JPMorganChase upozorava na rizike SaaS tehnologije
JPMorganChase, naj velika banka na svijetu, nedavno je izrazila zabrinutost vezanu uz korištenje SaaS (Software as a Service) tehnologije koja postaje sve raširenija među organizacijama diljem svijeta. U otvorenom pismu, CISO Patrick Opet naglasio je da brzina usvajanja SaaS-a daleko premašuje razvoj sigurnosnih mjera, što predstavlja ozbiljan problem.
Izvještaj o sigurnosnim rizicima
Opet je u svom pismu istaknuo kako su dobavljači stavili prioritet na brzu isporuku značajki umjesto na sigurnu arhitekturu, što stvara sustavne ranjivosti unutar softverskog opskrbnog lanca. “Usluga optimizacije kalendara vođena umjetnom inteligencijom koja se integrira izravno u korporativne e-mail sustave koristeći ‘rolu samo za čitanje’ i ‘token autentičnosti’ može povećati produktivnost kada ispravno funkcionira”, rekao je Opet. “Međutim, ako dođe do kompromitacije, ova izravna integracija napadačima daje neviđeni pristup povjerljivim podacima i važnim internim komunikacijama.”
Povezanost organizacija i opasnosti
Opet je upozorio da je tisuće organizacija sada uklopljeno u ekosustave koji snažno ovise o maloj skupini pružatelja usluga; ukoliko jedan od njih bude kompromitiran, posljedice bi mogle biti katastrofalne. “Moderni obrasci integracije ruše ove osnovne granice, oslanjajući se na moderne identitetske protokole (npr. OAuth) kako bi stvorili izravne, često nekontrolirane interakcije između usluga trećih strana i osjetljivih internetskih resursa tvrtki”, dodao je Opet.
“U praksi, ovi modeli integracije sruše autentifikaciju (provjeru identiteta) i autorizaciju (dodjeljivanje ovlasti) u pretjerano pojednostavljene interakcije, učinkovito stvarajući jednostranu povjerenje između sustava na internetu i privatnih internih resursa. Ova arhitektonska regresija podriva temeljne sigurnosne principe koji su pokazali svoju izdržljivost.”
Izučavanje napada trećih strana
JPMorganChase već je pretrpio niz prekida sigurnosti trećih strana u posljednje tri godine, što je zahtijevalo brzo djelovanje kako bi se izolirali kompromitirani partneri i umanjili rizici. Ovi incidenti ukazali su na rizike povezane s visoko povezanom mrežom trećih strana. “Žestoka konkurencija među pružateljima softvera natjerala je prioritizaciju brze izrade značajki nad robusnom sigurnošću”, napisao je Opet. “To često dovodi do žurbe s izlaskom proizvoda bez sveobuhvatne sigurnosti ugrađene ili omogućene prema zadanim postavkama, stvarajući ponovljene prilike za napadače da iskoriste slabosti.”
Prijepori s nezaštićenim pristupom
Opet također navodi nove prijetnje koje proizašle iz krađe tokena, neprozirnih ovisnosti četvrte strane i privilegiranog pristupa bez dovoljno transparentnosti. “Najbolji način za početak promjena je odbaciti ove modele integracije bez boljih rješenja,” zaključio je Opet. “Nadam se da ćete se pridružiti ovome izazovu i odgovoriti odlučno, zajednički i odmah.”
Zaključak
U današnjem svijetu, gdje se tehnologija brzo razvija, važno je posvetiti se sigurnosti i zaštiti podataka. JPMorganChase upozorava na neizvjesnosti koje donosi brza integracija SaaS tehnologije i poziva organizacije da preispitaju svoje pristupe sigurnosti kako bi zaštitile svoje resurse i podatke od mogućih prijetnji.
