Obsidian Security White Paper: Zero Trust in a SaaS World
Yon papye blan Health-ISAC Navigator pa HITE PAPER:
Enpòtans pou òganizasyon swen sante yo pwolonje prensip zewo konfyans nan aplikasyon ki enpòtan pou biznis yo
Pdf vèsyon:
Tèks vèsyon:
Prensip Zero Trust
Fondasyon sekirite konfyans zewo a baze sou konsèp fondamantal ke konfyans implicite nan itilizatè yo ak aparèy nan anviwònman an ogmante risk pou yon konpwomi potansyèl. Lè yo elimine konfyans implicite sa a epi mande idantifikasyon strik ak otantifikasyon atravè rezo a, ekip sekirite ki anplwaye zewo konfyans espere limite anpil opòtinite pou nenpòt atakè k ap chèche jwenn aksè san otorizasyon nan done sansib.
Diskisyon yo pi bonè alantou zewo konfyans te kesyone efikasite nan mezi sekirite tradisyonèl perimèt, afime ke yon atakè ki kontoune sa yo ta gen aksè san limit nan rezo antrepriz la epi sijere olye ke chak demann pou aksè yo ta dwe konekte ak verifye. Depi lè sa a, zewo konfyans te evolye soti nan sekirite perimèt rezo a nan yon modèl ki pi santre sou idantite an repons a yon mendèv de pli zan pli mobil ak adopsyon nan sèvis nwaj.
Endistri swen sante a te sibi menm jan an tou yon transfòmasyon soti nan perimèt rezo lokal yo nan sistèm plis desantralize nan anplwaye mobil ak kontraktè, aparèy medikal ki konekte ak entènèt, ak aplikasyon pou nwaj. Kòm atakè yo vize òganizasyon swen sante yo ak pi gwo frekans, anpil lidè sekirite yo ap vire nan yon modèl konfyans zewo pou pi byen pwoteje anviwònman yo. Avèk aplikasyon ki gen plis done sansib pase tout tan, aplike fondasyon zewo konfyans sa a nan SaaS ka siyifikativman minimize risk ak enpak yon konpwomi potansyèl—men aplike li mande pou yon konpreyansyon pwofon ak verifikasyon kontinyèl nan chak moso aplikasyon SaaS ki enpòtan pou biznis yo.
Pote zewo konfyans nan SaaS
Zero konfyans pote avantaj sekirite sibstansyèl nan yon antrepriz, paske evite konfyans implicite minimize chans, enpak, ak tan pou detekte yon vyolasyon. Modèl sekirite zewo konfyans mande pou yon òganizasyon "pa janm fè konfyans, toujou verifye" fason yo konekte, jwenn aksè, epi sèvi ak teknoloji enfòmasyon antrepriz. Dapre Enstiti Nasyonal Estanda ak Teknoloji (NIST 800-207), zewo konfyans mande pou aplikasyon twa prensip kle:
- Verifikasyon kontinyèl aksè pou chak eleman
- Limite enpak yon vyolasyon potansyèl
- Koleksyon done konpòtman pou fasilite repons pi rapid ensidan
Pote zewo konfyans nan aplikasyon SaaS ou yo vle di aplike menm prensip sa yo lè w ap desine kontwòl yo. Li pa ase tou senpleman konte sou yon sèl sign-on (SSO) ak otantifikasyon milti-faktè (MFA); solisyon sa yo bay premye verifikasyon aksè itilizatè, men yo pa verifye chak eleman nan anviwònman an SaaS. Zewo konfyans pou SaaS mande pou yon konpreyansyon pi pwofon sou chak aplikasyon, pa konte sou founisè idantite a pou kont li.
Anviwònman SaaS entèkonekte a Paske zewo konfyans mande pou verifikasyon kontinyèl nan chak eleman, li pa ase tou senpleman valide koneksyon ki genyen ant yon kliyan ak aplikasyon an—gen lòt sous risk nan anviwònman an SaaS ki mande siveyans. Yon apwòch zewo konfyans nan sekirite SaaS kòmanse ak yon konpreyansyon konplè sou twa eleman prensipal yo nan achitekti aplikasyon an: koneksyon kliyan an, aplikasyon an li menm, ak lòt sèvis ki konekte ak aplikasyon an.
