Все больше компаний переходят на SaaS, стремясь ускорить инновации, сделать свои процессы гибче и эффективнее. Но с новыми возможностями приходят и новые угрозы. Как показал отчет Cloud Security Alliance «2024 SaaS Security Survey Report», 55% организаций за последние два года столкнулись с инцидентами безопасности, связанными с SaaS. Эти цифры ярко подчеркивают, что за удобством SaaS кроются серьезные риски.
Что именно угрожает безопасности SaaS-решений и как бизнесу защитить себя в условиях растущих киберугроз? Мы обратились к экспертам, чтобы узнать, как компании могут выстроить надежную защиту и избежать типичных ловушек SaaS-среды.
Расширяющаяся зона уязвимостей SaaS
SaaS-решения стали двигателем современной компании: от управления клиентами до критических бизнес-приложений. Однако за ростом продуктивности скрывается и другая сторона — риски безопасности, которые растут с каждым днем. Чем больше ключевых процессов уходит в облако, тем чаще происходят утечки данных, атаки программ-вымогателей и инсайдерские угрозы. Бизнес, доверяя облаку свою операционную эффективность, должен быть готов к серьезным вызовам, чтобы не стать очередной жертвой кибератак.
«С точки зрения информационной безопасности, Software as a service (SaaS) объединяет в себе угрозы как для ПО, так и для облачных услуг. Среди наиболее актуальных угроз можно назвать вредоносные обновления ПО, включая злонамеренные действия производителя ПО ввиду политических или иных событий, в том числе, например, отключение ПО на территории России в рамках обновления. Еще одна угроза — потеря учетных данных пользователей и самих данных, хранящихся на платформе».
Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA
Так, за последние ~70 лет в мире ИТ угрозы кибербезопасности не сильно изменились. Все так же на кону три ключевых столпа: целостность данных (все на месте и корректно), доступность (информация всегда под рукой) и конфиденциальность (никаких посторонних). Но если раньше данные хранились локально на серверах компаний, то с переходом в SaaS-сервисы угрозы приобрели новый масштаб. «Важно понимать: on-premise тоже не был безопасным оазисом. Просто способы атак изменились, а сами риски — нет» — отмечает СЕО «Облакотека» Максим Захаренко.
«Например, в СМБ-компаниях практически отсутствует надежная система резервного копирования, подтверждением чему являются постоянные проблемы с шифровальщиками, тогда как у современных SaaS-сервисов система бэкапа является обязательной. При этом конфиденциальность данных базируется фактически только на формальном NDA, потому что специалисты SaaS-сервиса имеют доступ ко всем пользовательским данным и, мало того, зачастую используют их (в лучшем случае обезличивая) для, например, обучения нейронных сетей или другой аналитики — и не всегда честно об этом пишут».
Максим Захаренко, СЕО «Облакотека»
Обычно злоумышленники преследуют несколько ключевых целей при атаках на SaaS-решения. Основными из них являются кража персональных данных для последующего использования и проникновение в инфраструктуру компании для совершения различных противоправных действий – рассылка фишинговых сообщений и проведение DDoS-атак. Антон Молчанов, менеджер по развитию бизнеса облачных решений и сервисов компании Axoft, подчеркивает, что именно эти виды атак представляют наибольшую угрозу для компаний, использующих SaaS.
В свою очередь, Виктор Чащин, операционный директор «МУЛЬТИФАКТОР», предлагает разделять угрозы на 3 категории:
- атаки на среду поставки решения;
- атаки на саму платформу;
- атаки на конечного пользователя.
Эксперт уточняет: «К первым относятся атаки на сетевую инфраструктуру между пользователем и сервисом. Вторая же категория, к которой можно отнести проникновение в периметр сервиса злоумышленников, является наиболее проблематичной, потому что спектр возможных воздействий в данном случае очень широк. Третья категория отличает SaaS-решения от on-prem тем, что пользователь гораздо чаще работает в небезопасной среде, постоянно подключенной к глобальной сети, что опять же открывает больше возможностей для злоумышленников».
Помимо угроз, связанных с инфраструктурой и пользователями, особое внимание необходимо уделять внутренним уязвимостям в самих системах и их компонентах. Алексей Гришин, технический директор BPMSoft, подчеркивает важность защиты не только от внешних угроз, но и от уязвимостей внутри приложений и виртуальной инфраструктуры. Он отмечает, что одной из ключевых проблем безопасности является несанкционированный доступ, который может возникнуть из-за слабых паролей, отсутствия многофакторной аутентификации или использования устаревших методов защиты.
