Tehnologija

Trenutni SAAS Model isporuke za upravljanje rizikom Noćna mora, kaže Ciso

anketa.plus
Izvor: anketa.plus
Trenutni SAAS Model isporuke za upravljanje rizikom Noćna mora, kaže Ciso

Romolo Tavani – Stock.Adobe.com

JPMorgan Chase Chase Patrick Opet Lamens Stanje SaaS sigurnosti u otvorenom pismu industriji i poziva pružatelje softvera da učine više za poboljšanje otpornosti

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 30. aprila 2025. 16:07

Široko prihvaćeni model isporuke softvera-as-servisa (SAAS) sadrži značajne mane i “tiho omogućava cyber napadače”, uvodeći široke ranjivosti koje bi mogle potkopati globalni ekonomski sistem, prema vodećim službenikom za sigurnost financijskih usluga (CISO).

U otvorenom pismu dobavljačima treće strane, JPMorgan Chase Ciso Patrick Opet je kritizirao softverske kompanije za izradu SPAAS-a za postavljanje i često jedino, formatiranje u koje se mogu pridržavati, oslanjajući se na pružatelje usluga i rizik koncentracije u ove organizacije.

Rekao je da iako ovaj model može biti efikasan i inovativan, sada je jasno da “povećava utjecaj bilo koje slabosti … stvaranje pojedinačnih točaka neuspjeha sa potencijalno katastrofalnim posljedicama”.

“U jpMorganchase smo vidjeli znakove upozorenja. U protekle tri godine su naši treći po pružateljici doživjeli niz incidenata u njihovom okruženju. Ovi incidenti u našem lancu opskrbe zahtijevali smo da postupimo brzo i odlučujući značajne resurse ublažavanju prijetnje”, napisao je OPET.

Iako nije usmjerio prst u dobavljačima koji su uključeni u nijedan od mnogih rasprostranjenih incidenata lanca opskrbe koji su se dogodili u posljednjih nekoliko godina, a ne pružaju pogoršavajuće, kao što se ne osigurava ranjiva identiteta, a ne pružajući privilegirani pristup sistemima kupaca ili transparentnosti i pozivajući se na dobijačima četvrtog stranaka ili transparentnosti u njihove sisteme.

Automatizacija i umjetna inteligencija (AI) dodatno su složeni ovim problemima, dodao je, a sve ove slabosti su dobro poznate protivnicima, koji su izbacili promjenama u taktikama među kineskim akumulatorima, koji sve više naklonjevaju ciljajućim organizacijama s dubokim pristupom.

Plan u tri koraka

U svom misivu, OPET je izdvojio tri osnovna koraka SAAS pružatelji usluga trebaju biti poduzeti za rješavanje ovih pitanja prije nego što postanu nepremostivi.

Pozvao je industriju da odredi prioritet cyber-a tokom faze dizajna, izgradnju ili omogućavanje sigurnosnim značajkama prema zadanim postavkama; Modernizirati sigurnosne arhitekture za optimizaciju SaaS integracije na takav način koji ublažava rizik; i bolje sarađujte zaustavljanje zloupotrebe prijetnji glumcama povezanih sistema.

Mark Townsend, suosnivač i glavni tehnološki službenik u Accelerexu, startup specijaliziran za tehničko marketing i preporuke, rekao je da je OPET-ov pismo razgovaralo sa širim frustracijama među kupcima da to dobavljači ne rade dovoljno da bi se osigurala sigurnost svojih proizvoda i usluga.

“Rush za boravak ispred konkurencije doveli su do nekoliko pitanja tokom godina. Balans treba napraviti i demonstrirati na tržište”, rekao je Townsend.

“Kada kupujete saaas, prodavač vam raspoređenog od strane dobavljača koji verujete svojim podacima. Mnogi će pružiti godišnji izveštaj o olovki i pokazati usklađivanje sa SoC2 i drugim standardima, ali se mnogo događa u tim aplikacijama, a infrastruktura koja im omogućava tokom godine.

“Sigurnost ovih sistema je prilično neprozirna i zahtijeva malo transparentnosti između dobavljača i potrošača kako se podaci osiguraju.”

Townsend je dodao: “Ne možete biti previše propisani, a da ne dajete dobavljače lako. Nadahnjuje konstruktivne razgovore za koje mislim da su potrebne i važne.”

Reveršesov Donato Capitalla i Nick Jones, glavni konsultant i šef istraživanja, rekao je da je OPET s pravom isticao kritičke izazove s kojima se suočava industrija u pogledu usvajanja saaas-a, posebno velikim pružateljima usluga i smanjene vidljivosti za kupce.

“Na praktičnom nivou postoje dva vrlo zajednička područja u kojima SaaS aplikacije ne pružaju odgovarajuću sigurnost. Prvo se postavljaju jedinstvena funkcija za prijavu iza dodatnih troškova ili planovima za prisiljavanje na tržištu između adekvatne identitetne sigurnosti i troškova”, rekli su na komprvatske sedmice u e-poštom.

“Druga je sveobuhvatna, evidentiranje revizije visokog vjernosti, koje se često bavi i iza skupih planova ili dodataka, ako su dostupne uopće. Ova ograničenja ometaju sposobnost organizacije da spriječe, otkriva i reagiraju na napade na njihovo saaS imanje.”

Capitella i Jones je dodao: “Nadamo se da dobavljači SaaS-a vide ovo otvoreno pismo kao poziv na oružje i rade na pružanju otpornog, sigurnosnog iskustva na njihovim potrošačima.”

Pročitajte više o sigurnosti web aplikacije

  • CISA: Samostav za kršenje blagajne

    Napisao: Arielle Waldman

  • Američki trezor incident jasno upozorenje o sigurnosti lanca snabdevanja u 2025. godini

    Napisao: Alex Scroxton

  • Odjel za trezor prekršen putem servisa izvanreda

    Napisao: Rob Wright

  • HPE slavine GEnai za jačanje Aiops na Centralnom mreži Aruba

    Napisao: Joe O’Halloran