Los entornos SaaS están surgiendo como un «punto ciego no abordado» en la ciberseguridad empresarial para las organizaciones australianas y de APAC, según la firma de gestión de seguridad SaaS Obsidian Security. Este problema se atribuye en parte a la confusión en torno al modelo de responsabilidad compartida en los contratos SaaS. En septiembre, Obsidian Security, que anunció que está expandiendo sus operaciones en Australia y APAC, dijo que espera un aumento en el número de organizaciones locales que reevalúan sus estrategias de seguridad SaaS una vez que completen las revisiones de seguridad en la nube en curso. Andrew Latham, quien se unió a Obsidian de Crowdstrike como ingeniero de ventas senior para Asia-Pacífico y Japón, dijo a TechRepublic que las organizaciones locales deberían ir más allá de las listas de verificación en papel al evaluar la seguridad de los proveedores de SaaS. También señaló que muchos clientes todavía no entienden bien el modelo de responsabilidad compartida de SaaS. Los parques de software SaaS se convierten en ‘primera línea de las amenazas cibernéticas’ Los ataques SaaS están aumentando en frecuencia, señaló Obsidian, y las consecuencias son cada vez más graves. La violación de este año en Ticketek, una empresa australiana de venta de entradas para eventos, dejó expuestos los datos de 17 millones de personas después de que un actor de amenazas obtuvo acceso a un proveedor externo. «La confianza implícita que muchas organizaciones tienen en los proveedores de SaaS para configurar aplicaciones para ellos a menudo deja datos confidenciales expuestos sin saberlo», dijo Chisholm. «El desconocimiento del modelo de responsabilidad compartida puede dejar las aplicaciones SaaS sin seguridad, lo que supone un enorme riesgo para los datos de empresas y particulares». VER: Más de 3 de cada 4 líderes tecnológicos se preocupan por las amenazas a la seguridad de SaaS. Latham dijo que el riesgo de los proveedores de SaaS en Australia y APAC es comparable al de otros mercados globales. «Las plataformas SaaS son ubicuas, con fácil acceso desde cualquier persona o cualquier cosa conectada a Internet», explicó. «Lo que estamos viendo a nivel mundial es un alejamiento de los ataques complejos en los que los puntos finales tienen como objetivo acceder y filtrar datos, hacia ataques más simples destinados a la apropiación de cuentas y datos almacenados en sistemas SaaS». Obsidian descubrió que cada vez más información crítica para el negocio está migrando a SaaS. Si bien la cantidad de aplicaciones SaaS en uso varía ampliamente, la investigación de Productiv estimó que las empresas con menos de 500 empleados usan un promedio de 253 aplicaciones, aumentando a 473 aplicaciones para empresas con más de 10,000 empleados. El modelo de responsabilidad compartida de SaaS no se evalúa en profundidad Las organizaciones a menudo malinterpretan su papel en el modelo de responsabilidad compartida de seguridad del proveedor de SaaS. Normalmente, los proveedores y clientes de SaaS colaboran para garantizar una sólida seguridad de los datos. Por ejemplo, los proveedores pueden ser responsables de la seguridad de la infraestructura subyacente, como los centros de datos, mientras que los clientes pueden gestionar principalmente aspectos como la gestión del acceso de los usuarios o la configuración de las aplicaciones. «La mayoría de las organizaciones están en el proceso de proteger su infraestructura de infraestructura como servicio a medida que trasladan más cargas de trabajo a la nube», dijo Latham. «Lo que la mayoría no se da cuenta es que existe un modelo de seguridad compartido que todos los proveedores de nube, incluido SaaS, implementan». Añadió: “Con IaaS, puedes implementar tus propios controles. Sin embargo, con SaaS no puedes. Existe una suposición generalizada de que el proveedor de SaaS se ocupa de la seguridad de los datos del cliente, pero a menudo no es así”. Los cuestionarios en papel no son suficientes para evaluar el riesgo de los proveedores de SaaS. Los cuestionarios en papel se utilizan a menudo durante las adquisiciones para verificar que los proveedores de SaaS cumplan con los requisitos de seguridad. Latham dijo que es posible que estos cuestionarios no proporcionen una visión lo suficientemente profunda sobre cómo un proveedor de SaaS gestiona la seguridad y protege contra riesgos para los datos, como la apropiación de cuentas. Más cobertura de Australia VER: Casi un tercio de las empresas sufrieron una violación de seguridad de SaaS el año pasado «El mayor problema sería comprender que un cuestionario en papel no es suficiente al evaluar un nuevo proveedor de SaaS», dijo Latham. “Muchas violaciones recientes de alto perfil han sido apropiaciones de cuentas. Este tipo de ataques, en relación con la Matriz de Responsabilidad Compartida, están por encima de la línea donde el proveedor de SaaS asume la responsabilidad”. El riesgo de la cadena de suministro de SaaS es como el ‘lado oscuro de la luna’ El riesgo extendido de la cadena de suministro de software de terceros y de cuartos es común en el mercado de SaaS. Aunque las organizaciones evalúan a los principales proveedores de SaaS, estos proveedores a menudo se integran con varios proveedores de SaaS en una complicada malla de SaaS, lo que dificulta la evaluación de los riesgos reales para los datos. «Es análogo al lado oscuro de la luna», dijo Latham. “Hay hasta 10 veces más transferencia de datos entre sistemas SaaS de terceros y de cuartos de lo que se ve en la ‘puerta principal’. «Si bien la cadena de suministro podría sugerir que un proveedor de SaaS es un proveedor conocido de servicios necesarios para respaldar el negocio, son todas las integraciones no autorizadas las que son un problema», añadió. Estas integraciones pueden parecer “inocentes en la superficie”, pero cuando se explotan pueden permitir que los adversarios extraigan datos de SaaS sin que el inquilino de SaaS lo sepa. «Hay muchos ejemplos en los que se abusa de las integraciones confiables con proveedores de SaaS de terceros y de cuartos, exponiendo los datos a usuarios no autorizados», explicó Latham. Obsidian Security espera centrarse en SaaS después de la nube. Las empresas australianas pueden estar agradecidas de que, a diferencia de otras partes del mundo, el mercado ha estado en gran medida libre de ataques de intercambio de SIM. Estos ataques ocurren cuando los ciberdelincuentes engañan a las empresas de telecomunicaciones para que cambien el servicio móvil de la víctima por una tarjeta SIM que ellos controlan. “ACMA [The Australian Communications and Media Authority] Los requisitos para controles de identidad para los proveedores de telecomunicaciones prácticamente han erradicado los ataques de intercambio de SIM, que todavía prevalecen en otras regiones”, dijo Latham. Sin embargo, el problema de la seguridad de SaaS persiste, aunque Obsidian cree que pronto se convertirá en un foco de atención. “En general, vemos que muchas organizaciones australianas tienen proyectos en marcha para cargas de trabajo de IaaS. Una vez completado, analizarán SaaS. Otros mercados, como Estados Unidos, probablemente lleven 18 meses de ventaja, ya que han terminado sus proyectos iniciales de seguridad IaaS y han iniciado proyectos de seguridad SaaS”, dijo Latham.