La adopción de software como servicio (SaaS) sigue creciendo cada año. Una encuesta estima que el 99 % de todas las organizaciones ya están utilizando una o más aplicaciones SaaS. Desafortunadamente, una mayor adopción también aumenta el riesgo de ataques cibernéticos.
En este artículo, aprenderá sobre el monitoreo de aplicaciones SaaS desde una perspectiva de ciberseguridad. Verá por qué es esencial para cada cliente de SaaS, las capacidades que diferencian una buena solución de monitoreo y un estudio de caso que involucra a Salesforce.
Una descripción general de la supervisión de aplicaciones SaaS para la ciberseguridad
Antes de que SaaS se hiciera popular, el proceso de obtención de software estaba centralizado y requería mucho tiempo. Los departamentos los solicitaron a través de la tecnología de información de su organización. Una vez adquirido, el software se implementó en los centros de datos locales.
El ecosistema SaaS interrumpió este proceso al descentralizar las compras de software. Los planes de precios de SaaS permitieron a los equipos gastar de sus presupuestos discrecionales. Para 2021, las organizaciones se estaban suscribiendo a tantos como 110 servicios SaaS en promedio.
Si bien SaaS beneficia la productividad, complica la ciberseguridad. A diferencia del software local, las responsabilidades de ciberseguridad no recaen únicamente en el cliente. En cambio, el modelo de responsabilidad compartida de SaaS requiere que tanto el cliente como el proveedor implementen diferentes aspectos de ciberseguridad para el mismo sistema de software.
El monitoreo de aplicaciones SaaS es una parte esencial de esta responsabilidad del cliente. En lugar de implementarlo por su cuenta, lo subcontratan a un servicio de monitoreo de aplicaciones SaaS.
Nos centraremos en los aspectos de ciberseguridad del monitoreo en lugar del monitoreo del rendimiento de las aplicaciones (APM) y le mostraremos por qué el monitoreo es esencial.
Por qué la supervisión de aplicaciones SaaS es clave para la seguridad
Las organizaciones que no configuran un monitoreo de seguridad de su uso de SaaS pueden enfrentar algunas consecuencias comerciales y financieras graves:
Amenazas a la seguridad de sus datos
Los datos que almacena en un SaaS enfrentan una amplia gama de amenazas como:
- Violaciones de datos
- Robo de datos
- Ataques a la cadena de suministro (donde se atacan las dependencias para acceder a sus datos)
- Modificaciones maliciosas a datos críticos para el negocio
Pueden provenir de piratas informáticos externos, personas internas maliciosas o amenazas persistentes avanzadas, como agencias de inteligencia hostiles. Para prevenir este tipo de ataques, o al menos detectarlos, necesita la supervisión de aplicaciones SaaS.
Pérdidas financieras por ciberataques
Después de un ciberataque, su organización puede sufrir pérdidas financieras debido a pagos de rescate, pérdida de ingresos durante interrupciones, pagos de rescate, costos de recuperación o acciones legales. En promedio, un ataque de ransomware puede costar 1,85 millones de dólares mientras que una violación de datos puede incurrir $3,61–$4,80 millones. Unas buenas herramientas de seguimiento SaaS pueden evitar estas pérdidas.
Sanciones regulatorias
Industrias como la atención médica y los servicios financieros esperan el cumplimiento de regulaciones como la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) o el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).
Otras regulaciones, como la Ley de Privacidad del Consumidor de California (CCPA), se aplican a casi todas las organizaciones que almacenan datos sobre personas.
Todas estas regulaciones esperan que las organizaciones sigan ciertas prácticas de ciberseguridad, incluida la garantía de la seguridad de los servicios SaaS que utilizan. El incumplimiento de sus normas puede acarrear multas. Por lo tanto, una solución de monitoreo de aplicaciones SaaS capaz es clave para garantizar el cumplimiento y evitar sanciones.
