Ничего не найдено. Попробуйте еще
Халатность или месть обиженного сотрудника: какие есть угрозы использования SaaS и как снизить риски
-
АвторИрина СамаркинаПользуется только проверенными программами и приложениями
SaaS (Software as a Service) — это облачная технология, с помощью которой провайдер даёт клиенту доступ к своей платформе. Чтобы обеспечить безопасность облака, вендоры используют шифрование данных, контроль доступа и другие методы защиты. Но меры предосторожности должны проявлять не только поставщики продукта, но и сами пользователи. В статье разобрались, какие есть угрозы безопасности при использовании SaaS-решений и как минимизировать риски при работе.
SaaS: особенности и преимущества технологии
Технология SaaS работает по следующему принципу: разработчик создаёт продукт, размещает инфраструктуру на своих серверах, проводит обслуживание и выпускает обновления. Клиент платит деньги поставщику и получает доступ к продукту. Пользователю не нужно обслуживать сервис, устранять сбои, поддерживать работу приложения или программы — всем занимается поставщик. Доступ к ресурсам предоставляется удалённо, через интернет. Одно решение SaaS могут купить тысячи клиентов. Но пользователи не мешают друг другу, каждый работает отдельно — это обеспечивается за счёт многопользовательской архитектуры.
Преимущества SaaS-решений для бизнеса:
- экономия на оборудовании и специалистах
- быстрое подключение и простая настройка
- отсутствие территориальной привязки
- минимальные требования к устройствам.
При подключении программного обеспечения SaaS важно выбрать надёжного поставщика, чтобы обезопасить себя от угроз. Провайдер должен гарантировать высокий уровень защиты данных и исключить вмешательство посторонних в инфраструктуру клиента.
Какие угрозы могут возникнуть при использовании SaaS
Автор блога «Пакет безопасности» Роман Панин называет утечку данных одной из самых распространённых угроз при внедрении SaaS-решений. Утечка данных — это передача конфиденциальной информации за пределы организации без разрешения или права на такую передачу. Но не всегда речь идёт о краже данных.
Утечка может произойти по следующим причинам.
Неосторожность
Сотрудник случайно переслал файл с данными клиентов или загрузил его в общедоступное облако.
Незнание
Клиент использует небезопасные мессенджеры, почтовые сервисы или решает рабочие задачи с личных устройств.
Намеренные действия
Обиженный сотрудник решает «вынести» клиентскую базу перед увольнением или продать её конкурентам.
Несанкционированный доступ
Такое может произойти из-за слабых паролей или их повторного использования, отсутствия двухфакторной аутентификации (2FA), контроля отзыва доступов у уволенных сотрудников. Ещё одна причина несанкционированного доступа — фишинг: сотрудник вводит свои данные на поддельной странице или передаёт их тому, кто выдаёт себя за коллегу.
Распределение прав и доступов
В каждой компании есть сотрудники, у которых имеются расширенные права и доступы в системах. Речь идёт о системных администраторах, DevOps, техлидах. По мнению Романа Панина, права и доступы — одна из самых популярных причин разногласий между айтишниками и специалистами по информационной безопасности и SaaS-технологиям. Первые думают, что им вставляют палки в колёса и мешают работать. Вторые просто пытаются исключить лишние факторы риска.
О каких факторах риска идёт речь:
- намеренные действия (удаление данных, саботаж, бэкдоры)
- ошибки (случайное удаление аккаунтов, неправильная настройка разрешений)
- злоупотребление доверием или полномочиями (например, системный администратор способен слить данные заказчиков из CRM).
Руководитель продукта МТС Линк Чаты Андрей Лучицкий пояснил, что проблему может решить наличие модели доступов. В качестве примера он привел платформу МТС Линк.
У нас реализована базовая модель доступов: владелец, админ, сотрудник и гость. У каждого — собственные права для работы в системе, поэтому путаница полностью исключена.
Вредоносное ПО
Любой сотрудник, имеющий доступ к файловому хранилищу, сервису или системе, может скачать заражённый файл под видом обычного, открыть вредоносную ссылку в письме или установить вредоносный плагин для браузера, перехватывающего данные из SaaS-сервисов. Как следствие — заражение системы вирусом. Это особенно опасно, если корпоративный SaaS используется без разделения сред (например, с одинаковым доступом из дома и офиса) или сегментов.
