每個員工都在找尋下一個SaaS應用來讓自己的工作更輕松。一張信用卡+一份開支報告，公司里任何人都能在幾分鐘之內注冊一個新的應用。問題在于：員工注冊SaaS應用時并不具備相應的知識或者企業(yè)內部IT管理員的允許。

Gartner和思科的調查發(fā)現(xiàn)，IT員工只知曉公司內在用app的7%。這意味著，任何一家公司里，存在成百上千個不安全的SaaS應用，每一個都是可供黑客用以撈取公司數據的潛在切入點。

[[180078]]

隨著企業(yè)應用市場的擴張，非托管SaaS應用的數量也在持續(xù)上漲，讓公司企業(yè)更難以控制安全及合規(guī)風險。考慮到這一點，OneLogin高級主管艾爾·薩金特為我們提供了管理SaaS海嘯引入風險的幾種方法。

1. 資金導向

[[180079]]

IT部門應該與財務部門合作，專門創(chuàng)建一個“SaaS訂閱”費用類別，而不是澆滅員工購買應用提升工作效率的熱情。這樣一來，IT部門就能更清楚有哪些app在用，可以更有效地維護和強化安全。

2. 營造協(xié)作氛圍

[[180080]]

員工總在找尋訪問其最愛app的方法，這也是為什么完全限制外部應用對減少影子IT無甚效果的原因。相反，IT部門應向申請使用新生產力或通信應用的員工打開大門，為它們提供單點登錄(SSO)門戶以實現(xiàn)更快的訪問。當員工習慣了使用應用要申請，IT也讓應用訪問更加簡單，IT部門就能對自己應該保護的工具有更深入的理解了。

3. 保證內部安全

[[180081]]

一旦IT確定了員工喜歡用的那些app，并將這些app放到SSO門戶上，IT部門就需要圍繞口令復雜性、定期更換和獨特性實施強身份驗證，當然，還有多因子身份驗證(MFA)。SSO門戶應該是更大的身份識別與訪問管理(IAM)解決方案的一部分，公司應采用IAM來監(jiān)測誰在訪問何種應用，同時確保每個員工只能訪問工作所需的app和信息。

4. 部署用戶和實體行為分析

[[180082]]

IT部門應將IAM與云訪問安全代理(CASB)集成以找尋公司內異常行為，比如同一身份在兩個不同國家訪問一個app。如此，當CASB檢測到此類行為，就能自動采取相應措施，包括要求MFA、終止會話、強制口令重置，或者禁用賬戶。

5. 跟蹤app使用

[[180083]]

成百上千的非托管app在用，所以，前雇員在IT部門不知情或不同意的情況下還留有對公司信息的訪問權也毫不奇怪。大約10%的前雇員都能都能登錄前老板的賬戶。因此，IT部門應將IAM與安全信息和事件管理器連接，監(jiān)測非授權用戶訪問，確保只有授權用戶才有對公司app的訪問權。

6. 實現(xiàn)人力資源驅動的ID即服務(IDaaS)

[[180085]]

更進一步，IT和HR部門應聯(lián)合開展工作，創(chuàng)建員工離職應用撤銷計劃，其中就包括有HR驅動的IAM。一旦實現(xiàn)，當HR在人力資源信息中修改雇員狀態(tài)為“離職”，IAM就會自動拾取這些修改并撤銷對應用的訪問權。這將會降低賬戶被遺漏的機會。

7. 應用對app的控制

[[180086]]

雖然孤立員工推進SaaS應用是減少影子IT的重要一步，并非每個app都適合交換和訪問公司數據。開放授權app尤其是難點，因為它們的無縫用戶體驗很易于讓人采納。但是其中一些有著廣泛的授權范圍，比如完全修改用戶所有文件的能力——很容易被黑客當做攻擊途徑。IT應使用CASB來追蹤開放授權app的使用，阻止帶有過多授權范圍的app。

8. 數據優(yōu)先級劃分

[[180084]]

就算已采取了必要的措施來管理SaaS海嘯，影子IT依然是一個風險因素。確定出公司最敏感的25個數據資產，知道有哪些和應用能訪問這些數據集，用IAM和CASB解決方案定期監(jiān)測它們，找尋異常行為。