alice_photo - stock.adobe.com
SaaS Security Posture Management: Anwendungen sicher nutzen
Die Kontrolle über alle sicherheitsrelevanten Einstellungen im gesamten Unternehmen zu behalten, ist kein einfaches Unterfangen. Eine SSPM-Lösung kann die Aufgabe erleichtern.
Stellen Sie sich eine Website zum Teilen von Bildern vor, die eine auswählbare Option hätte, um mit jedem veröffentlichten Foto auch noch Ihre persönliche Personalausweisnummer mit ins Internet zu stellen. Abgesehen von der Frage, ob das empfehlenswert und rechtmäßig wäre, wie würden Sie wohl reagieren? Ganz sicher werden Sie diese Option nicht absichtlich aktivieren. Vermutlich würden Sie, wenn Sie eine solche Website überhaupt weiter nutzen, sorgfältig darauf achten, dass die Funktion auf keinen Fall angehakt ist. Die meisten Menschen würden wohl sogar doppelt und dreifach prüfen, dass sie nicht versehentlich doch wieder eingeschaltet ist.
Stellen Sie sich weiter vor, Sie nutzen einhundert unterschiedliche Websites, alle mit denselben Konfigurationsmöglichkeiten. Was wäre, wenn Sie sich mit anderen Familienmitgliedern einen Computer teilen und diese die genannte Funktion eventuell versehentlich aktivieren? Sie müssten daher immer wieder mal überprüfen, ob sie wirklich immer noch abgeschaltet ist. Viele Menschen würden sich dafür wohl lieber ein kostenpflichtiges Tool oder ein Skript kaufen, das automatisch dafür sorgt, dass die Funktion auch wirklich abgeschaltet bleibt.
Im echten Leben würde natürlich kein vernünftiger Webentwickler eine solche Funktion programmieren und in seinen Dienst einbauen. Die meisten in Unternehmen genutzten Anwendungen haben aber zahlreiche Optionen, die sich mehr oder weniger direkt auf ihre Sicherheit auswirken. So müssen Einstellungen zu Berechtigungen, Zugriffsstufen, zur Verschlüsselung oder zum Logging festgelegt werden. Sie wirken sich sofort auf die Sicherheit und den Schutz der gespeicherten privaten Daten aus.
Diese Einstellungen über eine ganze Firma im Auge zu behalten, ist nahezu unmöglich. Daher wurde SaaS Security Posture Management oder abgekürzt SSPM entwickelt.
Was ist SaaS Security Posture Management (SSPM)?
Sicherheitsrelevante Einstellungen sind in nahezu allen SaaS-Anwendungen (Software as a Service), die von Unternehmen eingesetzt werden, zu finden. So gibt es in der Regel Konfigurationsmöglichkeiten in den Bereichen Autorisierung, Zugriffskontrolle, Logging, Monitoring, Verschlüsselung, Export von Daten bis hin zur Multifaktor-Authentifizierung. Je umfangreicher und je mehr Funktionen eine Anwendung bietet, desto flexiblere Möglichkeiten hat sie meist auch, wenn es um ihre Absicherung geht. Die Nutzer erhalten damit mehr Auswahl und eine größere Kontrolle darüber, wie sich der Dienst aus Sicherheitssicht konfigurieren lässt.
Es ist eine äußerst komplexe Aufgabe und teilweise auch nur schwer zu verstehen, welche Optionen es insgesamt gibt und wie sie sinnvoll konfiguriert werden können. Weil die meisten Firmen Dutzende, wenn nicht Hunderte von SaaS-Anwendungen einsetzen, gibt es zahllose unterschiedliche Einstellungen und in der Folge auch zahllose Möglichkeiten für unsichere Konfigurationen. Selbst wenn zum Beginn des Einsatzes einer Anwendung alles richtig gemacht wurde, werden durch die meisten Entwickler im Laufe der Zeit immer wieder Updates veröffentlicht und neue Funktionen hinzugefügt. Das bedeutet in der Folge, dass die neuen Standardeinstellungen möglicherweise nicht mehr mit dem übereinstimmen, was Sie wollen und was die Richtlinien Ihres Unternehmens besagen.
Es sollte daher nicht davon ausgegangen werden, dass Ihre Anwendungen immer optimal und sicher konfiguriert werden können, wenn alle diese Einstellungen nur manuell durch die Administratoren bearbeitet werden.