Отсутствие патч-менеджмента
Патч-менеджмент — это процедура установки обновлений (патчей) для ПО. Задача патч-менеджмента — устранить уязвимости, исправить ошибки, повысить стабильность работы. Автор блога «Культ Безопасности» Валерий Иванов отметил, что конечные пользователи не всегда устанавливают обновления, которые выпускает производитель. В итоге в системе остаются уязвимости, сценарий эксплуатации которых можно буквально найти на Github (крупнейшем веб-сервисе для хостинга IT-проектов). Такая проблема особенно актуальна, например, для ERP-систем (комплексных программ для управления всеми бизнес-процессами в компании).
Отсутствие жизненного цикла учётной записи
Жизненный цикл учётной записи — время её существования с момента создания (когда сотрудник устраивается на работу) и до момента удаления (когда сотрудник увольняется). Если этим циклом не управлять, то речь идёт об отсутствии жизненного цикла: учётная запись может жить бесхозно годами и стать точкой входа для хакера.
Если у этой учётной записи высокие привилегии (т. е. широкие полномочия, например, это учётная запись администратора, главного бухгалтера), то преступник может нанести серьёзный ущерб. При этом злоумышленнику даже не придётся ничего ломать: он использует легитимные функции системы. Например, преступник способен купить в даркнете за символическую сумму учётную запись администратора из утечки. После этого он может зайти в систему и удалить клиентскую базу — технически он ничего не ломает.
Отсутствие разграничений прав, доступов и привилегий
В компаниях должно быть разграничение доступов и ролей, чтобы у любого сотрудника не было доступа во все системы. Но некоторые игнорируют это правило: и линейный менеджер, и руководитель направления, и бухгалтер, и рядовой менеджер имеют одинаковые, часто избыточные доступы.
Атаки на цепочки поставок ПО
Из специфичных рисков, связанных с SaaS, Валерий Иванов выделяет атаки типа software supply chain — атаки на цепочки поставок программного обеспечения. Если злоумышленник смог взломать производителя софта, то есть риск, что он получит доступ в инфраструктуру всех заказчиков.
Какие меры предосторожности можно предпринять, чтобы минимизировать риски
По мнению Валерия Иванова, самые простые меры, не требующие больших затрат, — это внедрение парольной политики, использование сложных паролей и двухфакторная аутентификация, а также контроль за обновлениями ПО. Также нужно иметь резервные копии важной для бизнеса информации.
«В одной из компаний база данных клиентов хранилась в контактах Skype, потому что это было удобно сотрудникам. Злоумышленник, получив доступ к учётным записям отдела маркетинга, скопировал базу себе и удалил её у компании. Поскольку бэкапов не было, компании пришлось заплатить преступнику, чтобы получить свои контакты обратно», — рассказал Валерий Иванов
Роман Панин добавляет: «Если учитывать человеческий фактор, то упор однозначно нужно делать на обучение сотрудников (security awareness). Это могут быть регулярные тренинги по кибергигиене, симуляция фишинговых атак, лекции, как грамотно и безопасно использовать SaaS».
По мнению эксперта, с технической стороны нужно максимально внедрить автоматизацию там, где это возможно. Например, настройка управления доступами (IAM) нужна для минимизации прав (least privilege), контроля доступов при приёме на работу и увольнении, а также для использования ролевой модели доступа с заранее прописанными правами.
Руководитель бизнес-юнита Встречи МТС Линк Олег Пашукевич рассказал, какое внимание уделяется регламенту информационной безопасности для SaaS на платформе МТС Линк. По его словам, разработчики регулярно проводят тестирование на проникновение и защиту от DDoS-атак. Кроме того, предусмотрено участие платформы в программах, направленных на выявление уязвимостей, например Bug Bounty (специальный проект по выявлению уязвимостей, в котором компании платят пользователям деньги за то, что те находят уязвимости и баги в софте, сервисах или инфраструктуре).
Последствия некорректной настройки со стороны пользователей
Роман Панин уверен: некорректная настройка системы со стороны клиента может привести к утечке персональных данных (и соответственно, оборотным штрафам), репутационным потерям, утрате контроля над бизнес-процессами и даже их приостановке.
По словам эксперта, слабая безопасность (или её отсутствие) в стороннем сервисе может привести к компрометации ресурсов компании. Если этот сторонний сервис ещё и запросил избыточный доступ к данным, то появляется больше рисков. Так, например, делают многие сторонние сайты, предлагая авторизоваться через учётную запись Google, попутно запрашивая доступ к письмам, календарю и прочим, не относящимся к делу данным. Также нельзя исключать риск, что пользователь может одобрить интеграцию с поддельным или фишинговым сервисом. Это значит, что компания точно попадает в руки злоумышленников, которые прекрасно знают свою работу.
