Hoe SSPM uw SOC2 SaaS-beveiligingshoudingsaudit vereenvoudigt

SaaS Security Nachrichten

Een accountant en een beveiligingsexpert lopen een bar binnen… SOC2 is geen grap.

Of u nu een beursgenoteerd of particulier bedrijf bent, u overweegt waarschijnlijk een Service Organization Controls (SOC)-audit te ondergaan. Voor beursgenoteerde bedrijven zijn deze rapporten vereist door de Securities and Exchange Commission (SEC) en uitgevoerd door een Certified Public Accountant (CPA). Klanten vragen echter vaak om SOC2-rapporten als onderdeel van hun due diligence-proces voor leveranciers.

Van de drie soorten SOC-rapporten is SOC2 de standaard om met succes te voldoen aan wettelijke vereisten en signaleert hoge veiligheid en veerkracht binnen de organisatie – en is gebaseerd op de attestvereisten van het American Institute of Certified Public Accountants (AICPA). Het doel van dit rapport is om de informatiesystemen van een organisatie te evalueren die relevant zijn voor beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy – over een periode (ongeveer zes tot twaalf maanden).

Als onderdeel van een SOC2-audit is het noodzakelijk om beveiligingscontroles uit te voeren over de SaaS-stack van het bedrijf, waarbij wordt gekeken naar verkeerd geconfigureerde instellingen zoals detectie en monitoring om de voortdurende effectiviteit van informatiebeveiligingscontroles te garanderen en ongeautoriseerde/ongepaste toegang tot fysieke en digitale activa en locaties.

Als u aan een SOC2-audittraject begint of eraan zit, kan een SSPM-oplossing (SaaS Security Posture Management) het proces stroomlijnen en de tijd die nodig is om een ​​SOC2-audit met succes door te brengen, verkorten, waarbij uw SaaS-beveiligingshouding volledig wordt gedekt.

Leer hoe u de SOC2-compliance van uw organisatie kunt stroomlijnen

Wat zijn de AICPA Trust Services Criteria (TSC)?

Wanneer externe auditors deelnemen aan een SOC 2-audit, moeten ze wat u doet vergelijken met een lange lijst met vastgestelde vereisten van AICPA TSC. De “Common Controls” vallen in vijf groepen:

  • Veiligheid – Bevat subbesturingen van de logische en fysieke toegang (CC6)
  • Beschikbaarheid – Inclusief subbesturingen van de System Operations (CC7)
    • Integriteit van verwerking: Bevat subbesturingen van de System Operations (CC7)
    • Vertrouwelijkheid: Bevat subbesturingen van de logische en fysieke toegang (CC6)
    • Privacy – Inclusief subcontroles van de Monitoring Activiteiten (CC4)

      Binnen elk gemeenschappelijk besturingselement bevindt zich een reeks subbesturingselementen die de overkoepelende standaard omzetten in uitvoerbare taken.

      Het doorstaan ​​van een SOC 2-audit kost veel tijd, moeite en documentatie. Tijdens een SOC2-audit moet u tijdens de auditperiode niet alleen aantonen dat uw controles werken, maar ook aantonen dat u in staat bent om uw beveiliging continu te bewaken.

      Het hele TSC-framework doorlopen is te lang voor een blogpost. Een snelle blik op een aantal besturingselementen van Logical and Physical Access (CC6) en System Operations (CC7) geeft u echter een idee van hoe sommige besturingselementen eruitzien en hoe u een SSPM kunt gebruiken om de SOC2-audit te vergemakkelijken.

      Ontvang een demo van 15 minuten over hoe een SSPM kan helpen bij uw SOC 2 TSC-audit

      Logische en fysieke toegangscontrole

      Dit gedeelte beschrijft de soorten controles die nodig zijn om ongeautoriseerde of ongepaste toegang tot fysieke en digitale activa en locaties te voorkomen. Het beheren van toegangsrechten, authenticatie en autorisatie van gebruikers in het SaaS-domein brengt veel uitdagingen met zich mee. Als u uw cloud-apps wilt beveiligen, wordt het gedistribueerde karakter van gebruikers en het beheren van de verschillende toegangsbeleidsregels zelfs een steeds grotere uitdaging.