Anviwònman SaaS ki konekte
Paske zewo konfyans mande pou verifikasyon kontinyèl nan chak eleman, li pa ase tou senpleman valide koneksyon ki genyen ant yon kliyan ak aplikasyon an - gen lòt sous risk nan anviwònman an SaaS ki mande pou siveyans. Yon apwòch zewo konfyans nan sekirite SaaS kòmanse ak yon konpreyansyon konplè sou twa eleman prensipal yo nan achitekti aplikasyon an: koneksyon kliyan an, aplikasyon an li menm, ak lòt sèvis ki konekte ak aplikasyon an.
Koneksyon Kliyan an
Konprann otantifikasyon, privilèj, ak aksyon itilizatè yo nan ak atravè aplikasyon ki enpòtan pou biznis yo se absoliman nesesè pou defini sijè ki abòde risk chak itilizatè yo. Done sa yo dwe kontinyèlman rasanble ak nòmalize nan yon fòma sèl, fasil konprann pou ekip sekirite ou a kapab fasilman aksesib. Sa a pwolonje prensip "pa janm fè konfyans, toujou verifye" pi lwen pase founisè idantite yo ak nan aplikasyon yo SaaS tèt yo.
Aplikasyon an
Aplikasyon Enterprise SaaS yo se sistèm natirèlman inik ak konplèks ak pwòp frajilite estriktirèl yo ak pwoblèm espesifik nan chak anviwònman itilizatè. Siveyans kontinyèl nan pozisyon sekirite aplikasyon an se yon pati enpòtan nan zewo konfyans-sa a gen ladan tou de konfigirasyon aplikasyon an ak privilèj akòde itilizatè yo. Jesyon pwèstans sekirite SaaS (SSPM) pa sèlman vle di konnen eta kontwòl ak otorizasyon, men tou siveyans aktivite ki asosye ak chak youn.
Entegrasyon yo
Lè itilizatè ak administratè SaaS entegre aplikasyon twazyèm pati yo nan aplikasyon prensipal yo pou elaji fonksyonalite yo, otomatize workflows, epi pèmèt kominikasyon kwa-platfòm, yo bay aksè ak otorizasyon ki pèsistan pou koneksyon an. Sa a ka kreye yon risk sekirite grav si yo pa tcheke. Menm aplikasyon twazyèm pati yo ka konpwomèt, bay yon pòt deye nan sèvis debaz la. Siveyans kontinyèl ak deteksyon menas pou entegrasyon se yon pati enpòtan nan konfyans zewo pou SaaS.
Rete devan menas yo
Kliyan yo, entegrasyon, ak aplikasyon nan anviwònman SaaS ou a tout prezante kèk degre nan risk epi, si yo pa tcheke, yo ka vin pwen antre potansyèl vyolasyon. Òganizasyon ki pa kontinyèlman kontwole koneksyon sa yo nan anviwònman SaaS yo efektivman avèg pou menas ak twou vid ki genyen nan pozisyon nan aplikasyon debaz yo, kite achitekti zero konfyans yo enkonplè.
Defi a pou òganizasyon swen sante yo espesyalman enpòtan paske atakè yo ap chèche opòtinite pou akable ekip sekirite yo. Depatman Sante ak Sèvis Imen (HHS) Etazini te rapòte yon ogmantasyon 50% nan vyolasyon sibèsekirite swen sante nan premye mwatye ane 2020, sa ki te deranje òganizasyon swen sante yo ki te okipe ak pandemi COVID-19 k ap parèt.
Atakè de pli zan pli sofistike yo ka itilize yon varyete teknik pou kontourne founisè idantite yo epi jwenn aksè san otorizasyon nan anviwònman SaaS, tankou vòl sesyon ak abi OAuth.