Riesgos para sus clientes
Es posible que sus cuentas, credenciales o datos de SaaS se utilicen indebidamente para lanzar ataques cibernéticos a sus clientes. Estos se denominan ataques a la cadena de suministro y pueden provocar la pérdida de un cliente importante, la pérdida de ingresos, la posibilidad de emprender acciones legales, el incumplimiento de acuerdos de nivel de servicio (SLA) o el daño a su reputación. La monitorización de SaaS puede reducir dichos riesgos.
Daño reputacional
El daño reputacional es una consecuencia inevitable de todos estos riesgos. Sus efectos no son fáciles de cuantificar, pero pueden incluir la pérdida de clientes o acuerdos de adquisición. Al utilizar una buena solución de monitoreo SaaS, puede reducir los riesgos de dichos daños.
Proteja su SaaS hoy: no espere a que un ciberataque ponga en peligro su negocio. Garantice una ciberseguridad sólida con Monitoreo SaaS en tiempo real.
Cómo el monitoreo de aplicaciones SaaS fortalece su ciberseguridad
Cómo puede exactamente un buen servicio de monitoreo de aplicaciones SaaS mejorar la ciberseguridad de su organización? Veamos las características clave necesarias para esto:
Conocimiento sobre conceptos de SaaS
Las vulnerabilidades de seguridad pueden acechar en las funciones más simples. El conocimiento profundo y la atención a los pequeños detalles pueden proteger su organización.
Por lo tanto, la característica clave de un excelente servicio de monitoreo de SaaS es un conocimiento profundo sobre el dominio, los conceptos y las relaciones del SaaS que está monitoreando. Por ejemplo:
- Para proteger el uso de GitHub de forma eficaz, debe conocer los repositorios y los flujos de trabajo de Git.
- Para monitorear correctamente la seguridad de Salesforce, se deben comprender los matices de los registros, objetos y campos.
Monitoreo continuo de eventos de seguridad de SaaS
Registros de seguridad registrar eventos importantes relacionados con acciones de usuarios de SaaS y aplicaciones cliente. Por ejemplo, registran:
- Eventos de autenticación, como un empleado que inicia sesión mediante autenticación de dos factores
- Acciones del administrador, como elevar los permisos de un usuario.
- Acciones del usuario, como compartir un archivo con un tercero
- Acciones de la aplicación cliente, como la autenticación mediante un token de acceso OAuth (OAuth es un protocolo de autenticación diseñado para SaaS).
- Llamadas a la interfaz de programación de aplicaciones (API) al SaaS desde aplicaciones cliente
La mayoría de los proveedores de servicios publican estos eventos de seguridad a través de URL de API. Un buen servicio de seguridad SaaS:
- Recupera continuamente los últimos eventos consultando las URL
- Es consciente de los indicadores característicos de compromiso (IoC) para diversas vulnerabilidades y amenazas que se sabe que apuntan a un SaaS en particular.
- Analiza largas secuencias de eventos en busca de esos IoC
- Envía notificaciones al equipo de seguridad inmediatamente.
Monitoreo continuo de configuraciones SaaS
Algunos SaaS están tan repletos de funciones y son tan personalizables que el usuario promedio no puede realizar un seguimiento, ni siquiera conocer, todas las configuraciones que pueden hacerlo vulnerable. La mala configuración de un SaaS es una de las principales razones de los ciberataques. Para empeorar las cosas, algunos SaaS utilizar configuraciones predeterminadas inseguras.
Además, el empleado promedio no entiende ni se preocupa mucho por la ciberseguridad. Solo quieren que SaaS simplifique sus tareas para poder realizar su trabajo. No deberían tener que lidiar también con responsabilidades de ciberseguridad.
Es por eso que el monitoreo de seguridad automatizado es útil para mantener su ciberseguridad. Un buen servicio de monitoreo de SaaS monitorea continuamente la configuración de SaaS de la siguiente manera:
- Lee la configuración completa periódicamente
- Lo compara con la configuración anterior o una configuración segura conocida.
