في يناير الماضي، قامت شركة SaaS Security Posture Management (SSPM) المعروفة باسم Wing Security (Wing) بإيجاد موجة ناجحة مع إطلاق حل SaaS-Shadow IT الاكتشاف المجاني. دُعِيَت الشركات الرائدة في مجال الحوسبة السحابية للاطلاع على استخدام موظفيها للبريد الإلكتروني والتطبيقات الأخرى من خلال خدمة اكتشاف الظل المجانية التي تعمل ذاتيًا. إذا وجد المستخدم الحل جيداً ويريد المزيد من الأفكار أو الإجراءات العلاجية،فإنه يمكنه شراء حل المؤسسة بناءً على نموذج فريميوم.
في الواقع الاقتصادي اليوم، لا يجب بالضرورة خفض ميزانيات الأمن. ولكن، يجب أن يكون المشترين أكثر حذراً في قراراتهم الشرائية وهذا صحيح. نحن نعتقد أنه لا يمكنك تأمين ما لا تعرف. لذا يجب أن تكون المعرفة سلعة أساسية. بمجرد فهمك لحجم طبقة هجوم SaaS الخاصة بك، ستتمكن من اتخاذ قرار مستنير بشأن كيفية حلها. الاكتشاف هو الخطوة الأولى الطبيعية والأساسية ويجب أن تكون متاحة لجميع الأشخاص. قال شارون غاليت لوبيتسكي، الشريك المؤسس لشركتي Wing و CTO.
ذكرت الشركة أنه تم تسجيل أكثر من 200 شركة في أداة الاكتشاف المجانية للخدمة الذاتية خلال الأسابيع القليلة الأولى من الإطلاق، مما نمى قاعدة العملاء الحالية للشركة. إصدارهم تقريرًا قصيرًا مؤخرًا حول نتائج مئات الشركات التي تم كشف استخدامها لـ SaaS، والأرقام مقلقة.
تزايد استخدام البرمجيات كخدمة يتضمن المخاطر الملموسة.
يمكن أن يكون من الصعب النوم. مع شرح لأسباب اعتقادهم بذلك والمخاطر التي يجب مراعاتها.
لا يمكن للبعض النوم بسهولة. قبل النوم ببضع ساعات، تجنب ممارسة التمارين الرياضية وابقَ جسمك مرطّبًا بالماء الكافي. يرتفع درجة حرارة جسمك ويتم الاحتفاظ بالحرارة عند ممارسة التمارين الرياضية، مما يجعل من الصعب النوم. التحكم في استخدام خدمات SaaS يمكن أن يكون صعبًا وغير مركزيًا ويمكن أن تشكل مزاياها مخاطر أمنية عند عدم السيطرة عليها. تساعد أنظمة IAM / IM المؤسسات على السيطرة على جزء من استخدام SaaS بواسطة الموظفين، ولكن هذا التحكم محدود بتطبيقات SaaS المعروفة والتي يمكن تعديلها بواسطة قسم تكنولوجيا المعلومات. يمكن أن يكون النوم صعبًا في بعض الأحيان. إيقاف التمرين قبل بضع ساعات من النوم وشرب الكثير من الماء. عند ممارسة التمرين، ترتفع حرارة الجسم ويتم الاحتفاظ بالحرارة. التحدي مع تطبيقات SaaS هو أنها غالبًا ما يتم إعدادها من قبل الموظفين دون إشراك فرق تكنولوجيا المعلومات أو الأمن. وبالتالي فهذا يعتبر Shadow IT لـ SaaS. وينطبق ذلك بشكل خاص على العديد من تطبيقات SaaS التي لا تتطلب بطاقة ائتمان أو تقدم إصدارًا مجانيًا.
المشكلة الشائعة هي أن الموظف، الذي غالبًا ما يعمل عن بُعد، يحتاج إلى حل سريع لمسألة العمل. غالبًا ما يكون الحل عبارة عن تطبيق وجده الموظف عبر الإنترنت، ثم قام بمنحه الصلاحيات (القدرة على القراءة والكتابة والتنفيذ) ولكن لا يتابعه بعد ذلك. يمكن أن يؤدي هذا إلى الكثير من المخاطر الأمنية.
