Cloud-Security

Chase Ciso condamne la sécurité des offres SaaS de l’industrie

Lucas Morel

Le CISO pour le géant financier de 181 milliards de dollars a contribué à tous les détails sur ce qu’il considérait aujourd’hui comme une sécurité acceptable, mais a souligné que le SaaS sapait les efforts de sécurité.

Le directeur de la sécurité de l’information de JPMorganChase (CISO) a publiquement critiqué les logiciels en tant qu’efforts de cybersécurité de service (SaaS) aujourd’hui, et a lancé un appel aux fournisseurs pour répondre au défi des offres insuffisamment protégées. Mais les analystes ont trouvé son mémo si peu de détails qu’ils étaient perplexes sur ce qu’il demandait.

Chase Ciso Patrick Opet a passé une grande partie de sa lettre, que la société a publié le 25 avril, faisant valoir que les éléments SaaS ont rendu l’environnement d’entreprise beaucoup moins sécurisé.

«Les mesures traditionnelles comme la segmentation du réseau, le rythme et la fin du protocole étaient durables dans les principes hérités, mais peuvent ne plus être viables aujourd’hui dans un modèle d’intégration SaaS», a écrit Opet. «Le modèle de livraison du SaaS moderne permet silencieux les cyberattaquants et, à mesure que son adoption se développe, crée une vulnérabilité substantielle qui affaiblit le système économique mondial.»

OPET a ajouté: «Le SaaS est devenu la valeur par défaut et est souvent le seul format dans lequel les logiciels sont maintenant livrés, laissant les organisations ayant peu de choix mais de s’appuyer fortement sur un petit ensemble de fournisseurs de services de premier plan, intégrer un risque de concentration dans les infrastructures critiques mondiales. Bien que ce modèle offre une efficacité et une innovation rapide, il agceptifie simultanément les conséquences ponctuelles.

Bien que les analystes et les spécialistes de la sécurité soient généralement d’accord avec les arguments de l’OPET, le manque de détails rendait peu difficile ce qu’il a proposé de faire en particulier les entreprises à ce sujet, à part demander aux fournisseurs de prioriser davantage la cybersécurité.

Plus d’appel à la discussion

Georgia Cooke, analyste de la sécurité numérique chez ABI Research, a remis en question ce que les entreprises pouvaient faire précisément différemment. « C’est plus un appel à la discussion qu’un appel à l’action », a déclaré Cooke.

Cooke a fait valoir qu’Opet avait remis en question la sécurité des produits SaaS, mais a ensuite défendu ses achats, et les achats d’autres CISO de l’entreprise, notant qu’il «absout les achats par cadrage (CISO) comme n’ayant pas eu le choix. C’est très large et en quelque sorte irréaliste».

La lettre d’Opet a indiqué que ce problème n’est pas nouveau, mais il est dangereux.

«Dans le modèle traditionnel, les pratiques de sécurité ont appliqué une segmentation stricte entre les ressources internes de confiance d’une entreprise et les interactions externes non fiables en utilisant la terminaison du protocole, l’accès à plusieurs niveaux et l’isolation logique. «Les modèles d’intégration modernes, cependant, démontent ces limites essentielles, s’appuyant fortement sur les protocoles d’identité modernes (par exemple, OAuth) pour créer des interactions directes, souvent incontrôlées entre les services tiers et les ressources internes sensibles des entreprises.»

Par exemple, il a souligné qu’un service d’optimisation de calendrier basé sur l’IA qui s’intègre directement aux systèmes de messagerie d’entreprise via des rôles de lecture uniquement et des jetons d’authentification pourrait améliorer la productivité, mais, s’il était compromis, «l’intégration directe accorderait un accès sans précédent à des données confidentielles et des communications internes critiques».

À la fin de sa lettre, le CISO a fait ce qui ressemblait à une proposition de changement, mais sans détails, on ne savait pas comment tout se passerait.

« Le moyen le plus efficace de commencer le changement est de rejeter ces modèles d’intégration sans de meilleures solutions », a déclaré Opet. «J’espère que vous vous joindrez à moi pour reconnaître ce défi et répondre de manière décisive, en collaboration et immédiatement.»

Un employé de Chase, qui a demandé à ne pas être identifié par son nom, a tenté de mettre cette dernière ligne en contexte.

