SaaS 安全：現(xiàn)代安全管理的新挑戰(zhàn)

作者：佚名 2021-06-30 10:55:00
安全
云安全
SaaS Gartner指出，到2025年，99%的云安全事件將是由客戶的問(wèn)題造成的。在任何一種情況下，SaaS 客戶在安全義務(wù)方面缺乏意識(shí)，或拖延履行這些責(zé)任都應(yīng)該引起關(guān)注。

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到盤(pán)錦網(wǎng)站設(shè)計(jì)與盤(pán)錦網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊(cè)、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋盤(pán)錦地區(qū)。

嘗試向大型組織的安全團(tuán)隊(duì)中的任何人提出“SaaS安全性”的話題。你可能會(huì)聽(tīng)到，“是的，我們的安全是由大型SaaS平臺(tái)來(lái)處理的，非常好!”，也許你也會(huì)聽(tīng)到一聲長(zhǎng)嘆，接著是“是的，我必須盡快解決這個(gè)問(wèn)題……”。

在任何一種情況下，SaaS 客戶在安全義務(wù)方面缺乏意識(shí)，或拖延履行這些責(zé)任都應(yīng)該引起關(guān)注。

在我執(zhí)行的 55% 的 SaaS 漏洞評(píng)估中，我們發(fā)現(xiàn)數(shù)據(jù)從 SaaS 環(huán)境泄漏到匿名互聯(lián)網(wǎng)。我們 95% 的 SaaS 漏洞評(píng)估揭示了過(guò)度配置外部 SaaS 用戶的帳戶。此外，在每個(gè)SaaS環(huán)境中，我們平均識(shí)別出42個(gè)連接的第三方應(yīng)用。這42個(gè)中有22個(gè)通?？梢栽L問(wèn)敏感數(shù)據(jù)，但已超過(guò)6個(gè)月沒(méi)有使用過(guò)。

在任何其他安全情景中，我們都會(huì)聲明，對(duì)能夠訪問(wèn)敏感數(shù)據(jù)的客戶用戶的過(guò)度供應(yīng)是一個(gè)值得立即糾正的高風(fēng)險(xiǎn)問(wèn)題。我們將證明，需要取消一個(gè)無(wú)目的連接、但訪問(wèn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的第三方集成。我們會(huì)立即鎖定任何將我們的數(shù)據(jù)泄露到匿名互聯(lián)網(wǎng)上的問(wèn)題，甚至可能引入我們的IR或法律團(tuán)隊(duì)來(lái)評(píng)估回應(yīng)的可行性。在任何其他安全領(lǐng)域，這些結(jié)果都不能被安全團(tuán)隊(duì)所接受。然而，當(dāng)涉及SaaS時(shí)，所有這些情況都很常見(jiàn)。為什么這一切就發(fā)生在我們的腳下?

首先，這一代最優(yōu)秀的銷售人員早就告訴企業(yè)高管，SaaS 平臺(tái)是解決本地應(yīng)用所伴隨的持續(xù)安全問(wèn)題的答案。

實(shí)際上，這并不完全正確。SaaS應(yīng)用為提供商的體系結(jié)構(gòu)提供內(nèi)置的安全性，由業(yè)界一些最好的安全專業(yè)人員加固，并經(jīng)過(guò)嚴(yán)格的測(cè)試。然而，SaaS所有權(quán)模型的某些部分完全管理不善——而這些管理不善發(fā)生在我們作為最終用戶應(yīng)該負(fù)責(zé)的配置中。

事實(shí)上，Gartner指出，到2025年，99%的云安全事件將是由客戶的問(wèn)題造成的。在過(guò)去的幾年里，我們已經(jīng)看到了云的錯(cuò)誤配置對(duì)我們的安全態(tài)勢(shì)是有害的，我們都在努力解決這些問(wèn)題。我們必須對(duì)SaaS應(yīng)用做同樣的事情，否則就會(huì)看到我們?cè)谠瓢踩矫娴倪M(jìn)步被削弱，因?yàn)槲覀冃孤读诉^(guò)去五年努力保護(hù)的相同數(shù)據(jù)。

人們?nèi)匀粨?dān)心揭開(kāi)SaaS安全的面紗，因?yàn)檫@會(huì)暴露出需要更多工作、更多預(yù)算和更多焦慮的結(jié)果。但如果你問(wèn)任何一家遭受過(guò)云數(shù)據(jù)泄露的公司，他們都會(huì)告訴你，主動(dòng)出擊比緊急應(yīng)對(duì)壞消息更好、更便宜，因?yàn)閴南?huì)破壞員工的路線圖，讓他們乞求預(yù)算來(lái)解決即將出現(xiàn)的一個(gè)高度可預(yù)測(cè)的問(wèn)題?，F(xiàn)代安全團(tuán)隊(duì)知道，采取行動(dòng)的時(shí)間是在事故發(fā)生之前。