«Не менее опасны уязвимости в приложениях и компонентах виртуальной инфраструктуры, которые злоумышленники могут использовать для различных атак, таких как SQL-инъекции или XSS».
Алексей Гришин, технический директор BPMSoft
Алексей Любко, технический директор и архитектор платформы «Пряники», дополняет: «Кроме типовых технических и технологических угроз, связанных с обновлением версий программного обеспечения и с выявлением уязвимостей, одна из ключевых угроз сейчас – это отсутствие синхронизации процессов обеспечения информационной безопасности в SAAS-продуктах с процессами в отделах информационной безопасности клиентов. За счет этого размывается зона ответственности».
На фоне расширяющейся зоны уязвимостей SaaS компании должны осознать, что безопасность SaaS — совместная ответственность: поставщики предлагают свои средства защиты, но необходимо самостоятельно следить за тем, чтобы эти меры были настроены и работали.
Традиционные методы: обязательная практика для разработчиков SaaS, но не способ решения проблемы
Согласно отчету, который упоминался в самом начале, многие разработчики по-прежнему используют меры безопасности, которые охватывают лишь половину их сервисов. В результате появляются значительные пробелы в защите, и бизнес подвергается потенциальным угрозам.
«С технологической точки зрения уязвимости опасны не для конкретных пользователей, а для аудитории продукта в целом. В случае с SaaS-решениями клиенты никак не могут повлиять на безопасность продукта, поэтому выбирают, как правило, те сервисы, которые регулярно проводят аудиты безопасности и закрывают известные уязвимости».
Евгений Перов, директор по продукту в корпоративном мессенджере Compass
Несмотря на то, что традиционные методы обеспечения безопасности, например, CASB, сосредоточены на контроле доступа к SaaS-приложениям, они не могут обеспечить комплексную защиту всей экосистемы SaaS. Для этого Перов рекомендует защищать дата-центр в соответствии с международными стандартами.
«Существуют два документа, которые максимально подробно и толково объясняют, как защищать данные в SaaS-сервисах: это ГОСТ 57 580.1–2017 и стандарт PCI DSS. Они по пунктам расписывают все необходимые меры для надежной защиты информации (в стандартах речь идет о защите финансовых данных). И нужно понимать, что защита – это всегда не один-два метода, а целый комплекс как технических решений, так и организация процессов поддержания безопасности на надлежащем уровне».
Виктор Чащин, операционный директор «МУЛЬТИФАКТОР»
Алексей Гришин, технический директор BPMSoft, отмечает, что обязательной практикой для всех, кто работает с SaaS-решениями, стали регулярные тесты на проникновение: «Мы в BPMSoft понимаем, что динамика угроз меняется ежедневно, и поэтому уязвимости могут возникать даже в самых надежных системах. Регулярные пентесты позволяют выявить слабые места до того, как ими воспользуются злоумышленники. Исправление таких уязвимостей требует оперативных действий, и мы делаем всё возможное, чтобы наши системы оставались защищенными в режиме реального времени».
Гришин также подчеркивает, что важной составляющей устойчивости SaaS-платформ является защита от DDoS-атак с помощью таких решений, как Web Application Firewall (WAF), CDN и анти-DDoS-инструменты.
Андрей Алуев, principal software engineer Aparavi, считает, что нужно учитывать все риски.
«Есть статистика OWASP Top 25, где перечислены такие риски, как XSS (Cross-Site Scripting), SQL Injection, (Dependency Hell) и прочие. Есть и другие, например, топ-25 CWE».
Андрей Алуев, principal software engineer Aparavi
«Помимо учета этих рисков, необходимо внедрять инструменты для проверки безопасности программных решений, такие как SCA (Software Composition Analysis) и SAST (Static Application Security Testing). Важно применять подход shift-left, то есть внедрить безопасный подход на более ранних этапах разработки», — дополняет Алуев.
Напротив, Максим Захаренко, СЕО «Облакотека», считает, что основной акцент нужно делать на сотрудниках компании.
