A carta aberta da JPMorganChase exige uma ação urgente em todo o setor sobre riscos de SaaS Os modelos SaaS de terceiros expõem a infraestrutura crítica a ameaças de segurança cibernética em cascata As empresas dependem de integrações inseguras que colapsam limites de confiança entre os sistemas
O JPMorGricaChase, o maior banco do mundo, alertou sobre os perigos da tecnologia SaaS usada por organizações em todo o mundo todos os dias.
Escrevendo em um carta aberta Ciso Patrick Opet descreveu preocupações crescentes de que a velocidade da adoção de SaaS superou o desenvolvimento da segurança.
Em particular, o OPET observou que os fornecedores priorizaram a entrega rápida de recursos sobre a arquitetura segura, criando vulnerabilidades sistêmicas em toda a cadeia de suprimentos de software.
Uma chamada para as armas
“Um serviço de otimização de calendário acionado por IA, integrando-se diretamente aos sistemas de email corporativo por meio de” Funções somente de leitura “e” Tokens de autenticação “, pode sem dúvida aumentar a produtividade ao funcionar corretamente”, disse Opet.
“No entanto, se comprometido, essa integração direta concede aos invasores acesso sem precedentes a dados confidenciais e comunicações internas críticas”.
A OPET avisou milhares de organizações agora está incorporada em ecossistemas que dependem fortemente de um pequeno grupo de prestadores de serviços – por isso, se alguém estiver comprometido, os efeitos da ondulação podem ser devastadores.
“Os padrões de integração modernos desmontam esses limites essenciais, dependendo muito dos protocolos de identidade modernos (por exemplo, OAuth) para criar interações diretas, muitas vezes desmarcadas entre serviços de terceiros e os recursos internos sensíveis das empresas”, disse Opet.
“Na prática, esses modelos de integração colapsam autenticação (verificando a identidade) e a autorização (concedendo permissões) em interações excessivamente simplificadas, criando efetivamente a confiança explícita de um fator único entre os sistemas na Internet e os recursos internos privados. Esta regressão arquitetônica mina os princípios fundamentais de segurança que têm durabilidade comprovada”.
A JPMorganChase já experimentou uma série de violações de terceiros nos últimos três anos, exigindo uma ação rápida para isolar parceiros comprometidos e mitigar ameaças. Esses incidentes enfatizaram os riscos vinculados a ecossistemas de terceiros altamente conectados.
“A concorrência feroz entre os provedores de software impulsionou a priorização do desenvolvimento rápido de recursos sobre a segurança robusta”, escreveu Opet.
“Isso geralmente resulta em lançamentos de produtos apressados sem segurança abrangente incorporada ou ativada por padrão, criando oportunidades repetidas para os invasores explorarem as fraquezas. A busca da participação de mercado às custas da segurança expõe ecossistemas inteiros de clientes a riscos significativos e resultará em uma situação insustentável para o sistema econômico”.
Ele também citou novas ameaças emergentes de roubo de token, dependências opacas de quarta parte e acesso privilegiado sem transparência suficiente.
“A maneira mais eficaz de começar a mudança é rejeitar esses modelos de integração sem melhores soluções”, concluiu o OPET. “Espero que você se junte a mim reconhecendo esse desafio e respondendo decisivamente, colaborativamente e imediatamente. ”
Você também pode gostar
