As soluções Software-as-a-Service (SaaS) dão flexibilidade sem precedentes a qualquer negócio. Você pode acessá-las na nuvem quando quiser e onde quer que você esteja. Elas permitem que você minimize seus gastos com hardware e aumente e diminua sempre que necessário. Eventualmente, elas podem ser facilmente integradas em um único fluxo de trabalho. Mas apesar da crescente adoção de produtos de software baseados em nuvem, as preocupações com a segurança SaaS persistem. Em um estudo realizado em 2021, até 98% das empresas pesquisadas tinham sofrido pelo menos um incidente de segurança nos 18 meses anteriores.
Então, isso significa que todas essas afirmações sobre a segurança dos produtos SaaS não são nada mais do que propaganda? Bem, não é tão claro assim. Este artigo lhe dará uma compreensão básica da natureza dos riscos de segurança SaaS e como você pode preveni-los.
Os Principais Desafios da Segurança de SaaS na Nuvem
Os ambientes SaaS atuais incluem, em média, 42 aplicações de terceiros. Por um lado, ter a maioria dos dados e processos fora do local é extremamente libertador para uma empresa. Por outro lado, controlar tantas aplicações é um verdadeiro desafio. E é daí que derivam duas preocupações-chave de segurança de dados de SaaS – a falta de visibilidade e o gerenciamento insuficiente do acesso.
A Falta de Visibilidade
De acordo com uma pesquisa, seis em cada dez proprietários de empresas consideram a falta de visibilidade em seus ambientes SaaS como um de seus maiores desafios de segurança cibernética. E não é apenas por causa do número de aplicações que eles precisam vigiar de perto. Cada uma dessas aplicações vem com um conjunto individual de características de segurança, configurações de acesso e políticas de privacidade, que estão em constante mudança à medida que os provedores atualizam seus produtos. Para coroar tudo isso, não esqueçamos a variedade de dispositivos dos quais cada aplicativo SaaS pode ser acessado. Como resultado, as equipes de segurança têm pouco conhecimento dos riscos reais para os dados da empresa.
Gestão de Acesso Insuficiente
Com as empresas completamente sobrecarregadas com o número de aplicativos de terceiros em seus ambientes de nuvem, apenas 12% das empresas com 50-99 aplicativos em sua pilha SaaS realmente conduzem verificações semanais de má configuração. Acrescente isto à confiança generalizada em fornecedores de aplicativos SaaS em termos de segurança – e torna-se claro por que o gerenciamento inadequado de acesso é considerado outra grande ameaça à segurança pela maioria das empresas: muitas equipes de segurança não têm uma imagem completa de quem acessa os dados da empresa e de que forma, ou que tipo de dados estão sendo acessados.
Juntas, estas duas questões de controle têm o potencial de causar vazamentos enormes de dados, tornando seus sistemas mais vulneráveis a uma variedade de ameaças cibernéticas, tais como sequestro de contas, ataques de ransomware, campanhas de phishing e ameaças internas. Agora, vamos dar uma olhada em alguns casos e as lições que podem ser aprendidas com eles.
Incidentes de Segurança SaaS e o Que Eles Podem Proporcionar
Vamos encarar: para muitos de nós, todas essas descobertas estatísticas são apenas um conjunto de símbolos e avisos de especialistas em segurança cibernética que podem se sentir alheios à nossa própria situação. Mesmo assim, gostemos ou não, vazamentos de dados e ciberataques são reais. Abaixo, destacamos três incidentes de cibersegurança que se concentram (ou pelo menos envolvem) aplicativos SaaS que você conhece e pode usar.
Vazamento de Dados Globais do Jira
Em agosto de 2019, um pesquisador de segurança descobriu que milhares de empresas, incluindo a NASA, vazaram involuntariamente alguns de seus dados online devido a uma única configuração errada no Jira.
Acontece que quando você cria painéis de controle e filtros no Jira, a plataforma permite que você escolha entre algumas configurações de permissão para quem pode ver estes detalhes. E é aí que começam os problemas. Alguns administradores assumem que “todos os usuários” ou “todos” significa “aberto a qualquer pessoa na empresa”, no entanto, na verdade, isso significa que eles são visíveis publicamente e indexados nos mecanismos de busca. Pior ainda, estas opções são as opções padrão.
