Zijn uw SaaS-back-ups net zo veilig als uw productiegegevens?

Gesprekken over gegevensbeveiliging verlopen vaak in drie hoofdlijnen:

  • Hoe kunnen we de gegevens beschermen die we opslaan op onze lokale of cloudinfrastructuur?
  • Welke strategieën, tools of platforms kunnen op betrouwbare wijze een back-up maken van gegevens en deze herstellen?
  • Wat zou het verlies van al deze gegevens ons kosten, en hoe snel kunnen we deze terugkrijgen?

Het zijn allemaal geldige en noodzakelijke gesprekken voor technologieorganisaties in alle soorten en maten. Toch gebruikt het gemiddelde bedrijf ruim 400 SaaS-applicaties. Uit hetzelfde rapport kwam ook naar voren dat 56% van de IT-professionals zich niet bewust is van hun verantwoordelijkheden op het gebied van gegevensback-up. Dit is alarmerend, aangezien 84% van de respondenten in de enquête zegt dat ten minste 30% van hun bedrijfskritische gegevens zich in SaaS-applicaties bevinden.

SaaS-gegevens zijn niet zoals gegevens op locatie of in de cloud, omdat u geen eigenaar bent van de besturingsomgeving en veel minder van de gegevens zelf. Vanwege deze beperkingen is het maken van geautomatiseerde back-ups, het opslaan ervan in veilige omgevingen en het beheren van het herstelproces een veel gecompliceerdere technische taak.

Die inflexibiliteit leidt ertoe dat organisaties tijdelijke oplossingen en handmatige processen ontwikkelen om een ​​back-up van SaaS-gegevens te maken, waardoor ze in veel minder veilige omgevingen achterblijven. Zonde, want uw back-ups zijn bijna net zo waardevol voor aanvallers als uw productiegegevens. Organisaties die met minder zorg omgaan met SaaS-gegevens, zelfs in het licht van de groei met dubbele cijfers in het gebruik van SaaS-apps, dragen de sleutels van hun koninkrijk op meer voor de hand liggende manieren over dan ze zouden verwachten. Nu de dreiging van gegevensverlies dreigt, wat zijn de kosten voor uw bedrijf als u niet snel actie onderneemt om een ​​SaaS-gegevensherstelplan op te stellen?

De waardevolle geheimen die zich in het volle zicht verbergen

Laten we een veelvoorkomend scenario illustreren: uw team heeft één GitHub-organisatie waar uw hele technische team samenwerkt aan ontwikkelings- en implementatieprojecten op verschillende privéopslagplaatsen.

Laten we die illustratie nu aanpassen met een minder gebruikelijke toevoeging: je hebt back-ups voor alle van uw GitHub-gegevens, die niet alleen de code in elk van deze opslagplaatsen omvatten, maar ook metagegevens zoals beoordelingen van pull-aanvragen, problemen, projectbeheer en meer.

In dit geval bevatten uw GitHub-back-upgegevens geen wachtwoorden of persoonlijk identificeerbare informatie (PII) over uw werknemers, afgezien van wat ze al openbaar hebben gemaakt op hun GitHub-profiel. Het zou een aanvaller ook niet toestaan ​​om zijdelings naar uw productieservers of -services te gaan, omdat hij zijn aanvalsvector of inbraakpunt nog niet heeft gevonden. U bent echter nog steeds niet uit de problemen: allerlei soorten back-upgegevens bevatten informatie waar aanvallers van kunnen leren, waardoor u een conclusie kunt trekken over hoe uw productieomgeving werkt. doet bedienen.

Elke onveilige back-up en kloon van uw privécode is opmerkelijk waardevol als de aanvaller alleen intellectueel eigendom (IP) wil stelen of vertrouwelijke informatie over aankomende functies, partnerschappen of fusies en overnames naar concurrenten wil lekken of voor financiële fraude.

Uw Infrastructure as Code (IaC) en CI/CD-configuratiebestanden zouden ook van bijzonder belang zijn, omdat ze de topologie van uw infrastructuur identificeren, uw testinfrastructuur en implementatiefasen blootleggen, en alle cloudproviders of externe diensten van uw productie onthullen. diensten afhankelijk zijn. Deze configuratiebestanden zijn afhankelijk van geheimen zoals wachtwoorden of authenticatietokens. Zelfs als je een tool voor geheimbeheer gebruikt om te voorkomen dat de daadwerkelijke inhoud van de genoemde geheimen versiebeheer heeft op GitHub, kan een aanvaller snel identificeren waar hij vervolgens moet kijken, of dat nu Hashicorp Vault, AWS Secrets Manager of Cloud KMS is. , of een van de vele alternatieven.

Omdat u in deze illustratie ook een back-up maakt van uw metagegevens, zorgt een onveilige implementatie ervoor dat uw pull-aanvragen en commentaaropmerkingen, die u anders in uw privé GitHub-opslagplaatsen hebt verborgen, beschikbaar zijn voor een aanvaller om te verkennen. Ze komen er snel achter wie de bevoegdheden heeft om code goed te keuren en in elke repository samen te voegen, en checklijsten voor implementatie of herstel te verkennen om zwakke punten te identificeren.

Met deze informatie kunnen ze een veel gerichtere aanval uitvoeren, rechtstreeks op uw infrastructuur of met behulp van social engineering-methoden, zoals voorwendsels, op werknemers waarvan ze nu weten dat ze beheerdersrechten hebben.

Waarom zijn veilige back-ups, vooral van SaaS-gegevens, belangrijker dan ooit?

