JPMorganChase öffentlicher Brief fordert dringende branchenweite Maßnahmen gegen SaaS-Risiken
Drittanbieter-SaaS-Modelle setzen kritische Infrastruktur gefährlichen Cybersecurity-Bedrohungen aus
Unternehmen verlassen sich auf unsichere Integrationen, die Vertrauensgrenzen zwischen Systemen aufheben
JPMorganChase, die größte Bank der Welt, hat vor den Gefahren der SaaS-Technologie gewarnt, die von Organisationen auf der ganzen Welt jeden Tag verwendet wird.
In einem offenen Brief warnte CISO Patrick Opet vor wachsenden Bedenken, dass die Geschwindigkeit der SaaS-Adoption die Sicherheitsentwicklung übertroffen hat.
Insbesondere stellte Opet fest, dass Anbieter die schnelle Bereitstellung von Funktionen über eine sichere Architektur priorisiert haben, was systemische Schwachstellen in der Software-Lieferkette schafft.
Du magst vielleicht
Ein Appell
„Ein KI-gesteuerter Kalenderoptimierungsdienst, der direkt in Unternehmens-E-Mail-Systeme über „nur-Lese-Rollen“ und „Authentifizierungstoken“ integriert ist, kann zweifellos die Produktivität steigern, wenn er richtig funktioniert“, sagte Opet.
„Doch wenn kompromittiert, gewährt diese direkte Integration Angreifern beispiellose Zugriff auf vertrauliche Daten und wichtige interne Kommunikation.“
Opet warnte weiter, dass Tausende von Organisationen jetzt in Ökosystemen eingebettet sind, die stark von einer kleinen Gruppe von Dienstleistern abhängen – wenn also einer kompromittiert wird, könnten die Auswirkungen verheerend sein.
„Moderne Integrationsmuster zerstören diese essentiellen Grenzen, die stark auf modernen Identitätsprotokollen (z.B. OAuth) beruhen, um direkte, oft ungeprüfte Interaktionen zwischen Drittanbieterdiensten und sensiblen internen Ressourcen der Unternehmen zu schaffen“, sagte Opet.
„In der Praxis bauen diese Integrationsmodelle Authentifizierung (Identitätsprüfung) und Autorisierung (Berechtigungen erteilen) in übermäßig vereinfachte Interaktionen ein, die effektiv einstufiges explizites Vertrauen zwischen Systemen im Internet und privaten internen Ressourcen schaffen. Diese architektonische Regression untergräbt grundlegende Sicherheitsprinzipien, die sich als widerstandsfähig erwiesen haben.“
JPMorganChase hat bereits in den letzten drei Jahren eine Reihe von Drittanbieterverletzungen erlebt, die schnelles Handeln erforderten, um kompromittierte Partner zu isolieren und Bedrohungen zu mindern. Diese Vorfälle haben die Risiken durch hochgradig vernetzte Drittanbieter-Ökosysteme hervorgehoben.
„Der harte Wettbewerb unter Softwareanbietern hat die Priorisierung der schnellen Funktionenentwicklung über eine robuste Sicherheit vorangetrieben“, schrieb Opet.
„Dies führt oft zu überstürzten Produktveröffentlichungen ohne umfassende Sicherheit oder Standardaktivierung, was wiederholt Möglichkeiten für Angreifer schafft, Schwachstellen auszunutzen. Die Verfolgung von Marktanteilen auf Kosten der Sicherheit setzt ganze Kundenökosysteme einem erheblichen Risiko aus und wird zu einer untragbaren Situation für das Wirtschaftssystem führen.“
Er zitierte auch neue Bedrohungen, die aus Token-Diebstählen, undurchsichtigen vierten Parteiabhängigkeiten und privilegierten Zugriffen ohne ausreichende Transparenz entstehen.
„Der effektivste Weg, um Veränderungen zu beginnen, besteht darin, diese Integrationsmodelle ohne bessere Lösungen abzulehnen“, schloss Opet. „Ich hoffe, Sie werden sich mir anschließen, um diese Herausforderung anzuerkennen und entschlossen, kooperativ und unverzüglich zu reagieren.“
Du könntest auch mögen
„