«Самым слабым звеном системы безопасности всегда является человек. Поэтому наиболее устойчивые системы безопасности — это прежде всего те, где отлажены процедуры обеспечения безопасности, протоколы и мониторинг их выполнения, и где с персоналом, имеющим доступ к пользовательским данным, проводятся тренинги».
Максим Захаренко, СЕО «Облакотека»
«А из технических средств желательно использовать комплексный эшелонированный подход: защита сети, в том числе от DDoS-атак, защита приложений (т. н. WAF, web access firewall), защита от утечек DLP, система резервирования, шифрование передачи данных и хранения каких-то данных, защита «конечных точек», системы контроля защищенности и весь остальной стек, хорошо известный специалистам по ИБ», — дополняет эксперт.
Крупные инциденты могут быть предотвращены с помощью эффективных средств мониторинга и усиленной защиты, а также инструментов для обнаружения и реагирования на угрозы, адаптированные под SaaS-приложения. Такой подход позволит выявлять признаки компрометации и пресекать атаки на ранних этапах.
«Среди задач SaaS-платформ я бы выделил строгий контроль доступа и аутентификации (например, с помощью внедрения правил доступа и использования многофакторной аутентификации — MFA и управления доступом через IAM). Эти методы гарантируют, что доступ имеют только те сотрудники, которым он действительно необходим, а списки пользователей актуализируются при каждом входе в систему. К распространенным методам защиты я отношу шифрование данных, постоянный мониторинг сети, безопасный API, регулярное тестирование на уязвимости».
Антон Молчанов, менеджер по развитию бизнеса облачных решений и сервисов компании Axoft
Как оставаться на шаг впереди киберугроз при использовании SaaS-решений
Как правило, клиенты SaaS-сервисов слабо влияют на технические возможности продукта в области ИБ и не могут подтянуть уровень защиты данных. Однако перед выбором SaaS-поставщика стоит провести тщательную оценку его безопасности, убедиться, что провайдер соблюдает принципы защиты данных. «Если в системе обрабатываются ПДн — запросите соответствующие документы для получения подтверждения на соответствие системы требованиям 152-ФЗ «О персональных данных»», — поясняет Алексей Гришин, технический директор BPMSoft.
Регулярное использование шифрования, создание резервных копий данных и их хранение в безопасном месте также является важной практикой, позволяющей восстановить информацию в случае утечки или атаки.
«В случае с SaaS основной метод защиты, доступный пользователю, — это резервное копирование своих данных, чтобы иметь возможность их восстановить в случае утраты. Но полноценно защитить не получится, так как процессы безопасного обновления ПО, его обслуживания и организация доступа к ПО пользователь контролировать не может».
Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA
Не стоит забывать и о том, что довольно часто SaaS-решения поставляются в комплексе, и, по мнению Антона Молчанова, менеджера по развитию бизнеса облачных решений и сервисов компании Axoft, это большой плюс.
«У заказчика есть возможность изменить состав решений, оптимизировать взаимодействие между различными системами безопасности. Это повышает общую безопасность и доверие к SaaS-платформам у заказчика».
Антон Молчанов, менеджер по развитию бизнеса облачных решений и сервисов компании Axoft
Для обеспечения безопасности при использовании облачных сервисов компании должны придерживаться ряда ключевых принципов. «Важно провести анализ и категоризацию собственных данных, чтобы определить, какие из них могут обрабатываться в облаке, а какие должны оставаться в локальной среде компании», — отмечает Андрей Поцелуев, архитектор решений по информационной безопасности компании «Тринити».
«Если компания использует несколько SaaS-решений, важно убедиться, что интеграции между ними безопасны и не создают дополнительных уязвимостей. Периодическая оценка рисков поможет выявить и проанализировать потенциальные угрозы, что позволит адаптировать стратегии безопасности к меняющимся условиям. Такой комплексный подход к безопасности данных в SaaS-решениях поможет компаниям минимизировать риски и оставаться на шаг впереди киберугроз».
Алексей Гришин, технический директор BPMSoft
В свою очередь, Алексей Любко, технический директор и архитектор платформы «Пряники», считает, если работать с стандартным набором библиотек или инструментария, то лучше использовать его и проводить регулярные проверки, нежели постоянно обновляться до последних версий, потому что в них могут быть привнесены различные серьезные измерения.
«Самое забавное, чтобы находиться впереди с точки зрения защиты цепочки поставок, необходимо находиться чуть-чуть позади самых свежих поставляемых версий программного обеспечения».
