軟件即服務(wù) (SaaS) 的快速采用加劇了安全和 IT 團(tuán)隊(duì)的可見性挑戰(zhàn)，而 SaaS 的使用帶來了更大程度的新挑戰(zhàn)。

根據(jù) Axonius 最近的一項(xiàng)調(diào)查，雖然 66% 的組織在 SaaS 應(yīng)用程序上的支出比以往任何時(shí)候都多，但 60% 的受訪者將 SaaS 安全性列為其當(dāng)前安全優(yōu)先級(jí)列表的第四位或更低。

SaaS 數(shù)據(jù)蔓延是信息在不同應(yīng)用程序中分散分布的結(jié)果，這使得 IT 和安全團(tuán)隊(duì)難以確定所有數(shù)據(jù)所在的位置、敏感或個(gè)人身份信息 (PII) 的處理位置以及誰有權(quán)訪問數(shù)據(jù)。

此外，當(dāng)存在業(yè)務(wù)不知道的SaaS應(yīng)用程序（即影子SaaS）時(shí)，就無法對(duì)其進(jìn)行保護(hù)，因此它們成為最大的漏洞點(diǎn)，黑客最常將其作為攻擊目標(biāo)。

Axonius 的一個(gè)業(yè)務(wù)部門 AxoniusX 的首席執(zhí)行官 Amir Ofek 說：“想想一個(gè)員工更愿意使用 Google Drive，即使他們的組織正式使用 Box。”“無論如何，他們可能會(huì)使用 Google Drive，但沒有通知 IT，他們可能會(huì)向其中上傳機(jī)密或敏感信息。”

他解釋說，即使 Google Drive 是安全的，如果他們離開他們的組織，這些數(shù)據(jù)將永遠(yuǎn)保留在 Google Drive 中，而且追蹤和恢復(fù)將變得更加困難。

考慮另一個(gè)示例：Salesforce 提供了無限數(shù)量的支持集成。許多團(tuán)隊(duì)將 Salesforce 與電子郵件工具、營銷工具、聊天和協(xié)作工具等集成在一起。

這意味著存儲(chǔ)在 Salesforce 中的客戶數(shù)據(jù)可以很容易地傳輸?shù)饺魏纹渌麘?yīng)用程序——因此很難跟蹤數(shù)據(jù)所在的每個(gè)位置。“這意味著您將客戶數(shù)據(jù)置于風(fēng)險(xiǎn)之中，”Ofek 說。“在 GDPR 等合規(guī)要求意味著對(duì)保護(hù)客戶數(shù)據(jù)進(jìn)行更嚴(yán)格審查的時(shí)代，不受管理的 SaaS 蔓延是一項(xiàng)冒險(xiǎn)的任務(wù)。”

SaaS 安全需要綜合方法

Gartner 基礎(chǔ)設(shè)施保護(hù)團(tuán)隊(duì)的高級(jí)主管分析師 Charlie Winckless 表示，SaaS 蔓延帶來了安全挑戰(zhàn)，僅僅是因?yàn)榻M織無法了解正在發(fā)生的事情。

“如果有人選擇采用 SaaS 應(yīng)用程序，那么 IT 安全部門可能從未看過該 SaaS 應(yīng)用程序，從未選擇過該應(yīng)用程序是否安全，從未查看過其周圍的控制，也從未做出決定至于它是否適合放入其中的數(shù)據(jù)，”他解釋說。

他指出，沒有安全意識(shí)的人正在根據(jù)便利性和可訪問性做出決定，而這兩者很少與安全性并駕齊驅(qū)。

“安全幾乎很少是技術(shù)問題，盡管有一些技術(shù)解決方案可以提供幫助，”Winckless 解釋道。“讓 SaaS 成為您的云卓越中心的一部分意味著批準(zhǔn) SaaS 應(yīng)用程序用于常見的業(yè)務(wù)用例。”

他建議組織制定簡單而標(biāo)準(zhǔn)的調(diào)查問卷，可用于確定應(yīng)用程序中將包含哪些類型的數(shù)據(jù)以及有多少用戶進(jìn)入其中。“這樣你就可以優(yōu)先考慮并在每個(gè)領(lǐng)域建立適量的風(fēng)險(xiǎn)和適量的工作，”他說。