- Determina los cambios que se realizaron.
- Infiere posibles vulnerabilidades y riesgos en función de los cambios.
Manejo 24x7 de vulnerabilidades de SaaS
Los profesionales de la seguridad de todo el mundo buscan constantemente vulnerabilidades y pruebas de que han sido explotadas. Las vulnerabilidades detectadas se comparten con equipos de seguridad de todo el mundo a través de bases de datos globales. En respuesta, se espera que los equipos de seguridad tomen medidas de detección y mitigación en sus respectivas organizaciones.
Pero no todos los equipos de seguridad pueden estar en condiciones de hacerlo debido a limitaciones de tiempo y recursos. Un mejor enfoque es que los especialistas en seguridad de SaaS los implementen correctamente y los compartan con todos los demás equipos de seguridad en una condición lista para usar.
Un servicio de monitoreo de aplicaciones SaaS hace exactamente eso: se enfoca únicamente en las vulnerabilidades de SaaS, diseña rápidamente estrategias de mitigación correctas y ofrece las soluciones a sus suscriptores. Como resultado, los tiempos de respuesta son drásticamente más bajos.
Prevención de ataques comunes
La mayoría de los ciberataques a sus datos SaaS se inician a través de vectores de ataque comunes como:
- Contraseñas débiles
- Credenciales de autenticación robadas
- Falta de autenticación de dos y múltiples factores
- Almacenamiento de credenciales inseguro
- Permisos de acceso incorrectos
- Compartir enlaces internos externamente
- Malware en archivos adjuntos de correo electrónico
- Suplantación de identidad
- Secuestro de datos
- Faltan actualizaciones para componentes y bibliotecas del sistema
Una buena solución de monitoreo SaaS tiene pasos integrados de detección y mitigación para todas estas amenazas de seguridad comunes.
Hallazgos procesables
Basado en su monitoreo de registros, configuraciones y vulnerabilidades, un buen servicio de monitoreo SaaS proporcionaprocesable información valiosa para los equipos de seguridad de sus clientes. Dadas las limitaciones de recursos y tiempo de la mayoría de los equipos de seguridad, las recomendaciones deben ser simples y prácticas.
Corrección y flujos de trabajo automatizados
Un excelente servicio de monitoreo SaaS va un paso más allá al aplicar automáticamente medidas correctivas para resolver las vulnerabilidades de manera confiable y reversible sin causar interrupciones operativas. También admite personalización flujos de trabajo de seguridad para notificar a los equipos de TI y otros departamentos sobre cualquier acción adicional que deban tomar.
Estudio de caso: Flujo de Salesforce
Entendamos todo esto mejor a través de un estudio de caso. Una de las muchas herramientas de gestión de clientes de la suite Salesforce es Flujo de Salesforce, un componente de automatización de procesos que viene con una herramienta de edición visual de bajo código, de apuntar y hacer clic.
Permite a los empleados de ventas y marketing hacer cosas como crear una encuesta para clientes, almacenar los datos de la encuesta en una base de datos y configurar paneles para la visualización de datos.
La sencilla experiencia de usuario de Salesforce, dirigida a empleados no técnicos, puede hacer que los usuarios piensen que la seguridad no es una preocupación. Pero en realidad tiene aspectos de seguridad complejos. Los datos valiosos de los clientes pueden perderse fácilmente a manos de actores malintencionados si una empresa y sus empleados no están atentos.
Este estudio de caso le ayuda a comprender por qué la monitorización SaaS automatizada y fiable es una estrategia de ciberseguridad mucho más eficaz.
1. Gestión de la gestión de acceso complicada en Salesforce Flow
La gestión del acceso es importante porque los flujos pueden potencialmente leer o modificar información crítica del cliente. Lo ideal es que la gestión de acceso sea intuitiva y proporcione una buena experiencia de usuario.
