las que el SaaS está siendo atacado. La buena noticia es que la mayoría de los riesgos pueden mitigarse significativamente cuando se monitorean y controlan. Las capacidades básicas de seguridad de SaaS son incluso gratuitas, adecuadas para organizaciones que recién comienzan a desarrollar su postura de seguridad de SaaS o necesitan compararla con su solución actual.
1) SaaS en la sombra
El primer problema con el uso de SaaS es el hecho de que a menudo pasa completamente desapercibido: el número de aplicaciones utilizadas por las organizaciones suele ser un 250% mayor de lo que revela una consulta básica y de uso frecuente del espacio de trabajo.
Entre las empresas analizadas:
- El 41% de las solicitudes fueron utilizadas por una sola persona, lo que dio lugar a una larga cola de solicitudes no autorizadas.
- 1 de cada 5 usuarios utilizaba aplicaciones que nadie más utilizaba dentro de su organización, lo que creaba tensiones de seguridad y recursos.
- El 63% de las aplicaciones de un solo usuario ni siquiera fueron accedidas en un período de 3 meses, lo que plantea la pregunta: ¿por qué mantenerlas conectadas a los datos de la empresa?
- El 96,7% de las organizaciones utilizaron al menos una aplicación que tuvo un incidente de seguridad en el año anterior, lo que solidifica el riesgo continuo y la necesidad de una mitigación adecuada.
2) Derivación de MFA
La investigación de Wing indica una tendencia en la que los usuarios optan por utilizar un nombre de usuario/contraseña para acceder a los servicios que necesitan, eludiendo las medidas de seguridad vigentes (ver imagen 1).
 |
| Imagen 1: De la investigación de Wing Security, sin pasar por MFA. |
3) Fichas olvidadas
Los usuarios conceden tokens a las aplicaciones que necesitan; esto es necesario para que las aplicaciones SaaS cumplan su propósito. El problema es que estos tokens a menudo se olvidan después de unos pocos o solo un uso. La investigación de Wing reveló una gran presencia de tokens no utilizados durante un período de 3 meses, lo que creó una superficie de ataque innecesariamente grande para muchos clientes (Imagen 2).
4) El nuevo riesgo de la IA en la sombra#
A principios de 2023, los equipos de seguridad se concentraron principalmente en unos pocos servicios de renombre que ofrecían acceso a modelos basados en IA. Sin embargo, a medida que avanzaba el año, miles de aplicaciones SaaS convencionales adoptaron modelos de IA. La investigación muestra que el 99,7% de las empresas utilizaban aplicaciones con capacidades de IA integradas.
Se exigió a las organizaciones que aceptaran términos y condiciones actualizados que permitieran a estas aplicaciones utilizar y perfeccionar sus modelos utilizando los datos más confidenciales de las organizaciones. A menudo, estos términos y condiciones revisados pasaron desapercibidos, junto con el uso de la propia IA.
Hay diferentes formas en que las aplicaciones de IA pueden usar sus datos para sus modelos de entrenamiento. Esto puede venir en forma de aprendizaje de sus datos, almacenamiento de sus datos e incluso hacer que un humano revise manualmente sus datos para mejorar el modelo de IA. Según Wing.
Resolver los desafíos de seguridad de SaaS en 2024
El informe termina con una nota positiva, enumerando 8 formas en que las empresas pueden mitigar la creciente amenaza de la cadena de suministro SaaS. Incluido:
- Descubrimiento y gestión continuos de TI en la sombra.
- Priorizar la corrección de configuraciones incorrectas de SaaS
- Optimice la detección de anomalías con marcos predefinidos, automatice cuando sea posible.
- Descubra y supervise todas las aplicaciones SaaS que utilizan IA, y supervise constantemente su SaaS para obtener actualizaciones en sus términos y condiciones relacionados con el uso de la IA.
Para obtener la lista completa de hallazgos, consejos para garantizar un uso seguro de SaaS y un pronóstico de seguridad de SaaS para 2024, descargue el informe completo aquí.
Fuente: https://thehackernews.com
