云的好處是彈性、易用，因而也更具成本效益。軟件即服務(SaaS)是未來，通過這種訂閱式的在線服務，用戶可以節(jié)省管理、更新和保護應用程序所需的時間、精力和資源。然而，SaaS有個明顯的壞處，安全風險。

事實上，基于云的服務現(xiàn)在是惡意軟件最常見的交付方式。據(jù)SASE廠商Netskope的統(tǒng)計調查，近70%的黑客和漏洞攻擊都是從云服務下載的，97%的云應用程序是在未經(jīng)安全團隊授權甚至是不知情的情況下使用的。

如何評估SaaS應用的安全性

首先，企業(yè)要考慮所使用在線服務的可見性。上文中97%的統(tǒng)計數(shù)字，并非危言聳聽。許多企業(yè)正在使用數(shù)量如此多的SaaS應用，以至于安全團隊很難跟蹤它們，最終導致安全事件的發(fā)生。還有一個令人意外的統(tǒng)計(https://track.g2.com/resources/shadow-it-statistics)，由于缺乏SaaS應用的可見性，僅英美兩國的機構，每年為并未使用的SaaS和不同賬戶使用重復的SaaS，多掏了340億美元的訂閱費。

在線服務本身的安全性是一個非常常見且重要的問題。安全團隊應該考慮登錄信息是否使用了足夠的加密，檢查在線服務過去是否遭到過黑客攻擊，如果是的話，提供商做出了哪些響應措施。即使把這些工作都做完，也要注意，在線服務的安全性還取決于人們使用它的方式。如確保員工在登錄SaaS服務和網(wǎng)絡時使用不同的憑證，并且員工之間不能共享帳戶或憑證，員工離職后要及時吊銷賬戶。

SaaS安全性需要考慮的另一個方面是不同SaaS應用之間的交互，即SaaS的連接性，包括應用程序和服務相互發(fā)送通知等功能，往深里想一下，其實這就是一個潛在的數(shù)據(jù)隱私漏洞。組織是否了解員工如何使用多個應用程序和附加組件，以及集成和通知需要哪些權限?

SaaS的使用也會影響整體網(wǎng)絡安全。例如，有些應用服務經(jīng)常會在用戶設備上安裝代碼或cookie。這里需要考慮的是，該代碼是否包含可能干擾IT系統(tǒng)的最佳運行?該服務是否與第三方共享有關用戶活動的數(shù)據(jù)，這些第三方是否安全?一項服務是否會在其活動中潛在地損害組織的資源(不管是有意還是無意)?

結論

企業(yè)中的SaaS應用問題比比皆是，很難找到所有的答案，但在解決問題之前，企業(yè)至少要意識到問題，而不是無視問題。這種安全意識這將有助制定適當?shù)陌踩呗?，并將安全預算投入到最符合企業(yè)需求的安全解決方案上。

SaaS或其他基于云的服務每年可以為企業(yè)節(jié)省大量資金，除了成本以外，云還可以提高靈活性、提高效率、更好地利用數(shù)據(jù)和更好的為客戶服務。然而，所有這些都可能以安全為代價。通過增加對SaaS在組織內活動的可見性，安全團隊可以確保在充分享受這些服務的同時，避免風險。