Pesquisadores de ameaças da Varonis revelaram que até 3.774 painéis de controle, 244 projetos e 75.629 questões são acessíveis ao público, tendo a maioria desses ativos entrado acidentalmente na rede aberta. Nomes de projetos, avatares, proprietários, status e e-mails de usuários são os ativos de dados mais comuns que vazaram dessa forma. Usando estas informações, os atacantes podem criar campanhas de phishing, lançar ataques de injeção de senhas ou enchimento de credenciais, ou alvejar sistemas ainda mais sensíveis.
Ataque à Cadeia de Suprimentos da SolarWinds
No final de 2020, o fornecedor de segurança FireEye relatou um grande ataque cibernético contra a SolarWinds — um proeminente fornecedor americano de software de gerenciamento de infraestrutura de TI. De acordo com seu According to its CEO, Sudhakar Ramakrishna, os malfeitores invadiram a conta do Office 365 da empresa, obtiveram acesso às contas de funcionários da SolarWinds e as usaram para injetar código malicioso na atualização do software Orion do fornecedor, que foi então empurrado para cerca de 18.000 clientes. Curiosamente, nem os investigadores da SolarWinds nem a Microsoft detectaram qualquer vulnerabilidade no código do Office 365 que pudesse ser explorada pelos hackers. Ambos apontam para o roubo de credenciais, ao invés de uma vulnerabilidade.
O incidente ocorreu em 2019 e, segundo pesquisadores de ameaças, afetou mais de 100 corporações privadas americanas e nove redes de agências federais. Estas incluíam Microsoft, Cisco e Deloitte, assim como o Pentágono, o Departamento de Segurança Nacional e outros. Com base em um relatório da IronNet de 2021, as empresas afetadas perderam, em média, 11% de sua receita anual.
Milhares de Gravações de Reuniões no Zoom Disponíveis Online
Quando a pandemia chegou, o Zoom viu um aumento sem precedentes na popularidade, de 90 milhões de usuários diários em dezembro de 2019 para 200 milhões em março de 2020. Além do aumento no preço das ações da empresa, isto provocou uma onda de preocupações com a privacidade dos dados.
Por exemplo, em abril de 2020, pesquisadores descobriram milhares de gravações de reuniões privadas do Zoom na rede aberta, para que qualquer pessoa pudesse assisti-las e até mesmo baixá-las. Isso foi o resultado de uma violação enorme de dados? De modo algum. O truque é que o Zoom permite que os usuários salvem suas reuniões gravadas em seu local preferido sem uma senha. Isto é ainda mais exacerbado pelo fato de que você pode salvar a gravação com seu título padrão, que é o mesmo que o tópico da reunião online. Como resultado, se você salvar seu vídeo, digamos, em buckets da Amazon Web Services (AWS) S3, qualquer um pode encontrá-lo através de uma simples busca de armazenamento em nuvem.
Melhores Práticas de Segurança SaaS
Com base no Relatório da Pesquisa de Segurança SaaS 2021, 89% das empresas pesquisadas relataram que as configurações errôneas de SaaS eram uma das três principais ameaças à segurança cibernética. Os pesquisadores descobriram que esta era a principal fonte das questões de cibersegurança apresentadas no relatório.
Em outras palavras, não é que os aplicativos SaaS tenham falhas de segurança inerentes, mas a forma como usamos esses aplicativos é a principal causa dos contratempos de segurança de software como um serviço. Um artigo sobre segurança na nuvem afirma que, até 2025, 99% dos incidentes de segurança cibernética serão simplesmente culpa do cliente. Então, como você pode garantir a segurança de suas aplicações SaaS? Aqui está o que recomendamos.
Avalie Todos os Seus Riscos
Em cenários de nuvem em primeiro lugar, a maioria das aplicações (se não todas) são integradas em um único ecossistema. Dito isto, você deve auditar regularmente cada aplicação em termos de conformidade, restrições de acesso disponíveis, o nível de proteção contra tentativas de hacking, e assim por diante. Isto permitirá que você defina e avalie todos os riscos que cada aplicação representa para seu ambiente de nuvem.
Automatize o Máximo Possível
Não há como negar que monitorar continuamente uma série de aplicações de terceiros é uma tarefa assustadora — essa é uma das razões pelas quais muitas organizações não conseguem acompanhar todas as suas aplicações e detectar problemas a tempo. Para garantir que nada escape, recomendamos fortemente que você dê uma olhada mais de perto nas ferramentas de automação, tais como as soluções SaaS Security Posture Management (SSPM). Elas podem fazer este trabalho por você.