最重要的是，企業(yè)必須開始添加工具，以賦予他們傳統(tǒng)上云訪問安全代理 (CASB) 領(lǐng)域的能力。“現(xiàn)在我可以看到我的用戶群體正在采用哪些 SaaS 應(yīng)用程序，并且優(yōu)秀的 CASB 具有靈活和動(dòng)態(tài)的風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)評(píng)分，因此我可以開始了解 SaaS 應(yīng)用程序的風(fēng)險(xiǎn)有多大，”Winckless 說。

遠(yuǎn)程、混合勞動(dòng)力加入 SaaS 蔓延

自動(dòng)化 SaaS 安全提供商 DoControl 的產(chǎn)品總監(jiān) Corey O'Connor 指出，遠(yuǎn)程和混合工作模式對(duì) SaaS 的使用和蔓延都產(chǎn)生了重大影響。

“當(dāng)他們開始獲得關(guān)注時(shí)，CIO 的回應(yīng)是允許企業(yè)使用任何必要的工具來支持業(yè)務(wù)，”他解釋道。“鑒于 SaaS 的采用和使用激增，這對(duì) CISO 以及 IT 和安全團(tuán)隊(duì)構(gòu)成了挑戰(zhàn)。”

隨著組織開始適應(yīng)工作環(huán)境的“新常態(tài)”，這造成了需要解決的安全漏洞。

“隨著勞動(dòng)力現(xiàn)在更加分散，迫切需要在所有旨在推動(dòng)業(yè)務(wù)支持的不同 SaaS 應(yīng)用程序中集中安全性，”O'Connor 說。

Ofek 表示同意，并指出隨著越來越多的組織采用混合工作模式，安全和 IT 團(tuán)隊(duì)將需要圍繞 SaaS 應(yīng)用程序設(shè)計(jì)新的流程、策略和控制措施，以實(shí)現(xiàn)安全且輕松的訪問——這首先要從可見性開始。

“他們將需要能夠幫助開發(fā)單一事實(shí)來源的解決方案，包括完整的應(yīng)用程序清單——授權(quán)和影子 SaaS——每個(gè)應(yīng)用程序的設(shè)置和配置的完整列表，以及與每個(gè)應(yīng)用程序相關(guān)的員工和權(quán)限級(jí)別執(zhí)照，”他說。

O'Connor 表示，鑒于 SaaS 應(yīng)用程序承諾提供的積極成果，他認(rèn)為其增長和采用的積極趨勢(shì)可能會(huì)繼續(xù)存在。

“安全需要放在首位，”他建議道。“否則，最終結(jié)果會(huì)變成技術(shù)債務(wù)，最終會(huì)拖慢業(yè)務(wù)，具有諷刺意味的是，這與 SaaS 應(yīng)用程序的設(shè)計(jì)目的相反。”

SaaS 安全涉及整個(gè)企業(yè)的利益相關(guān)者

Ofek 補(bǔ)充說，在評(píng)估組織的風(fēng)險(xiǎn)時(shí)，重要的是要納入組織的所有潛在風(fēng)險(xiǎn)元素。

“在當(dāng)今世界，這越來越意味著 SaaS 應(yīng)用程序，”他說。“具體而言，風(fēng)險(xiǎn)官、FinOps 團(tuán)隊(duì)和第三方風(fēng)險(xiǎn)經(jīng)理應(yīng)就適當(dāng)且高安全風(fēng)險(xiǎn)的 SaaS 管理、使用行為和安全最佳實(shí)踐與安全團(tuán)隊(duì)進(jìn)行協(xié)商。”

最重要的是，與大多數(shù)與技術(shù)相關(guān)的計(jì)劃一樣，SaaS 安全必須從頭開始。

Ofek 指出，Axonius 的調(diào)查發(fā)現(xiàn)，近四分之一 (23%) 的受訪者表示他們沒有專注于 SaaS，因?yàn)閬碜宰罡吖芾韺拥膲毫ψ屗麄儗Ｗ⒂谄渌麊栴}。

“高層領(lǐng)導(dǎo)者，即領(lǐng)導(dǎo)業(yè)務(wù)和做出重要決策的個(gè)人，需要確保不僅向 IT 和安全團(tuán)隊(duì)，而且向所有員工傳達(dá) SaaS 安全對(duì)其組織未來的重要性，”他說.