Dit nieuwe product biedt SaaS-ontdekking en risicobeoordeling in combinatie met een gratis beoordeling van de gebruikerstoegang in een uniek “freemium”-model
Het beveiligen van het SaaS-gebruik van werknemers wordt steeds belangrijker voor de meeste cloudgebaseerde organisaties. Hoewel er talloze instrumenten beschikbaar zijn om aan deze behoefte te voldoen, maken zij vaak gebruik van verschillende benaderingen en technologieën, wat leidt tot onnodige verwarring en complexiteit. Betreed de nieuwe “Essentiële SSPM” (SaaS Security Posture Management) tool, die tot doel heeft het proces van het beveiligen van SaaS-gebruik in de hele organisatie te vereenvoudigen. De zakelijke aanpak is eenvoudig: zelf aan boord, het product uitproberen en als u onder de indruk bent, upgraden om meer vitale beveiligingsmogelijkheden te ontgrendelen.
Wat is essentiële SaaS-beveiliging?
Volgens Wing zijn er drie fundamentele maar fundamentele capaciteiten nodig voor organisaties die hun SaaS willen beveiligen: ontdekking, beoordeling en controle. Deze sluiten aan bij regelgevende beveiligingsnormen zoals ISO 27001 en SOC, die de nadruk leggen op risicobeoordelingsprogramma’s van leveranciers en derden, evenals het controleren van de gebruikerstoegang tot cruciale bedrijfstools.
1. Ontdek: wat je niet kunt zien, kun je niet beveiligen
Schaduw-IT is geen nieuw vraagstuk, maar eerder een evoluerend vraagstuk. Met de voortdurende toename van het SaaS-gebruik en de mogelijkheid voor gebruikers om beveiligingsbeleid zoals MFA en SSO te omzeilen bij het onboarden van SaaS-applicaties, is het nieuwe gezicht van schaduw-IT op SaaS gebaseerd. Het proces is eenvoudig: werknemers moeten een zakelijke taak voltooien en hebben vaak een hulpmiddel nodig om dit te vergemakkelijken. Ze zoeken online naar een oplossing en gebruiken bedrijfsreferenties om in te loggen, vooral wanneer voor de meeste services geen creditcardgegevens nodig zijn. SaaS, de moderne toeleveringsketen, vereist duidelijk een beveiligingsoplossing vanwege het gedecentraliseerde en niet-beheerde karakter ervan.
2. Beoordeel risico’s: Niet alle risico’s zijn gelijk, bespaar kostbare tijd
Zodra het schaduwelement is opgelost, blijven organisaties achter met een uitgebreide lijst met applicaties, die vaak in de duizenden loopt. Dit roept de vraag op: wat nu? Zonder een geautomatiseerde methode voor het evalueren van de risico’s die verbonden zijn aan alle SaaS-applicaties die aan de organisatie zijn gekoppeld, kan het blootleggen van schaduw-SaaS eerder verwarrend en lastig dan nuttig zijn. Dit onderstreept het belang van het beoordelen van de beveiligingsstatus van deze applicaties en het bepalen van een drempel die aandacht vereist.
SaaS-ontdekking moet hand in hand gaan met een zekere mate van risicobeoordeling door leveranciers of derden. De nieuwe productlaag van Wing combineert SaaS-ontdekking met geautomatiseerde processen voor het bepalen van de SaaS-beveiligingsscore van een applicatie. Deze risico-informatie wordt gehaald uit een enorme SaaS-database met meer dan 280.000 geregistreerde SaaS’s, en vergeleken met de gegevens van honderden Wing-gebruikers en hun SaaS-omgevingen. Betalende klanten profiteren van bredere en diepere SaaS-risicobeoordelingen, inclusief bijna realtime waarschuwingen over bedreigingen.
3. Controle: Zorg ervoor dat gebruikers alleen noodzakelijke toegang hebben
Het ontdekken van alle SaaS die in gebruik zijn (en niet in gebruik) en het begrijpen van de risico’s ervan is slechts het halve werk; de andere helft betreft SaaS-gebruikers. Ze verlenen applicaties toegang en machtigingen tot bedrijfsgegevens en maken keuzes met betrekking tot lees-/schrijfrechten voor de talrijke applicaties die ze gebruiken. Gemiddeld gebruikt elke werknemer 28 SaaS-applicaties op elk momentwat zich vertaalt naar honderden, zo niet duizenden SaaS-applicaties met toegang tot bedrijfsgegevens.
Het uitvoeren van periodieke gebruikerstoegangsbeoordelingen voor essentiële bedrijfsapplicaties is niet alleen een wettelijke vereiste, maar wordt ook ten zeerste aanbevolen om een veilige houding te behouden. Door te bepalen wie toegang heeft tot welke applicatie kan worden voorkomen dat gevoelige gegevens in verkeerde handen vallen en kan het potentiële aanvalsoppervlak aanzienlijk worden verkleind, aangezien werknemers vaak het eerste doelwit zijn van kwaadwillende actoren. Een lange lijst met gebruikers en hun rechten en rollen in verschillende applicaties kan overweldigend zijn. Daarom helpt Wing bij het prioriteren van gebruikers op basis van hun rechten en rollen en door het concept van de minste privileges aan te moedigen. Dit zorgt ervoor dat alle gebruikers, behalve goedgekeurde beheerders, alleen basistoegang hebben tot SaaS-applicaties.
Samengevat – Deze drie mogelijkheden zijn essentieel voor het starten van een goed SaaS-beveiligingsprogramma, maar garanderen geen volledige dekking of controle. Volwassen beveiligingsorganisaties zullen meer nodig hebben. Gegevensbeveiligingsfuncties, geautomatiseerde herstelpaden en meer controle over gebruikersrechten en -gedrag zijn alleen mogelijk met de volledige oplossing van Wing. Dat gezegd hebbende, zijn deze een belangrijk startpunt voor organisaties die nog niet over SaaS-beveiliging beschikken of die overwegen met welke tools en benaderingen ze aan de slag kunnen gaan.
Hoe verschilt dit van een POC of interactieve demo?
Deze nieuwe ‘eerst proberen, betaal later’-aanpak verschilt vooral van de gemiddelde POC doordat er geen enkele aanraking is. Gebruikers kunnen het product zelf installeren door akkoord te gaan met de wettelijke voorwaarden van Wing, zonder de noodzaak van interactie met een menselijke vertegenwoordiger of verkooppersoneel, tenzij zij daarvoor kiezen. Hoewel het gratis product opzettelijk beperkt is qua functies en mogelijkheden, biedt het een startpunt voor diegenen die nieuwsgierig zijn naar of op zoek zijn naar SaaS-beveiliging. In tegenstelling tot online demo’s omvat dit proces de daadwerkelijke verwerking van uw gegevens en kan het uw beveiligingssituatie daadwerkelijk verbeteren door inzicht te geven in het werkelijke SaaS-gebruik van uw bedrijf en door u in staat te stellen de omvang van uw SaaS-aanvalsoppervlak te evalueren. Een freemium-aanpak in beveiligingsgerelateerde producten is ongebruikelijk, waardoor dit een kans is voor degenen die dat willen het product testen alvorens te plegen.
