沃卡惠移动端logo

沃卡惠  行业资讯

资讯详情

应对SaaS蔓延带来的安全挑战

2022-11-10 09:03:554636

软件即服务 (SaaS) 的快速采用加剧了安全和 IT 团队的可见性挑战,而 SaaS 的使用带来了更大程度的新挑战。

根据 Axonius 最近的一项调查,虽然 66% 的组织在 SaaS 应用程序上的支出比以往任何时候都多,但 60% 的受访者将 SaaS 安全性列为其当前安全优先级列表的第四位或更低。

SaaS 数据蔓延是信息在不同应用程序中分散分布的结果,这使得 IT 和安全团队难以确定所有数据所在的位置、敏感或个人身份信息 (PII) 的处理位置以及谁有权访问数据。

此外,当存在业务不知道的SaaS应用程序(即影子SaaS)时,就无法对其进行保护,因此它们成为最大的漏洞点,黑客最常将其作为攻击目标。

Axonius 的一个业务部门 AxoniusX 的首席执行官 Amir Ofek 说:“想想一个员工更愿意使用 Google Drive,即使他们的组织正式使用 Box。”“无论如何,他们可能会使用 Google Drive,但没有通知 IT,他们可能会向其中上传机密或敏感信息。”

他解释说,即使 Google Drive 是安全的,如果他们离开他们的组织,这些数据将永远保留在 Google Drive 中,而且追踪和恢复将变得更加困难。

考虑另一个示例:Salesforce 提供了无限数量的支持集成。许多团队将 Salesforce 与电子邮件工具、营销工具、聊天和协作工具等集成在一起。

这意味着存储在 Salesforce 中的客户数据可以很容易地传输到任何其他应用程序——因此很难跟踪数据所在的每个位置。“这意味着您将客户数据置于风险之中,”Ofek 说。“在 GDPR 等合规要求意味着对保护客户数据进行更严格审查的时代,不受管理的 SaaS 蔓延是一项冒险的任务。”

SaaS 安全需要综合方法

Gartner 基础设施保护团队的高级主管分析师 Charlie Winckless 表示,SaaS 蔓延带来了安全挑战,仅仅是因为组织无法了解正在发生的事情。

“如果有人选择采用 SaaS 应用程序,那么 IT 安全部门可能从未看过该 SaaS 应用程序,从未选择过该应用程序是否安全,从未查看过其周围的控制,也从未做出决定至于它是否适合放入其中的数据,”他解释说。

他指出,没有安全意识的人正在根据便利性和可访问性做出决定,而这两者很少与安全性并驾齐驱。

“安全几乎很少是技术问题,尽管有一些技术解决方案可以提供帮助,”Winckless 解释道。“让 SaaS 成为您的云卓越中心的一部分意味着批准 SaaS 应用程序用于常见的业务用例。”

他建议组织制定简单而标准的调查问卷,可用于确定应用程序中将包含哪些类型的数据以及有多少用户进入其中。“这样你就可以优先考虑并在每个领域建立适量的风险和适量的工作,”他说。

最重要的是,企业必须开始添加工具,以赋予他们传统上云访问安全代理 (CASB) 领域的能力。“现在我可以看到我的用户群体正在采用哪些 SaaS 应用程序,并且优秀的 CASB 具有灵活和动态的风险矩阵和风险评分,因此我可以开始了解 SaaS 应用程序的风险有多大,”Winckless 说。

远程、混合劳动力加入 SaaS 蔓延

自动化 SaaS 安全提供商 DoControl 的产品总监 Corey O'Connor 指出,远程和混合工作模式对 SaaS 的使用和蔓延都产生了重大影响。

“当他们开始获得关注时,CIO 的回应是允许企业使用任何必要的工具来支持业务,”他解释道。“鉴于 SaaS 的采用和使用激增,这对 CISO 以及 IT 和安全团队构成了挑战。”

随着组织开始适应工作环境的“新常态”,这造成了需要解决的安全漏洞。

“随着劳动力现在更加分散,迫切需要在所有旨在推动业务支持的不同 SaaS 应用程序中集中安全性,”O'Connor 说。

Ofek 表示同意,并指出随着越来越多的组织采用混合工作模式,安全和 IT 团队将需要围绕 SaaS 应用程序设计新的流程、策略和控制措施,以实现安全且轻松的访问——这首先要从可见性开始。

“他们将需要能够帮助开发单一事实来源的解决方案,包括完整的应用程序清单——授权和影子 SaaS——每个应用程序的设置和配置的完整列表,以及与每个应用程序相关的员工和权限级别执照,”他说。

O'Connor 表示,鉴于 SaaS 应用程序承诺提供的积极成果,他认为其增长和采用的积极趋势可能会继续存在。

“安全需要放在首位,”他建议道。“否则,最终结果会变成技术债务,最终会拖慢业务,具有讽刺意味的是,这与 SaaS 应用程序的设计目的相反。”

SaaS 安全涉及整个企业的利益相关者

Ofek 补充说,在评估组织的风险时,重要的是要纳入组织的所有潜在风险元素。

“在当今世界,这越来越意味着 SaaS 应用程序,”他说。“具体而言,风险官、FinOps 团队和第三方风险经理应就适当且高安全风险的 SaaS 管理、使用行为和安全最佳实践与安全团队进行协商。”

最重要的是,与大多数与技术相关的计划一样,SaaS 安全必须从头开始。

Ofek 指出,Axonius 的调查发现,近四分之一 (23%) 的受访者表示他们没有专注于 SaaS,因为来自最高管理层的压力让他们专注于其他问题。

“高层领导者,即领导业务和做出重要决策的个人,需要确保不仅向 IT 和安全团队,而且向所有员工传达 SaaS 安全对其组织未来的重要性,”他说.