Desafortunadamente, en Salesforce Flow, la interacción de múltiples configuraciones que determinan quién puede acceder a un flujo y a qué datos puede acceder no es nada simple. Considere algunas de estas reglas de acceso:
- Un flujo se ejecuta en un contexto de usuario. Pero también hay que considerar un contexto del sistema y combinaciones de contexto e intercambio.
- El permiso para ejecutar un flujo normalmente se otorga de forma granular a través del perfil y los conjuntos de permisos de un usuario.
- Algunas configuraciones, como "administrar flujos" y "ejecutar flujos", anulan efectivamente ese control de acceso.
- Cuando hay cientos de flujos que administrar, un administrador ocupado puede verse tentado a tomar el camino más fácil y asignar tareas como “administrar flujos” a todos los usuarios en lugar de realizar asignaciones granulares. Estos patrones psicológicos son comunes en el mundo real y podrían dar lugar a infracciones por parte de personas internas malintencionadas.
- Como si estas cuatro configuraciones no fueran lo suficientemente complicadas, hay que considerar licencias de usuario de flujo, permisos de grupo de usuarios, configuraciones de uso compartido en toda la organización, control de acceso a nivel de objeto y controles de acceso a nivel de campo.
Es completamente irreal esperar que los usuarios finales revisen este complejo conjunto de reglas de acceso y elaboren manualmente una combinación de configuraciones seguras que permitan a un empleado trabajar de manera productiva.
Un servicio de monitoreo SaaS puede administrar fácilmente reglas de acceso complejas como estas. Si es necesaria una configuración riesgosa, sus funciones de flujo de trabajo automatizado garantizan que el permiso se revoque automáticamente.
2. Detección de configuraciones riesgosas en Salesforce Flow
Ciertas configuraciones de acceso, como "administrar flujos" y "ejecutar flujos", pueden actuar como claves del castillo, anulando todos los permisos granulares y permitiendo a los usuarios menos privilegiados acceder a datos comerciales confidenciales.
Un buen servicio de monitoreo de SaaS tendrá un conocimiento profundo de los matices específicos de SaaS y estará atento a configuraciones tan peligrosas.
3. Monitoreo de eventos de seguridad para Salesforce
Salesforce publica un amplio conjunto de eventos de seguridad como:
- Cambios en los conjuntos de permisos
- Iniciar sesión eventos con ubicaciones
- Eventos de acceso a datos con marcas de tiempo
- Acciones del administrador
- Intenta utilizar una gran cantidad de credenciales en un período corto
Un servicio de monitoreo SaaS observa continuamente este flujo de eventos para detectar cualquier indicador de ciberataques pasados o en curso.
4. Monitoreo de configuración para Salesforce
Salesforce proporciona una configurar pista de auditoría que rastrea ampliamente incluso los pequeños cambios en su configuración. Estos cambios incluyen:
- Configuraciones de seguridad
- Cambios de perfil
- Configuración de gestión de datos
- Configuración de flujo
- Personalizaciones
- Cambios en la administración de la aplicación
- Colección de métricas
Algunos de estos cambios pueden afectar directamente su postura de seguridad. O bien, una secuencia particular de cambios puede indicar un intento o un ciberataque exitoso. Todas estas posibilidades son detectadas por un servicio de seguimiento de aplicaciones SaaS.
Monitoreo de aplicaciones SaaS de ThreatKey
La supervisión capaz de aplicaciones SaaS es esencial para ayudar a las empresas a gestionar las complejas implicaciones de seguridad de su uso de SaaS y evitar ciberataques.
ThreatKey ofrece acceso continuo, monitoreo SaaS en tiempo real, en busca de configuraciones erróneas, vulnerabilidades y evidencia de ataques cibernéticos en su uso de SaaS. Nuestro profundo conocimiento de la seguridad SaaS nos permite integrar con aplicaciones SaaS como Salesforce, Google Workspace, Microsoft 365, Slack, Box, GitHub, Okta y más. Intentar ThreatKey gratis hoy.
.svg){kind=small}
