SaaS сигурност през 2026: как да намалите риска в Microsoft 365 и Google Workspace (без да усложнявате живота на екипите)

Все повече пробиви започват не от „хакната мрежа“, а от компрометирани акаунти, лошо настроени политики и прекалено широки права в SaaS. Ето практичен план за по-сигурни тенанти и по-малко инциденти.

Защо SaaS е новият „периметър“

Класическият периметър (офис, мрежа, VPN) вече не е центърът на всичко. Днес критичните данни и процеси са в:

  • имейл и колаборация
  • файлови хранилища
  • идентичности и роли
  • интеграции с външни приложения

В реални инциденти “първоначалният достъп” често е:

  • фишинг + кражба на сесия/токен
  • “consent phishing” (потребител да даде достъп на зловредно приложение)
  • компрометирани админ акаунти
  • “shadow” външни инструменти без контрол

10 контрола, които дават най-голям ефект (по приоритет)

  1. Фишинг-устойчив MFA за админи и чувствителни роли
    Ако имате възможност – hardware keys/passkeys за админите, минимум conditional access.
  2. Conditional Access / контекстен достъп
    • блокиране на legacy authentication
    • изискване на MFA при рискови логини
    • ограничаване по локация/устройство за админ портали
  3. Принцип на най-малките привилегии (Least Privilege)
    По-малко глобални админи, повече role-based админи; “just-in-time” достъп, където е възможно.
  4. Ограничете app consent-а и проверявайте OAuth приложенията
    Най-лесната “тиха” компрометация минава през приложение с прекалени права.
  5. Защитете споделянето на файлове
    • външно споделяне: default “off” или по allowlist
    • линкове с изтичане
    • забрана на “anyone with link” за чувствителни данни
  6. DLP правила за критични типове данни
    Не става дума за 200 правила. Започнете с 5–10 high-impact (ЕГН/лични данни, финансови, договори).
  7. Mailbox защити и анти-фишинг политики
    DMARC/SPF/DKIM, защита от имейл spoofing, warning банери за външни податели.
  8. Управление на устройствата (MDM/MAM)
    Особено ако имате BYOD: поне базови изисквания за pin/биометрия, encryption, не-root/jailbreak.
  9. Audit logging и alerting
    Включете/проверете audit logging и настройте аларми за ключови действия (виж по-долу).
  10. Backup/retention стратегия за SaaS данни
    Retention ≠ backup. Планирайте възстановяване на имейли/файлове при инцидент или човешка грешка.

Аларми, които си струват (минимум “starter pack”)

Настройте аларми/детекции за:

  • нов админ / промяна на роли
  • създаване/промяна на правила за препращане (forwarding) в поща
  • масово изтегляне/споделяне на файлове
  • добавяне на нов OAuth app с високи права
  • логини от нетипични държави/невъзможно пътуване
  • изключване на логване/политики за сигурност

Практична рамка “за 14 дни”

  • Ден 1–2: инвентар на роли/админи + включен audit logging
  • Ден 3–5: Conditional Access (legacy auth off, MFA за админи, базови правила)
  • Ден 6–8: външно споделяне + app consent ограничения
  • Ден 9–11: 10 аларми + процедури “кой реагира”
  • Ден 12–14: DLP (минимум) + tabletop упражнение (фишинг → компрометирана поща → ексфилтрация)