Sesyon kidnape avyon
Pou amelyore eksperyans itilizatè a, aplikasyon SaaS bay yon siy sesyon ki estoke nan navigatè a ki idantifye itilizatè a epi ki pèmèt aksè san yo pa bezwen yon login chak vizit. Tokens sa yo prèske enposib pou devine, pwoteje ak SSL sou rezo a, epi ankripte lè yo estoke sou pwen final la. Yon fwa yon itilizatè gen yon siy, yo ka revize aplikasyon an sou yon peryòd plizyè jou san yo pa bezwen re-otantifye. Nan ka yon founisè idantite (IDP) tankou Okta, Duo, oswa Microsoft Azure AD, li pèmèt yo otantifye aplikasyon yo otorize, jenere nouvo siy aplikasyon espesifik epi fasilite aksè san friksyon nan tout sèvis yo.
Malerezman, konvenyans yo bay nan siy sesyon ki dire lontan te kreye yon ouvèti pou atakè yo eksplwate. Olye ke yo eseye vòlè non itilizatè yo ak modpas, atakè yo ap eseye etabli pèsistans nan IDP SaaS la atravè malveyan oswa yon atak man-in-the-middle. Atakè yo rete tann pou yon aparèy otantifye avèk siksè ak MFA anvan yo entèsepte siy sesyon an nan transpò. Lè sa a, yo kapab konekte ak IDP a kòm yon itilizatè konplètman otantifye, ki pèmèt atakè yo konekte nan chak aplikasyon pou itilizatè a gen aksè. Teknik sa a ka bay atakè yo jiska 30 jou aksè konplè san yo pa janm otantifye.
Bypass otantifikasyon esansyèlman pèmèt atakè yo anile nenpòt aspè nan konfyans zewo prezan nan yon òganizasyon. Sa a tou pèmèt yo evite majorite nan zouti yon ekip sekirite a ki souvan konsantre sou sous la ak nati yon login.
Yon egzanp sofistike nan vòl siy ka difisil pou idantifye manyèlman. Ekip sekirite yo dwe ekipe ak yon solisyon ki toujou analize ak modèl aktivite itilizatè yo pou idantifye anomali ki ka sibtil ki asosye ak vòl sesyon yo nan lòd yo fasilite ratrapaj rapid. Asire ke pèsonèl sekirite yo gen yon konpreyansyon klè sou entèraksyon itilizatè a ak founisè idantite a ak aktivite yo nan ak atravè aplikasyon SaaS pèmèt pi bon repons ensidan ak rapò.
Abi aplikasyon OAuth
Interkoneksyon aplikasyon yo bay youn nan pi gwo avantaj pwodiktivite SaaS. Itilizatè yo ak administratè yo souvan entegre sèvis yo nan lòd yo ogmante ak elaji fonksyonalite a nan yon aplikasyon debaz. Administratè aplikasyon yo souvan konekte sèvis tankou Salesforce ak Microsoft 365, pandan y ap itilizatè endividyèl yo regilyèman konekte swit pwodiktivite antrepriz tankou Google Workspace ak Microsoft 365 ak zouti twazyèm pati tankou Grammarly, Evernote, ak Asana. Koneksyon sa yo anjeneral fèt atravè yon sibvansyon OAuth, ki tou senpleman mande pou yon itilizatè klike sou yon lyen ki otorize aksè nan aplikasyon an. Yon fwa otorize, entegrasyon yo ka jwenn aksè nan anviwònman an SaaS ak otorizasyon ak aksè done ekivalan a itilizatè a.
Tanpri li tout papye a nan Pdf ki anwo a.
- Resous ki gen rapò ak nouvèl
- Ogmantasyon atak CalPhishing nan sektè sante a
- Pi bon pratik pou jere jesyon idantite ak aksè twazyèm pati
- Sa Lidè nan Sektè Swen Sante yo Bezwen Konnen sou Sibèsekirite an 2026-2027
- Ki sa Dekrè Egzekitif Trump sou IA vle di pou sektè swen sante a
- Rapò sou Peyizaj Menas Swen Sante ak Asistans Sosyal
- IA ajan nan swen sante se yon pwopozisyon ki riske.
- Live@eXchange Jou 2 – Analist Sekirite Aparèy Medikal Health-ISAC
- Health-ISAC Hacking Healthcare 6-3-2026
- Nouvo vilnerabilite ki vize endistri swen sante a
- Bilten Mansyèl – Jen 2026