Evite Erros de Configuração
Muitos pesquisadores concordam que configurações incorretas — em particular a má gestão de acesso, sua variedade chave — representam um sério risco à segurança cibernética SaaS. Para mitigar isso, certifique-se de obter o máximo das configurações de segurança de cada aplicativo. Existe autenticação multifator? Ative-a. Sua aplicação permite vários níveis de permissões de acesso do usuário? Analise quem estará usando a ferramenta e configure as permissões de acordo.
Adote a Política de Acesso com Menor Grau de Privilégio
Minimize o número de usuários que podem acessar seus dados corporativos tanto quanto você puder. Siga a regra geral: se uma determinada restrição de acesso do usuário não afetar negativamente seu fluxo de trabalho, siga em frente. Isto ajudará a evitar incidentes similares aos que enfrentaram os usuários do Jira.
Implemente Padrões
As pessoas tendem a ser descuidadas com os dados corporativos. A DoControl descobriu que 20% de todos os ativos SaaS corporativos estão sendo compartilhados internamente com um link e 18% externamente, expondo os dados a usuários não autorizados. O desenvolvimento de padrões de uso de aplicações para orientar sua equipe ajudará a minimizar vazamentos de dados como estes.
Eduque Sua Equipe
Atitudes negligentes em relação aos ativos da empresa também podem ser decorrentes do fato de que alguns funcionários talvez não estejam treinados em como gerenciar os dados de forma responsável, ou não estejam cientes da necessidade de fazer isso. Um programa formal de conscientização de segurança com sessões regulares de treinamento irá corrigir isso. Isso também reduzirá o risco de ataques realizados com a ajuda de técnicas de engenharia social.
Evite o Excesso de Provisão
Os ambientes SaaS modernos são “superpovoados”. Pesquisas demonstram que mais da metade das aplicações dentro de um stack SaaS médio não tem sido usado em mais de seis meses. Ter tantas aplicações que podem conter dados sensíveis não é um risco razoável. Portanto, livre-se de aplicações em excesso sempre que elas forem detectadas.
Analise Cuidadosamente Cada Aplicação Antes de Incorporar Outra à Sua Stack
Quanto mais aplicações você tiver — mais riscos sérios de segurança cibernética você expõe seus dados. Dado isso, seja particular em cada uma das aplicações que você está planejando usar para seu negócio. As perguntas a seguir o ajudarão a filtrar os fornecedores não confiáveis:
- O design do sistema de controle de acesso permite a prevenção de problemas de segurança da rede?
- As configurações de acesso contêm vários níveis de restrições de acesso de usuários?
- Você precisa cumprir os regulamentos, como GDPR ou HIPPA (ou qualquer outro regulamento relevante ao seu caso)
- Você está pronto para realizar verificações externas de segurança cibernética?
- Você possui alguma certificação de segurança cibernética, como a ISO?
- Seus clientes podem controlar onde seus dados são armazenados?
- Onde vocês armazenam os dados da aplicação? É com um provedor de nuvem proeminente, como AWS, ou com um centro de dados privado?
- Você encripta os dados em transição e em descanso?
- Por quanto tempo você retém os dados em sua aplicação antes de apagá-los?
- Como você evita que os dados do usuário sejam perdidos em um desastre natural
Esta é a lista básica de verificação de segurança SaaS, e outras considerações podem ser necessárias para seu negócio em particular. Mas aí vem o próximo desafio. Por exemplo, você percebeu que sua plataforma atual de suporte ao cliente tem inúmeras vulnerabilidades de segurança e quer mudar para uma opção mais segura. Então, a pergunta é: existe uma maneira segura de migrar facilmente seus dados de uma plataforma para outra? Encontre a resposta abaixo.
Como a Migração do Help Desk Fica Livre de Riscos de Segurança Cibernética
Se você está procurando migrar seus dados de help desk com segurança, não há necessidade de procurar na Internet por um fornecedor confiável de migração de dados. Basta deixar nossa solução de migração automatizada de dados — Help Desk Migration — fazer o trabalho para você com segurança. Aqui estão alguns dos padrões de segurança SaaS que seguimos para proteger seus dados.
