[[408295]]

嘗試向大型組織的安全團隊中的任何人提出“SaaS安全性”的話題。你可能會聽到，“是的，我們的安全是由大型SaaS平臺來處理的，非常好!”，也許你也會聽到一聲長嘆，接著是“是的，我必須盡快解決這個問題……”。

在任何一種情況下，SaaS 客戶在安全義務方面缺乏意識，或拖延履行這些責任都應該引起關注。

在我執(zhí)行的 55% 的 SaaS 漏洞評估中，我們發(fā)現(xiàn)數(shù)據(jù)從 SaaS 環(huán)境泄漏到匿名互聯(lián)網(wǎng)。我們 95% 的 SaaS 漏洞評估揭示了過度配置外部 SaaS 用戶的帳戶。此外，在每個SaaS環(huán)境中，我們平均識別出42個連接的第三方應用。這42個中有22個通?？梢栽L問敏感數(shù)據(jù)，但已超過6個月沒有使用過。

在任何其他安全情景中，我們都會聲明，對能夠訪問敏感數(shù)據(jù)的客戶用戶的過度供應是一個值得立即糾正的高風險問題。我們將證明，需要取消一個無目的連接、但訪問關鍵業(yè)務數(shù)據(jù)的第三方集成。我們會立即鎖定任何將我們的數(shù)據(jù)泄露到匿名互聯(lián)網(wǎng)上的問題，甚至可能引入我們的IR或法律團隊來評估回應的可行性。在任何其他安全領域，這些結果都不能被安全團隊所接受。然而，當涉及SaaS時，所有這些情況都很常見。為什么這一切就發(fā)生在我們的腳下?

首先，這一代最優(yōu)秀的銷售人員早就告訴企業(yè)高管，SaaS 平臺是解決本地應用所伴隨的持續(xù)安全問題的答案。

實際上，這并不完全正確。SaaS應用為提供商的體系結構提供內(nèi)置的安全性，由業(yè)界一些最好的安全專業(yè)人員加固，并經(jīng)過嚴格的測試。然而，SaaS所有權模型的某些部分完全管理不善——而這些管理不善發(fā)生在我們作為最終用戶應該負責的配置中。

事實上，Gartner指出，到2025年，99%的云安全事件將是由客戶的問題造成的。在過去的幾年里，我們已經(jīng)看到了云的錯誤配置對我們的安全態(tài)勢是有害的，我們都在努力解決這些問題。我們必須對SaaS應用做同樣的事情，否則就會看到我們在云安全方面的進步被削弱，因為我們泄露了過去五年努力保護的相同數(shù)據(jù)。

人們?nèi)匀粨慕议_SaaS安全的面紗，因為這會暴露出需要更多工作、更多預算和更多焦慮的結果。但如果你問任何一家遭受過云數(shù)據(jù)泄露的公司，他們都會告訴你，主動出擊比緊急應對壞消息更好、更便宜，因為壞消息會破壞員工的路線圖，讓他們乞求預算來解決即將出現(xiàn)的一個高度可預測的問題?，F(xiàn)代安全團隊知道，采取行動的時間是在事故發(fā)生之前。

好消息是，現(xiàn)在已經(jīng)有了將安全控制構建到SaaS部署中的勢頭。許多組織在appsec中啟用了一種混合方法，將安全性“構建到”部署過程中。這些做法可以節(jié)約成本，提高效率，更重要的是促進文化發(fā)展。組織沒有理由停止應用安全性方面的主動安全——相反，將這些實踐構建到關鍵SaaS應用和云基礎設施的管理中肯定是未來幾年的最佳實踐方法。

以下是組織可以采取的一些措施，以啟動 SaaS 安全計劃。

投資于可擴展的方法

當前的安全工具集是為不同的時代構建的，當我們對網(wǎng)絡活動做出反應并擔心關鍵數(shù)據(jù)存儲在我們擁有的內(nèi)部或受監(jiān)控系統(tǒng)中時。這些安全解決方案無法適應我們進入的現(xiàn)代 SaaS 驅動時代。但是，除非你認識到需要通過新的創(chuàng)新解決方案實現(xiàn)技術自動化，否則擴展 SaaS 安全計劃將對你的團隊造成負擔。 SaaS 環(huán)境極度敏捷的特性需要一定程度的自動化和一些業(yè)務“產(chǎn)品化”才能真正保護你的企業(yè)部署。首先調(diào)查和確定可自動執(zhí)行 SaaS 安全狀況并檢測與最佳實踐的偏差的解決方案和策略。

認識到這是一個真正獨特的安全功能，值得擁有自己的空間

不要陷入假設這就像解決云基礎設施配置問題一樣的陷阱?，F(xiàn)實情況是，使用 IaaS 安全，你只需要處理三個主要平臺(如果你在歐洲或亞洲運營，則可能是 4 或 5 個)。 IaaS 原則具有相當?shù)幕ゲ僮餍?，并且擁有大量擁有所有主要平臺經(jīng)驗的人才。

然而，在SaaS領域中，你可能要處理1000個應用，其中可能有10至20個應用處理關鍵或敏感數(shù)據(jù)。每個SaaS應用之間的控件都是唯一的——每個應用之間幾乎沒有可互操作的知識來幫助你保護你的財產(chǎn)。考慮一下決定自己處理這個問題的人員分配，通過在每個SaaS應用中雇用專家來提供資源。比起雇傭所有你需要的人才去手動解決這個問題，你更有可能讓你現(xiàn)有的員工去應對這一切。

與你的 IT 團隊一起擁有控制權

認識到這會有點傷害團隊和諧。你的業(yè)務線管理員可能不習慣被檢查。多年來，他們一直在確保功能的無縫運作，而幾乎沒有安全團隊的監(jiān)督。通過最終對這些業(yè)務職能進行監(jiān)督，你將使他們的生活變得更加艱難，以換取保護你的公司免受破壞性數(shù)據(jù)泄漏的影響。因此，請確保盡早讓你的 IT 管理員參與對話并確定共同點。關注SaaS部署安全檢查中獲得的效率一直是一個值得關注的話題，因為IT管理員認識到你希望在不耗盡團隊精力的情況下確保部署的安全性。

總之，我們正在進入一個新時代，SaaS應用將成為外部和內(nèi)部攻擊者可用的主要攻擊面之一?，F(xiàn)有的方法并不適合使用，但是通過利用自動化和構建內(nèi)部SaaS安全程序，你的團隊可以準備好面對這個領域的未來。