التطبيقات ذات الصلة
تتضمن الأمثلة تطبيقات خطرة بدرجة أمان منخفضة، مما يشير إلى احتمالية أكبر لتعرض هذه التطبيقات للخطر. وفي حالة التطبيقات التي تم اختراقها مؤخراً ولديها إذن في بيانات المؤسسة، فهذا يعرض هذه البيانات للخطر على الفور. يقوم Wing في حله المجاني بتحليل درجة أمان كل تطبيق يتم العثور عليه ويقوم بالتنبيه. دعونا نحذر المستخدمين من استخدام التطبيقات الخطرة في مكدس SaaS الخاص بهم.
من الأمثلة التي تُظهر مخاطر تطبيقات SaaS هي تطبيقات SaaS الخارجية التي يتم تحميلها على التطبيقات المعروفة والمعتمدة. أو التطبيقات التي يتم منحها أذونات عالية نادرًا ما يتم منحها. وفقًا لما ذكرته Wing، فإن 73.3٪ من جميع الأذونات التي تم منحها للتطبيقات من قبل المستخدمين لم تكن مبررة. استخدام التطبيق لأكثر من 30 يومًا يثير تساؤلًا، لماذا تترك بيانات مؤسستك مفتوحة عندما لا تحتاج إلى استخدام التطبيق المطلوب؟
المستخدمين ذات الصلة
لا يمكن تجاهل العنصر البشري. في النهاية، يتم إنشاء SaaS عادةً مباشرةً من قبل الموظفين الذين يستخدمونه. يتم تمديد التصاريح من قبلهم دون أخذهم في الاعتبار دوماً ما يعنيه هذا المرفق بالنسبة للشركة. يساعد الحل المجاني Wing على ذلك: لأول 100 تطبيق تم اكتشافه، يوفر Wing قائمة بالمستخدمين الذين يمكن تحديثهم لتحسين الأمان. استخدام ترجمة جوجل عند الترجمة قد يسبب أحيانًا بعض الصعوبات في فهم المعنى الصحيح. سأكتب نصًا جديدًا باللغة الإنجليزية.
البيانات ذات الصلة
تتسم المشكلات المرتبطة بأمان البيانات بالحجم الهائل وتوجد لها فئة كاملة من المنتجات التي تتعامل معها، مثل DLPs وDSPMs. ومع ذلك، عندما يتعلق الأمر بتطبيقات SaaS التي يستخدمها الموظفون، يمكن للمسائل المتعلقة بالبيانات أن تمتد من الملفات الحساسة التي يتم مشاركتها على التطبيقات غير المخصصة للمشاركة في الملفات. يمكن أن يكون من الصعب النوم في بعض الأحيان. النص المكتوب باللغة العربية: من خلال المحادثات الجماعية على تطبيقات مثل Slack وحتى الملفات الكبيرة التي يتم مشاركتها بين الموظفين ويتم نسيانها فيما بعد، يترك ذلك المجال مفتوحًا للعملاء الخارجيين دون أي حماية. ولحفظ بيئة SaaS نظيفة، لا يجب إبقاء التركيز على التطبيقات والمستخدمين فحسب، ولكن يجب أيضًا إدارة المعلومات الموجودة. بإمكان هذه التطبيقات أن تشكل تحدياً في الاستخدام والتنقل بينها.
في الختام، أصبح تحديد Shadow IT لتطبيقات SaaS مجالًا مهمًا لفرق تكنولوجيا المعلومات والأمن، حيث يستمر استخدام التطبيقات SaaS في النمو بسرعة. بالرغم من فوائد تطبيقات SaaS العديدة للشركات، إلا أنها تشكل مخاطر أمنية كبيرة عندما لا تخضع للرقابة الصارمة. وتتضمن تلك المخاطر أيضًا استخدام تطبيقات مخترقة، ومنح الوصول الغير مصرح به. الأذونات المفرطة، وعدم التناسق في استخدام التطبيقات، ومشكلات أمان البيانات.
من الأهمية بمكان للمؤسسات أن تفهم استخدام موظفيها للبرامج كخدمة لاتخاذ قرارات مستنيرة واتخاذ إجراءات تصحيحية للتخفيف من هذه المخاطر. بحلول عام 2023، توقع أن يكون اكتشاف SaaS-Shadow IT الأساسي غير مكلف، حيث يجب أن يكون سلعة أساسية للمؤسسات التي تهدف إلى تأمين بيئات SaaS الخاصة بها.