Medidas Técnicas
No Help Desk Migration, acreditamos firmemente que a segurança de uma aplicação em termos de seu design é puramente de responsabilidade do fornecedor. A migração de dados do help desk com nosso serviço é segura devido às seguintes medidas:
- Proteção de acesso dos funcionários. Todos os dispositivos que nossos funcionários usam para acessar nosso serviço são criptografados (de modo que nenhum observador é capaz de lê-lo), nenhum deles pode acessar nossas aplicações web sem autenticação de dois fatores. Além disso, os administradores da Plataforma Help Desk Migration, assim como os funcionários remotos, utilizam uma VPN. Além disso, somente engenheiros técnicos autorizados podem acessar o código fonte, implementar a Migração Personalizada e resolver problemas técnicos mediante solicitação da equipe de suporte.
- Política de retenção de dados. Removemos todos os dados de migração dez dias após a Migração de Demonstração e cinco dias após a Migração Total (podemos encurtar ou prolongar o período de retenção mediante seu pedido). E não armazenamos senhas de clientes.
- Proteção do ambiente de produção. Vamos acima e além para garantir que nossa equipe de desenvolvimento possa trabalhar em nosso serviço em um ambiente protegido. Isto inclui uma série de medidas, incluindo troca de chaves públicas/privadas em vez de senhas de acesso a servidores, autenticação de dois fatores para o painel de administração, configuração rigorosa de firewall, e assim por diante.
- Infraestrutura. Toda nossa infraestrutura está localizada na Alemanha e hospedada pela AWS. Instalamos e gerenciamos todos os silos de dados dentro desta infraestrutura, exceto as cópias de segurança armazenadas pela AWS S3. Além disso, somos muito particulares quanto à segurança física de nossos servidores e serviços.
Proteção de dados em trânsito e em repouso. Nossa rede privada é altamente segura com firewalls, proteções anti-DDoS, além avaliações regulares da postura da rede. A criptografia SSL protege os dados que fluem através da Internet. Também usamos criptografia de disco para proteger os dados estáticos, de modo que somente usuários autorizados podem lê-los.
Medidas Organizacionais
Embora nosso serviço seja seguro por design, tomamos uma variedade de medidas organizacionais para eliminar até mesmo a mínima chance de vazamento. Estas incluem:
- Confidencialidade. Antes de começarem, todos os nossos funcionários assinam uma cláusula especial no contrato de trabalho, que os obriga a não revelar nenhuma informação confidencial associada ao serviço do Help Desk Migration.
- Continuidade dos negócios.
- Nos comprometemos a fornecer nossos serviços por pelo menos seis meses.
Auditorias de segurança. Fazemos regularmente uma varredura de nossos sistemas em busca de vulnerabilidades e fazemos atualizações quando necessário. - Recuperação em caso de desastre. Tomamos todas as medidas necessárias para garantir que seus dados permaneçam intactos após um desastre natural.
- Segregação de funções (SoD). Para minimizar os riscos, aderimos às políticas de SoD. Isto significa que, em vez de dar a um único funcionário o controle total de um determinado processo, dispersamos esta função entre vários membros da equipe.
Recursos de Segurança
E, claro, nenhuma solução SaaS confiável é completa sem uma variedade de configurações de segurança, permitindo que os usuários se beneficiem de uma proteção completa. Quando se trata de Migração de Help Desk, estas incluem:
- Autenticação de dois fatores. Nosso procedimento de login não se limita à combinação tradicional de senha e e-mail. Recomendamos ativar a autenticação de dois fatores para aumentar a segurança.
- Monitoramento de acesso. No Migration Wizard — nossa ferramenta que lhe permite personalizar sua estrutura de dados — toda a atividade do usuário é armazenada. Você pode visualizar o endereço IP, os dados do dispositivo e o horário do login.
Também recomendamos que nossos usuários mudem suas senhas e restrinjam as permissões de acesso concedidas a nós para mover seus dados cinco dias após a migração. Se você acha que detectou uma vulnerabilidade, estamos sempre felizes em discuti-la.
Conformidade
Nos orgulhamos de nosso grande portfólio de complementos, que mantemos atualizados e aos quais muitas vezes acrescentamos. Por enquanto, aderimos à HIPAA, EU GDPR, ISO/IEC 27001:2013 e PCI DSS.
Esta é uma breve visão geral de como asseguramos a migração segura de dados. Se você estiver disposto a aprender mais sobre quais medidas tomamos para proteger seus dados, você pode dar uma olhada em nossa página de Política de Segurança, se familiarizar com nosso Acordo de Nível de Serviço ou nos pedir para preencher um questionário de segurança.