Riscos de terceiros tornam-se uma preocupação de segurança maior

As equipas de cibersegurança há muito perceberam que as aplicações de software como serviço (SaaS), especificamente e os serviços de TI em geral, representam um alvo tentador, dado a quantidade de dados que é agregada num ambiente de computação em nuvem. Um ataque de ransomware contra a CDK Global, um fornecedor de aplicações empresariais disponibilizadas via cloud a quase 15.000 concessionários de automóveis, é uma prova positiva. A empresa, após um ataque de ransomware, não tem conseguido fornecer acesso à maioria das suas aplicações, enquanto continua a negociar com um grupo de cibercriminosos não identificado.

Ironicamente, esse ataque ocorreu cerca de uma semana após o término do prazo para cumprir a Regra de Salvaguardas da Federal Trade Commission (FTC) que exige que as concessionárias de automóveis dos EUA cumpram as salvaguardas de segurança de dados alteradas pela agência federal para proteger as informações pessoais dos clientes.

As aplicações SaaS são, naturalmente, apenas um tipo de serviço de terceiros do qual as organizações dependem. A segurança dos serviços de TI geridos, em especial, tem sido uma preocupação crescente. Uma recente análise de violações de cibersegurança publicada pela SecurityScorecard, um fornecedor de plataformas para avaliação de riscos de cibersegurança, revela que 29% envolveram algum tipo de vetor de ataque de terceiros. No geral, 75% das violações que envolveram um serviço de terceiros puderam ser rastreadas até algum elemento da cadeia de fornecimento de TI, observou o relatório.

Felizmente, o estado geral da segurança das aplicações SaaS parece estar a melhorar. Além dos investimentos feitos pelos fornecedores dessas aplicações, as organizações que dependem dessas aplicações têm prestado mais atenção à melhor forma de as proteger. Um recente inquérito a 478 profissionais de TI e segurança conduzido pela Cloud Security Alliance (CSA) revela que 57% dos inquiridos trabalham para uma organização que tem uma equipa de segurança SaaS com pelo menos dois funcionários a tempo inteiro dedicados. Outros 13% têm um funcionário a tempo inteiro dedicado.

Encomendado pela Adaptive Shield, um fornecedor de uma plataforma de gestão de postura de segurança de aplicações SaaS, o inquérito também revela que 39% dos inquiridos relatam que as suas organizações aumentaram os orçamentos de cibersegurança SaaS em comparação com o ano passado.

No geral, um quarto (25%) dos inquiridos afirmou que a sua organização experienciou um incidente de segurança em SaaS nos últimos dois anos, em comparação com 53% no ano passado. Os incidentes de segurança mais comuns relatados foram as violações de dados (52%) e fugas de dados (50%), seguidos pelo acesso não autorizado (44%) e aplicações maliciosas (38%).

Setenta por cento dos inquiridos acrescentaram que agora têm visibilidade moderada a total das suas aplicações SaaS. No entanto, persistem desafios, nomeadamente a obtenção de visibilidade nas aplicações críticas para o negócio (73%); o rastreio e monitorização de riscos de segurança de aplicações conectadas de terceiros (65%); a localização e correção de configurações erradas de SaaS (65%); a garantia da governação e privacidade dos dados (63%); e o alinhamento das configurações das aplicações SaaS com os padrões de conformidade (61%), todos identificados como questões em curso.

Como os profissionais de cibersegurança bem sabem, o nível de risco que qualquer organização incorre aumenta exponencialmente cada vez que outro serviço expande o tamanho geral da superfície de ataque que precisa ser defendida. Muitos desses serviços foram adicionados no auge da pandemia de COVID-19 por líderes empresariais que não se preocupavam muito com a segurança de qualquer aplicação ou serviço na nuvem, desde que permitisse que as suas equipas continuassem a trabalhar. Infelizmente, os cibercriminosos estão agora a deixar bem claro que, quando se trata de identificar potenciais alvos, os fornecedores desses serviços estão no topo de uma lista muito longa.