SSPM ermöglicht dagegen, alle sicherheitsrelevanten Einstellungen Ihrer Anwendungen immer automatisch an Ihre Richtlinien anzupassen. Wenn etwa eine Einstellung nicht mehr den eigenen Policies entspricht, wird Ihre SSPM-Lösung Sie entweder darauf hinweisen oder in bestimmten Fällen auch gleich automatisch eine Anpassung durchführen.
Anschließend entsprechen die Einstellungen wieder Ihren Sicherheitsvorgaben. Darüber hinaus wird Sie ein SSPM darüber informieren, wenn sich eine Möglichkeit ergibt, die Sicherheit Ihrer Umgebung an anderen Stellen weiter zu verbessern. Das kann etwa sein, wenn eine sicherheitsrelevante Einstellung an eine aktuellere Best Practice angepasst werden kann. Anschließend können Sie die Korrektur durchführen.
Wichtige Vorüberlegungen beim SSPM-Einsatz
Wenn Ihr Unternehmen zu den intensiven Nutzern von SaaS-Diensten gehört, werden Sie sich möglicherweise die Frage stellen, ob Sie zusätzlich auch noch einen SSPM-Service benötigen? Die Antwort hängt –wie so oft – von den individuellen Gegebenheiten und Bedürfnissen Ihres Unternehmens ab.
Zunächst einmal sollte man wissen, dass es eine Reihe von Überschneidungen zwischen den Funktionen eines CASB (Cloud Access Security Broker) eines und SSPM gibt. Ein CASB arbeitet in der Regel in einem Proxy- oder API-Modus (Application Programming Interface). Dieser API-Modus ist mit einem SSPM vergleichbar, weil der CASB hier direkt mit den SaaS-APIs verbunden ist. Wenn Ihr Unternehmen daher schon ein CASB einsetzt, sollten Sie als Erstes die Überschneidungen zwischen diesem bereits vorhandenen Dienst und einem SSPM prüfen. Da SSPM-Lösungen ein noch recht junges Phänomen sind und erst 2020 zum Hype Cycle von Gartner hinzugefügt wurden, ist die Wahrscheinlichkeit hoch, dass Ihr CASB-Anbieter plant, selbst SSPM-Funktionen hinzuzufügen.
Zweitens sollten Sie genau wissen, welche SaaS-Anwendungen Sie überhaupt schützen wollen, bevor Sie eine Entscheidung für oder gegen einen bestimmten Anbieter treffen. Der Grund ist, dass die Provider teils sehr unterschiedliche SaaS-Security-Modelle verwenden. Sie sollten daher festlegen, was Sie wollen, bevor Sie mehrere Anbieter ins Auge fassen. Eine mögliche Strategie ist, Daten über die vorhandenen Dienste aus etwa einer bereits durchgeführten Analyse der Auswirkungen auf die Geschäftstätigkeit zu nutzen, um daraus eine Art „Abdeckungskarte“ zu erstellen. Diese können Sie auch während Ihrer Kontakte mit verschiedenen Anbietern verwenden.
Die genannten Elemente sind sehr wichtig. Wenn Sie nicht genau wissen, welche SaaS-Dienste in Ihrem Unternehmen bereits genutzt werden, sollten Sie diese Lücke möglichst schnell schließen. Verwenden Sie dafür bereits vorhandene Daten aus den bereits genannten Analysen oder setzen Sie Proxies beziehungsweise Tools zum Monitoring des Datenverkehrs im Netzwerk ein. Manche SSPM-Anbieter können Sie dabei auch unterstützen.
Nutzen Sie ein SSPM zum Schutz der Anwendungsdaten und Zugriffe
Auch wenn es vermutlich keine SaaS-Anwendung gibt, die tatsächlich eine der eingangs erwähnten Einstellungen zur automatischen Veröffentlichung Ihrer Personalausweisnummer enthält, sollten Sie trotzdem die sicherheitsrelevanten Optionen jederzeit im Auge behalten. Eine SSPM-Lösung kann dabei sehr hilfreich sein. Sie sorgt dafür, dass der Schutz Ihrer SaaS-Umgebung auch auf Dauer gegeben ist, da sich sicherheitsrelevante Einstellungen sich nicht unbemerkt verändern können.