      Onder controle van CC6.1 moeten entiteiten:

      • Identificeer, classificeer en beheer informatie-assets
      • Gebruikerstoegang beperken en beheren
      • Overweeg netwerksegmentatie
      • Nieuwe infrastructuur registreren, autoriseren en documenteren
      • Extra beveiliging door data-at-rest te versleutelen
      • Versleutelingssleutels beveiligen

      Voorbeeld

      De afdeling die een SaaS-app gebruikt, is vaak degene die deze aanschaft en implementeert. Marketing kan een SaaS-oplossing implementeren voor het monitoren van leads, terwijl sales de CRM implementeert. Ondertussen heeft elke applicatie zijn eigen set toegangsmogelijkheden en configuraties. Deze SaaS-eigenaren zijn echter mogelijk niet getraind in beveiliging of kunnen de beveiligingsinstellingen van de app continu controleren, zodat het beveiligingsteam de zichtbaarheid verliest. Tegelijkertijd kent het beveiligingsteam mogelijk niet de interne werking van de SaaS zoals de eigenaar, zodat ze complexere gevallen die tot een inbreuk op de beveiliging kunnen leiden, mogelijk niet begrijpen.

      Een SSPM-oplossing brengt alle gebruikersrechten, encryptie, certificaten en alle beveiligingsconfiguraties die beschikbaar zijn voor elke SaaS-app in kaart. Naast de zichtbaarheid helpt de SSPM-oplossing eventuele verkeerde configuraties op deze gebieden te corrigeren, rekening houdend met de unieke functies en bruikbaarheid van elke SaaS-app.

      In CC.6.2 zeggenschap moeten entiteiten:

      • Creëer toegangscertificaten voor activa op basis van autorisatie van de eigenaar van het systeem of de geautoriseerde bewaarder
      • Breng processen tot stand voor het verwijderen van toegang tot referenties wanneer de gebruiker geen toegang meer nodig heeft
      • Controleer regelmatig de toegang voor onnodige en ongepaste personen met inloggegevens

      Voorbeeld

      Toestemmingsafwijkingen treden op wanneer een gebruiker bepaalde machtigingen heeft als onderdeel van een groepslidmaatschap, maar vervolgens een specifieke machtiging krijgt toegewezen die meer privileges heeft dan de groep. Na verloop van tijd krijgen veel gebruikers extra rechten. Dit ondermijnt het idee van provisioning met behulp van groepen.

      Klassieke deprovisioning-problemen, een SSPM-oplossing kan inactieve gebruikers detecteren en organisaties helpen om het probleem snel op te lossen, of op zijn minst het beveiligingsteam op de hoogte te stellen.

      Onder controle van CC.6.3 moeten entiteiten:

      • Breng processen tot stand voor het creëren, wijzigen of verwijderen van toegang tot beschermde informatie en activa
      • Op rollen gebaseerde toegangscontrole (RBAC) gebruiken
      • Controleer regelmatig toegangsrollen en toegangsregels

      Voorbeeld

      Mogelijk beheert u 50.000 gebruikers in vijf SaaS-applicaties, wat betekent dat het beveiligingsteam in totaal 250.000 identiteiten moet beheren. Ondertussen heeft elke SaaS een andere manier om identiteiten te definiëren, te bekijken en identiteiten te beveiligen. Om het risico nog groter te maken, integreren SaaS-applicaties niet altijd met elkaar, wat betekent dat gebruikers verschillende privileges kunnen hebben op verschillende systemen. Dit leidt vervolgens tot onnodige privileges die een potentieel veiligheidsrisico kunnen vormen.

      Een SSPM-oplossing biedt inzicht in gebruikersrechten en gevoelige toestemming voor alle verbonden SaaS-apps, waarbij de afwijking van toestemmingsgroepen en profielen wordt benadrukt.

      Systeembewerkingen

      Deze sectie richt zich op detectie en monitoring om te zorgen voor blijvende effectiviteit van informatiebeveiligingscontroles over systemen en netwerken, inclusief SaaS-apps. De diversiteit aan SaaS-apps en het potentieel voor verkeerde configuraties maken het een uitdaging om aan deze vereisten te voldoen.

      In CC7.1-controle moeten entiteiten:

      • Configuratiestandaarden definiëren
      • Monitor infrastructuur en software op niet-naleving van normen
      • Stel mechanismen voor wijzigingsdetectie in om personeel te waarschuwen voor ongeoorloofde wijziging van kritieke systeem-, configuratie- of inhoudsbestanden
      • Stel procedures vast voor het detecteren van de introductie van bekende of onbekende componenten
      • Voer periodieke kwetsbaarheidsscans uit om mogelijke kwetsbaarheden of verkeerde configuraties te detecteren

      Het is onrealistisch om van het beveiligingsteam te verwachten dat het een “configuratiestandaard” definieert die voldoet aan SOC2 zonder te vergelijken met een ingebouwde kennisbank van alle relevante SaaS-misconfiguraties en om continu te voldoen aan SOC2 zonder een SSPM-oplossing te gebruiken.

      Ontvang een demo van 15 minuten om te zien hoe een SSPM-oplossing uw SaaS-beveiligingshouding automatiseert voor SOC2 en andere standaarden.

      David
      Rate author
      Hackarizona