Валерий Иванов добавляет: «При использовании облачной технологии SaaS нередки случаи, когда из-за неправильной настройки чувствительные данные буквально „торчат наружу“. Доступ к ним может получить любой интернет-пользователь, если задаст в поисковой строке правильный запрос».
Ещё одной хронической проблемой можно назвать некорректную настройку прав пользователей, когда любой сотрудник имеет права на уровне администратора. Часто бывает так, что учётная запись сотрудника, который уволился несколько месяцев назад, продолжает работать и он может с лёгкостью к ней подключиться.
Последствия неправильной настройки могут быть весьма печальными. Наиболее вероятный сценарий — атака с использованием программы-шифровальщика с последующим требованием выкупа. Либо кража базы данных клиентов или сотрудников, которая затем окажется в сети.
Как выбрать поставщика SaaS
При выборе вендора Валерий Иванов рекомендует обращать внимание на 2 основных аспекта:
- наличие сертификатов соответствия российским или зарубежным стандартам кибербезопасности
- наличие базовых инструментов (многофакторной аутентификации, контроля прав, возможности задавать требования к паролям).
«О высоком уровне защищённости поставщика может говорить, например, наличие публичной программы Bug Bounty или кибериспытаний, когда защищённость компании и её продукта проверяют этичные хакеры», — пояснил Валерий Иванов.
По словам Андрея Лучицкого, в МТС Линк реализованы все базовые и необходимые для безопасности фичи. Для авторизации на платформе предусмотрен вход по SSO, а также планируется внедрение в работу MFA для мобильных устройств (многофакторная аутентификация). Для мессенджера реализовано транспортное шифрование TLS 1.3: когда между двумя точками устанавливается связь, то протокол TLS 1.3 шифрует данные для создания безопасного режима.
При выборе поставщика SaaS Роман Панин также рекомендует обратить внимание на следующие параметры.
Безопасность по умолчанию
Речь идёт о наличии встроенной двухфакторной аутентификации, шифровании, управлении правами доступа. Также важно, чтобы была возможность настраивать аудит, логи, оповещения (то есть фиксировать действия пользователей и отслеживать, что и когда сделал).
Сертификация и соответствие
Можно проверить, есть ли у компании сертификаты соответствия GDPR или ISO 27001 (это регламенты и международные стандарты по защите данных и информационной безопасности). Также нужно узнать, соответствует ли деятельность компании 152-ФЗ. К примеру, по словам Олега Пашукевича, платформа МТС Линк полностью соответствует требованиям ФЗ-152 «О персональных данных» и международным стандартам (в частности, ISO 27001).
Контроль доступа и политики безопасности
Рекомендуется проверить наличие API-коннекторов для интеграции с сервисами компании: IAM (это управление идентификацией и доступом) , DLP (ПО для защиты от утечек данных), мониторинг и прочими.
Также можно обратить внимание на встроенные механизмы. Ими могут быть даже обычные политики по регулярной смене паролей.
Поддержка и SLA
Надёжность непрерывно связана с безопасностью, поэтому необходимо заранее убедиться в том, что уровень поддержки в случае вопросов и инцидентов устраивает клиента. Большое значение также имеют ясные условия SLA (Service Level Agreement — соглашение, в котором перечислены обязательства поставщика услуг) по доступности сервиса, восстановлению и уведомлению пользователей.
Руководитель бизнес-юнита МТС Линк Встречи Олег Пашукевич отметил, что данные пользователей хранятся в России, что важно для соблюдения требований регуляторов (например, Роскомнадзора и Федеральной службы по техническому и экспортному контролю). Резервирование каналов связи и оборудования минимизирует downtime (период недоступности).
По словам Пашукевича, МТС Линк использует распределённые дата-центры (включая Tier III), что гарантирует отказоустойчивость. Tier III — уровень стандарта, определяющий степень доступности сервисов, надёжности инфраструктуры и бесперебойности работы. Олег Пашукевич добавляет, что МТС Линк работает как в версии SaaS, так и в on-premise (серверном решении). То есть клиенты сами выбирают, какой способ развертывания соответствует корпоративной политике.
Репутация и история инцидентов
Можно поискать в интернете информацию об инцидентах, простоях и утечках выбранного SaaS. Также стоит почитать отзывы от других клиентов. Пользователи охотнее делятся негативным опытом, нежели позитивным, поэтому, если поставщик зарекомендовал себя с отрицательной стороны, наверняка об этом будет информация в открытом доступе.
Подпишитесь на рассылку МТС Линк Медиа
Каждую пятницу присылаем самые интересные статьи об эффективной работе и коммуникациях в онлайне на почту