好消息是，現(xiàn)在已經(jīng)有了將安全控制構(gòu)建到SaaS部署中的勢(shì)頭。許多組織在appsec中啟用了一種混合方法，將安全性“構(gòu)建到”部署過(guò)程中。這些做法可以節(jié)約成本，提高效率，更重要的是促進(jìn)文化發(fā)展。組織沒(méi)有理由停止應(yīng)用安全性方面的主動(dòng)安全——相反，將這些實(shí)踐構(gòu)建到關(guān)鍵SaaS應(yīng)用和云基礎(chǔ)設(shè)施的管理中肯定是未來(lái)幾年的最佳實(shí)踐方法。

以下是組織可以采取的一些措施，以啟動(dòng) SaaS 安全計(jì)劃。

投資于可擴(kuò)展的方法

當(dāng)前的安全工具集是為不同的時(shí)代構(gòu)建的，當(dāng)我們對(duì)網(wǎng)絡(luò)活動(dòng)做出反應(yīng)并擔(dān)心關(guān)鍵數(shù)據(jù)存儲(chǔ)在我們擁有的內(nèi)部或受監(jiān)控系統(tǒng)中時(shí)。這些安全解決方案無(wú)法適應(yīng)我們進(jìn)入的現(xiàn)代 SaaS 驅(qū)動(dòng)時(shí)代。但是，除非你認(rèn)識(shí)到需要通過(guò)新的創(chuàng)新解決方案實(shí)現(xiàn)技術(shù)自動(dòng)化，否則擴(kuò)展 SaaS 安全計(jì)劃將對(duì)你的團(tuán)隊(duì)造成負(fù)擔(dān)。 SaaS 環(huán)境極度敏捷的特性需要一定程度的自動(dòng)化和一些業(yè)務(wù)“產(chǎn)品化”才能真正保護(hù)你的企業(yè)部署。首先調(diào)查和確定可自動(dòng)執(zhí)行 SaaS 安全狀況并檢測(cè)與最佳實(shí)踐的偏差的解決方案和策略。

認(rèn)識(shí)到這是一個(gè)真正獨(dú)特的安全功能，值得擁有自己的空間

不要陷入假設(shè)這就像解決云基礎(chǔ)設(shè)施配置問(wèn)題一樣的陷阱?，F(xiàn)實(shí)情況是，使用 IaaS 安全，你只需要處理三個(gè)主要平臺(tái)(如果你在歐洲或亞洲運(yùn)營(yíng)，則可能是 4 或 5 個(gè))。 IaaS 原則具有相當(dāng)?shù)幕ゲ僮餍?，并且擁有大量擁有所有主要平臺(tái)經(jīng)驗(yàn)的人才。

然而，在SaaS領(lǐng)域中，你可能要處理1000個(gè)應(yīng)用，其中可能有10至20個(gè)應(yīng)用處理關(guān)鍵或敏感數(shù)據(jù)。每個(gè)SaaS應(yīng)用之間的控件都是唯一的——每個(gè)應(yīng)用之間幾乎沒(méi)有可互操作的知識(shí)來(lái)幫助你保護(hù)你的財(cái)產(chǎn)?？紤]一下決定自己處理這個(gè)問(wèn)題的人員分配，通過(guò)在每個(gè)SaaS應(yīng)用中雇用專家來(lái)提供資源。比起雇傭所有你需要的人才去手動(dòng)解決這個(gè)問(wèn)題，你更有可能讓你現(xiàn)有的員工去應(yīng)對(duì)這一切。

與你的 IT 團(tuán)隊(duì)一起擁有控制權(quán)

認(rèn)識(shí)到這會(huì)有點(diǎn)傷害團(tuán)隊(duì)和諧。你的業(yè)務(wù)線管理員可能不習(xí)慣被檢查。多年來(lái)，他們一直在確保功能的無(wú)縫運(yùn)作，而幾乎沒(méi)有安全團(tuán)隊(duì)的監(jiān)督。通過(guò)最終對(duì)這些業(yè)務(wù)職能進(jìn)行監(jiān)督，你將使他們的生活變得更加艱難，以換取保護(hù)你的公司免受破壞性數(shù)據(jù)泄漏的影響。因此，請(qǐng)確保盡早讓你的 IT 管理員參與對(duì)話并確定共同點(diǎn)。關(guān)注SaaS部署安全檢查中獲得的效率一直是一個(gè)值得關(guān)注的話題，因?yàn)镮T管理員認(rèn)識(shí)到你希望在不耗盡團(tuán)隊(duì)精力的情況下確保部署的安全性。

總之，我們正在進(jìn)入一個(gè)新時(shí)代，SaaS應(yīng)用將成為外部和內(nèi)部攻擊者可用的主要攻擊面之一?，F(xiàn)有的方法并不適合使用，但是通過(guò)利用自動(dòng)化和構(gòu)建內(nèi)部SaaS安全程序，你的團(tuán)隊(duì)可以準(zhǔn)備好面對(duì)這個(gè)領(lǐng)域的未來(lái)。

標(biāo)題名稱：SaaS安全：現(xiàn)代安全管理的新挑戰(zhàn)
鏈接地址：http://www.5511xx.com/article/cdgiphs.html