Алексей Любко, технический директор и архитектор платформы «Пряники»
Кроме того, стоит разработать и протестировать план реагирования на инциденты, который определяет действия при утечке данных или кибератаке, внедрив соответствующие политики, и отработать плейбуки — алгоритмы действий для анализа и реагирования на различные типы инцидентов.
«Обязательно должен быть план BCP/DRP в случае выхода из строя используемых облачных платформ. Нужно понимать, где резервная копия и как быстро запустить процессы вновь».
Максим Степченков, совладелец компании RuSIEM
Применяя более целостный подход к обеспечению безопасности SaaS, компании могут снизить риск утечки информации, повысить способность обнаруживать угрозы и реагировать на них в режиме реального времени и, в конечном счете, защитить свои цифровые экосистемы в будущем.
Безопасность SaaS-решения в условиях меняющихся технологий
С постоянным появлением новых угроз и изменением технологий компании сталкиваются с вызовами, требующими комплексного подхода к защите данных и инфраструктуры. В этом случае важно следить за этими новыми технологиями и применять их. «Например, сейчас во все средства защиты встраиваются умные сенсоры нарушения ИБ, созданные с использованием искусственного интеллекта», — отмечает Максим Захаренко, СЕО «Облакотека»
«Рекомендуется использовать фреймворки безопасности, такие как OWASP Top-10, которые помогают выявлять и устранять самые распространенные уязвимости. Также использовать программы для проверки ПО на уязвимости (Software Composition Analysis — SCA) и статический (SAST) и динамический (DAST). Кроме того, важно проведение тестов на проникновение (Penetration Testing) и регулярное ревью кода».
Андрей Алуев, principal software engineer Aparavi
Следует обращать внимание на использование актуальных фреймворков и технологий, применять инструменты, предотвращающие уязвимости при работе с базами данных (ORM), и осуществлять непрерывный код-ревью с целью своевременного обнаружения новых уязвимостей и внедрения соответствующих патчей.
«ИТ-продукты часто состоят из сотен компонентов и десятков библиотек, в каждой из них разработчикам важно своевременно «отлавливать« возможные уязвимости и эксплойты и обновлять их до актуальных версий».
Евгений Перов, директор по продукту в корпоративном мессенджере Compass
«Неотъемлемой частью процесса также является «shift-left» подход, который включает меры безопасности на этапах разработки. Это подразумевает проверку сторонних библиотек или «third-party management», чтобы убедиться, что используемые зависимости всегда обновлены до последних версий и содержат актуальные патчи», — дополняет Алуев.
Безопасность SaaS не ограничивается лишь техническими мерами — она включает в себя управление рисками, соблюдение норм и стандартов, а также обучение сотрудников. В этом контексте важно разработать стратегию, которая позволит эффективно реагировать на изменения и минимизировать потенциальные риски, сохраняя при этом высокую доступность и производительность услуг.
Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA, уверен, что обеспечение устойчивости и безопасности онлайн-сервиса является обязанностью его владельца: «Во-первых, он должен обеспечить меры необходимые для устойчивой работы сервиса при атаках формата DDoS, во-вторых, должны быть созданы системы безопасного обновления ПО, которое предоставляется как сервис. Кроме того, у провайдера должны быть реализовать системы контроля и управления доступом пользователей и администраторов, управления учётными данными, противодействия утечкам информации, сетевой и антивирусной защиты, резервного копирования. Также важно вести работу над информационной безопасностью в рамках корпоративной культуры компании».
«Постоянное развитие технологий требует от SaaS-платформ постоянного обновления и интеграции новых решений. Любое отставание не только в плане внедрения и обновления средств защиты информации, но и в других технологических сферах создает большое количество уязвимостей, которым невозможно противостоять устаревшими методами. Более того, современные технологии необходимо своевременно интегрировать, потому что именно это является залогом устойчивости перед лицом растущих нагрузок на платформы и так далее».
Шамиль Чич, эксперт Центра мониторинга и противодействия компьютерным атакам «Информзащита»
Компании, стремящиеся оставаться на шаг впереди в условиях активного роста угроз, должны рассматривать безопасность как стратегический приоритет. Интеграция технологий защиты, проактивное управление рисками и постоянное обучение сотрудников создадут фундамент для стабильной работы SaaS-платформ и укрепления доверия со стороны клиентов.