Kortom, SaaS-gegevens zijn nog nooit zo cruciaal geweest voor de dagelijkse activiteiten van uw organisatie. Of je nu een code-samenwerkingsplatform zoals GitHub gebruikt, productiviteitstools zoals Jira, of zelfs gebruik maakt van Confluence als de kernprovider (en afhankelijkheid) van een heel merk, je bent gebonden aan omgevingen waarvan je niet de eigenaar bent, met databeheerpraktijken je hebt er geen volledige controle over, alleen maar om de lichten aan te houden.

SaaS-gegevens zijn bijzonder kwetsbaar omdat er, in tegenstelling tot gegevens op locatie, twee belanghebbenden zijn: uw provider en u. Je provider kan te maken krijgen met gegevensverlies, bijvoorbeeld wanneer GitLab in slechts enkele seconden 300 GB aan gebruikersgegevens kwijtraakt wanneer een ingenieur de productiedatabase overschrijft. U kunt een eerlijke fout maken, zoals het per ongeluk verwijderen van uw exemplaar of het uploaden van een CSV dat onmiddellijk elk facet van uw gegevens corrumpeert.

Bewustwording is een grote zorg. In een rapport uit 2023 van AppOmni beweerde 85% van de IT- en cybersecurity-experts die ze ondervroegen dat er geen beveiligingsprobleem is rond SaaS. Toch gaf 79% van diezelfde mensen toe dat hun organisatie in de afgelopen twaalf maanden ten minste één op SaaS gebaseerde cyberbeveiligingsdreiging had geïdentificeerd. De meest voorkomende incidenten waren kwetsbaarheden in gebruikersrechten, blootstelling aan gegevens, een specifieke cyberaanval en menselijke fouten.

Tegelijkertijd onthulde een rapport van Oracle en analistenbureau ESG dat slechts 7% van de Chief Information Security Officers (CISO's) zei dat ze het Shared Responsibility Model volledig begrijpen, dat de verantwoordelijkheid voor gegevensbeveiliging bij de gebruiker legt in plaats van bij de SaaS-provider. . 49% van de respondenten verklaarde ook dat verwarring rond dat model heeft geresulteerd in gegevensverlies, ongeoorloofde toegang tot gegevens en zelfs gecompromitteerde systemen.

Het antwoord op eventuele zorgen over de veiligheid van geback-upte gegevens is het niet geheel negeren van back-ups.

Waar moet u op letten bij een zeker SaaS-gegevensback-upprovider

Terwijl u het landschap van platforms verkent waarmee u een back-up kunt maken van gegevens van die bedrijfskritische SaaS-apps en deze kunt herstellen, moet u deze must-haves zorgvuldig valideren:

  • Automatisering: Bij geen enkele betrouwbare back-up zijn handmatige processen betrokken; het back-upproces moet automatisch incrementele dagelijkse back-ups maken met behulp van een delta- of diffing-algoritme. Elk handmatig proces, zoals het gebruik van een open-source back-upscript dat al jaren niet meer is bijgewerkt, of zelfs een eenvoudige taak zoals het schrijven van een cron-job om elke dinsdag om 23:59 uur een back-upscript uit te voeren, creëert potentiële faalpunten.
  • Volledigheid: Het GitHub-voorbeeld illustreert op unieke wijze het verschil tussen data (uw code) en metadata (de gesprekken die uw technici voeren). rondom uw code), maar veel SaaS-apps hebben vergelijkbare gegevenshiërarchieën. Als een back-upoplossing niet al uw gegevens kan beschermen, heeft u in het geval van een ramp met gegevensverlies slechts een halfslachtig herstelplan en veel handmatig werk om weer op snelheid te komen.
  • Encryptie: Dring aan op AES-256-bit-encryptie, zowel in rust als onderweg, voor al uw SaaS-gegevensback-ups. De provider moet ook SSO ondersteunen, zodat u gebruikers en hun rechten kunt beheren met behulp van een gecentraliseerde identiteitsprovider.
  • Naleving van gegevens: Details zoals SOC 2 Type 2-rapporten, waarin de beveiligingsmaatregelen van een back-upplatform gedetailleerd worden beschreven, kunnen u zekerheid geven over hoe serieus zij de bescherming van de gevoelige gegevens in uw back-ups nemen. Hoewel je het momenteel niet nodig hebt, laten functies als dataresidentie zien dat ze een geavanceerde infrastructuur hebben ontworpen met het juiste beleid voor meerdere regio's.
  • Waarneembaarheid: U heeft geen volledige controle over wat er met de gegevens van uw organisatie gebeurt. Het beste is om precies te weten wie, wanneer en wat er is geopend of gewijzigd in uw back-upgegevens, zodra dit gebeurt. Met een realtime auditlogboek kunt u indringers snel opmerken en de juiste oplossing bieden voordat een aanval tijd heeft om uw gegevens binnen te dringen.

De unieke bedreigingen voor SaaS-gegevens breiden zich snel uit. Zelfs de tools waarvan we denken dat ze zijn ontworpen om inefficiënties aan het licht te brengen of werk te automatiseren dat we liever niet doen, zoals AI-agenten van derden, kunnen enorme vermomde dataverliesincidenten zijn, waar we de komende maanden en jaren zeker nog over zullen horen. .

Wanneer u een AI schrijftoegang geeft tot uw SaaS-platforms, kan deze op onschuldige wijze al uw bedrijfskritische gegevens beschadigen met GPU-versnelde snelheid. Wanneer rapporten over deze situaties massaal opduiken, zult u blij zijn dat u uw SaaS-gegevens hebt weggestopt waar niemand (een aanvaller of een verloren AI) deze kan lezen. U zult dubbel blij zijn dat hij ook veilig is wanneer u hem het meest nodig heeft.

Thijs Van der Does