SaaS і продуктові ІТ-компанії

З ростом SaaS контроль зміщується до кінцевих користувачів і адміністраторів клієнта — і саме там найчастіше виникають помилки та зловживання. У SaaS ризики концентруються навколо ролей, сесій, токенів і API.

• Автентифікація й сеанси: слабкі політики MFA, проблеми в SSO/OAuth, надто довгі сесії, витоки refresh-токенів, відсутність прив’язки сесії до контексту/пристрою, небезпечне перемикання акаунтів.
• RBAC / ABAC: занадто широкі ролі за замовчуванням, відсутність розподілу обов’язків, помилки наслідування прав, привілейовані дії без step-up auth, відсутність процедур “break-glass”.
• Тіньові інтеграції: підключення сторонніх застосунків через OAuth/ключі створює неконтрольовані канали доступу та витоку даних.
• Дії інсайдера: експорти, масові видалення/зміни, зміни правил спільного використання, вимкнення/модифікація аудит-логів — без належного моніторингу виглядає “легітимно”.

Критичний ризик у SaaS — порушення меж орендарів (tenants): одна помилка контексту може дати cross-tenant доступ.

• Ізоляція на рівні застосунку: помилки tenant-context (IDOR, підміна tenant_id), небезпечні “глобальні” запити, прогалини row-level security, змішування кешів і черг задач.
• Ізоляція на рівні інфраструктури: спільні БД, кластери, сховища й секрети, а також відсутність сегментації мережі.
• Спільна робота й шаринг: публічні посилання, гостьові користувачі, спільні простори, шаблони прав — часте джерело випадкових витоків.
• Бекапи та експорти: резервні копії, снапшоти, аналітичні сховища, пошукові індекси й логи можуть стати обхідним шляхом до чутливих даних.

Секрети — “кров” SaaS: токени, ключі, паролі, сертифікати, ключі підпису, KMS. Витоки зазвичай стаються через процеси, а не через “складний злам”.

• секрети в репозиторіях, CI-логах, змінні середовища, helm-values, IaC;
• один ключ “на все” замість розділення по середовищах/тенантах;
• слабка ротація, відсутність сканування секретів, надмірні права сервіс-акаунтів;
• небезпечне зберігання/видача токенів інтеграцій (вебхуки, ключі API, PAT).

SaaS релізиться часто, тому ланцюжок постачання розробки — критична поверхня атаки.

• CI/CD: підміна артефактів, компрометація runner’ів, небезпечні пайплайни, відсутність підписання артефактів, слабкий контроль прав на деплой.
• Залежності й контейнери: вразливі або скомпрометовані пакети, typosquatting, CVE у base images, відсутність SBOM та політики патчів.
• IaC: помилки в Terraform/CloudFormation, дрейф конфігурацій, неконтрольовані зміни через консоль.

Багато інцидентів починаються з помилок конфігурації хмари, а не з 0-day.

• публічні бакети/снапшоти, зайво відкриті групи безпеки, доступні ззовні адмін-панелі;
• надмірні IAM-права, відсутність політик меж, незахищені endpoints метаданих;
• слабкі налаштування WAF/rate limits, слабкий захист API, відсутність сегментації;
• слабке шифрування, ключі без обмежень використання.

Навіть сильний захист не працює без спостережуваності та готовності до інцидентів — і без зрозумілого керування даними.

• Логи й аудит: неповні audit logs (хто/що/коли/звідки), немає кореляції дій, слабка ретенція, логи не захищені від модифікації.
• IR readiness: немає runbook’ів, немає форензик-готовності, не відпрацьовані сценарії витоку токенів/захоплення адміна/масового експорту.
• Data residency & governance: де реально живуть дані (основні, бекапи, логи, аналітика), як працює видалення/retention, як керуються субпроцесори, як виконуються вимоги GDPR, DPA й корпоративних клієнтів.
• Вибір стандартів: ризик “потягнути все” (SOC 2 + ISO 27001 + NIST + CIS + галузеві вимоги) без маппінгу контролів — дорого й хаотично; потрібен мінімальний базовий набір контролів, що закриває максимум вимог.