مقبول على نطاق واسع البرمجيات كخدمة يحتوي نموذج التسليم (SAAS) على عيوب مهمة و “تمكين المهاجمين السيبرانيين بهدوء” ، حيث يقدم نقاط الضعف واسعة النطاق التي يمكن أن تقوض النظام الاقتصادي العالمي ، وفقًا لما ذكره رئيس أمن المعلومات المالي (CISO).
في رسالة مفتوحة لموردي الطرف الثالث، انتقد JPMorgan Chase Ciso Patrick Opet هذا الأسبوع شركات البرمجيات لجعل SaaS الافتراضي ، وغالبًا ما يكون التنسيق الوحيد الذي يمكن الآن تسليم البرامج ، محاصرة العملاء للاعتماد على مقدمي الخدمات وتركيز المخاطر على هذه المؤسسات.
وقال إنه على الرغم من أن هذا النموذج يمكن أن يكون فعالًا ومبتكرًا ، إلا أنه من الواضح الآن أنه “يضخم تأثير أي ضعف … إنشاء نقاط واحدة من الفشل مع عواقب وخيمة على مستوى النظام”.
“في JPMorganChase ، شاهدنا علامات التحذير بشكل مباشر. على مدار السنوات الثلاث الماضية ، شهدت مزودونا الثالث عدد من الحوادث داخل بيئاتهم. هذه الحوادث عبرنا الموردين كتب OPET: “طلب منا أن نتصرف بسرعة وحسم ، بما في ذلك عزل مقدمي بعض مقدمي الخدمات وتكريس موارد جوهرية لتخفيف التهديد”.
على الرغم من أنه لم يوجه إصبعه إلى الموردين المشاركين في أي من حوادث سلسلة التوريد العديدة التي حدثت في السنوات القليلة الماضية ، فقد أعربت عن أسفها إلى أن المشكلة تبدو سوءًا بدلاً من أفضل ، مع فشل موردي البرمجيات على أنظمة العميل المتعددة دون ملاءمة أو لتوصيلات الاضطراب ، مثل الحصول على ملاءمة الضعف الرباعية. في أنظمتهم.
وأضاف أن الأتمتة والذكاء الاصطناعي (AI) تضاعف هذه المشكلات. التغييرات في التكتيكات بين ممثلي التهديد الصينيالذين يفضلون بشكل متزايد استهداف المنظمات مع وصول عميق إلى قواعد العملاء.
خطة من ثلاث خطوات
في أخطائه ، حدد OPET ثلاث خطوات أساسية يجب أن يتخذها مقدمو SaaS لمعالجة هذه المشكلات قبل أن يصبحوا لا يمكن التغلب عليهم.
ودعا الصناعة إلى إعطاء الأولوية للسيبر خلال مرحلة التصميم ، أو بناء أو تمكين ميزات الأمان بشكل افتراضي ؛ تحديث البنية الأمنية لتحسين تكامل SaaS بطريقة تخفف من المخاطر ؛ والتعاون بشكل أفضل لوقف إساءة استخدام الممثل للتهديد للأنظمة المتصلة.
مارك تاونسيند ، المؤسس المشارك وكبير موظفي التكنولوجيا في أكيليتكس، إن شركة ناشئة متخصصة في مجال التسويق والإحالات التقنية ، قالت إن خطاب OPET تحدث إلى إحباط أوسع بين العملاء بأن الموردين لا يفعلون ما يكفي لضمان أمان منتجاتهم وخدماتهم.
وقال تاونسيند: “لقد أدى الاندفاع إلى البقاء في المقدمة إلى العديد من القضايا على مر السنين. يجب تحقيق التوازن وإظهاره في السوق”.
“عند شراء SaaS ، تشتري نظامًا ينشره بائع يثق به في بياناتك. سيقدم الكثيرون سنويًا اختبار القلم قم بالإبلاغ وإظهار التوافق مع SOC2 والمعايير الأخرى ، ولكن كما يشير المؤلف ، يحدث الكثير في هذه التطبيقات ، والبنية التحتية التي تمكنهم ، على مدار عام.
“إن أمان هذه الأنظمة غير شفاف إلى حد ما ويتطلب شفافية أكبر قليلاً بين البائع والمستهلك فيما يتعلق بكيفية تأمين البيانات”.
وأضاف Townsend: “لا يمكن أن تكون ملجماً للغاية دون إعطاء البائعين سهلاً. إنه يلهم المحادثات البناءة التي أعتقد أنها ضرورية ومهمة.”
Reversec وقال دوناتو كابيتيلا ونيك جونز ، المستشار الرئيسي ورئيس البحوث على التوالي ، إن شركة OPET سلطت الضوء بحق على التحديات الحرجة التي تواجهها الصناعة فيما يتعلق بتبني SaaS ، لا سيما تركيز المخاطر في عدد قليل من مقدمي الخدمات الكبار وتقليل الرؤية التي تجعل الكشف عن الحوادث الاستباقية أكثر صعوبة للعملاء.
“على المستوى العملي ، هناك مجالان مشتركان للغاية حيث تفشل تطبيقات SAAS في توفير الأمان الكافي. الأول هو وضع وظائف تسجيل الدخول الفردي وراء تكلفة إضافية أو خطط أسعار” المؤسسة “، مما يجبر المستخدمين على تقديم مفاضلة بين أمان الهوية الكافي والتكلفة”.
“والثاني هو تسجيل تدقيق شامل ، عالي الدقة ، والذي غالبًا ما يتم وضعه وراء خطط باهظة الثمن أو الوظائف الإضافية ، إن وجدت على الإطلاق. تعيق هذه القيود قدرة المنظمة على منعها واكتشافها والرد على الهجمات ضد عقار SaaS.”
وأضاف Capitella و Jones: “نأمل أن يرى بائعو SaaS هذه الرسالة المفتوحة كدعوة للأسلحة والعمل على توفير تجربة صلبة وآمنة لمستهلكيهم.”