« Il n’y a aucune menace de boycott, (mais) simplement un commentaire sur les modèles d’intégration qui ne traitent pas adéquatement les risques, et nos décisions de ne pas les soutenir », a déclaré le responsable de Chase. «Pour y parvenir, nous aimerions nous appuyer sur les groupes de travail dans l’espace IAM, en collaboration avec des hyperscaleurs, des institutions financières et des sociétés de logiciels qui peuvent permettre le changement et voir des solutions qui fournissent une validation et une transparence continues des contrôles des fournisseurs.»

The official explained that the Chase CISO’s team is “looking for the software industry to recognize the criticality of these risks today and collectively work together on a number of fronts (including) establishing and scaling standards, architectural patterns, and solutions to richer authorization decisions, providing transparency in the suppliers’ use of privileged access, especially when it results in access to our systems or data, and using technologies that de-risk the supplier in custody of our Les données, par exemple, (en offrant) un calcul confidentiel ou apportez votre propre cloud. »

Solutions manquantes

Fritz Jean-Louis, principal conseiller en cybersécurité du groupe de recherche Info-Tech, a déclaré qu’il était généralement d’accord avec la description de la poursuite des défis de la cybersécurité aujourd’hui.

« L’un des points clés de la lettre est que le modèle SaaS moderne concentre les données sensibles derrière une poignée de portes d’entrée de nuage. JP Morgan lui-même a enregistré plusieurs incidents tiers au cours des dernières années et considère maintenant cette concentration comme un risque systémique », a déclaré Jean-Louis. « Patrick a raison de dire que les crochets Oauth à base de jetons et les API plug and play ont érodé l’ancien périmètre extérieur contre intérieur. Et les attaquants ont remarqué. Son appel à un modèle SaaS sécurisé par défaut et une preuve continue des contrôles sont honnêtement attendues depuis longtemps. »

Cela dit, Jean-Louis a noté: «Je pense que lorsque la lettre surcorre la surcrassement suggérant que les défenses traditionnelles telles que la segmentation du réseau, la fin du protocole et le rythme ne sont plus viables. Si quelque chose, ils ne sont plus suffisants, mais une fois qu’un jeton d’intégration est abusé, ces défenses héritées peuvent toujours ralentir l’identité à l’intérieur de l’entreprise et des environnements de nuages ​​en entreprise, des environnements nuages. La disparition de la segmentation. »

Il a ajouté: «Sécurisé par défaut doit être traduit en jetons de courte durée et liés, des lunettes granulaires et juste à temps, des journaux d’audit immuables et un SBOM publié avec des mises à jour signées. Jusqu’à ce que les fournisseurs puissent fournir cela, les acheteurs devraient prendre des décisions de risques concernant ces« intégrations de confiance ».».

De plus, Jean-Louis a déclaré que la lettre souffrait de «sans critère en béton. Ce qui manque, c’est« Quelles conseils offrez-vous pour résoudre ces problèmes? »»

« C’est là que vous êtes aveugle. Ce qui manque la lettre est des approches ou des solutions recommandées », a déclaré Jean-Louis. « Comment allez-vous faire cela? Vous déconnectez-vous de votre solution cloud? Votre crowdsstrike et tout? C’est trop vague. Rejeter l’intégration ne dit vraiment rien. Je ne vois aucune alternative (spécifiée). »

Il soupçonnait que Chase Legal et d’autres fonctionnaires ont été impliqués dans la modification importante de la lettre, et donc, «l’essence de la lettre est perdue en essayant de se protéger.»

SaaS pas le problème: analyste

Cependant, Cooke d’Abi n’était pas d’accord avec l’Opet pointant vers le SaaS comme problème.

« Le SaaS n’est pas un moteur de consolidation commerciale à un petit ensemble de prestataires. Bien au contraire, car les petits fournisseurs ont la possibilité de se déployer avec des investissements initiaux réduits et des infrastructures à l’échelle flexible », a déclaré Cooke. «Dans un environnement, fortement dépendant d’un petit ensemble de fournisseurs, le point de défaillance unique se situe quel que soit le modèle de déploiement.»

Elle a ajouté: «La question de savoir si le SaaS entraîne l’état actuel de perméabilité des réseaux est discutable, en particulier dans le contexte d’une montée Le moteur de chasse aux menaces interconnectés du vendeur vaut le risque de connectivité. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission