BetterCloud對(duì)500多名IT和安全專業(yè)人員進(jìn)行的調(diào)查揭示了大規(guī)模SaaS管理的最新挑戰(zhàn)，尤其是隨著數(shù)字化轉(zhuǎn)型的推進(jìn)——IT持續(xù)保持這種勢(shì)頭。與2020年平均80個(gè)SaaS應(yīng)用相比，2021年企業(yè)使用的應(yīng)用數(shù)量達(dá)到110個(gè)，同比增長(zhǎng)38%。自2017年以來，SaaS應(yīng)用的使用量增長(zhǎng)近7倍，自2015年以來增長(zhǎng)近14倍。

更多的SaaS應(yīng)用也帶來了更多的挑戰(zhàn)。55%的受訪者表示，當(dāng)前要解決的最大挑戰(zhàn)是缺乏對(duì)用戶活動(dòng)和數(shù)據(jù)的可見性。其次是了解所有正在使用的SaaS應(yīng)用程序并進(jìn)行統(tǒng)一管理。

疏忽大意是迄今為止導(dǎo)致數(shù)據(jù)丟失的最大威脅。在數(shù)據(jù)泄露方面，最大的威脅并不是自黑客或內(nèi)部員工，相反，72%的組織表示，員工通常并沒有惡意，只是想做好自己的工作，但在此過程中可能會(huì)無意間暴露敏感信息。

SaaS安全性是IT首要的考慮因素。69%的受訪者擔(dān)心未經(jīng)批準(zhǔn)的SaaS應(yīng)用使用。此外，46%的人表示他們難以確保SaaS應(yīng)用中的用戶活動(dòng)。今年，隨著世界逐漸從疫情中恢復(fù)，SaaS平臺(tái)文件安全違規(guī)行為增長(zhǎng)134%。

未來3年SaaSOps自動(dòng)化水平可能將翻倍。SaaS-Powered Workplaces報(bào)告稱，他們 45%的SaaS運(yùn)營(yíng)已經(jīng)實(shí)現(xiàn)自動(dòng)化，并估計(jì)在未來三年內(nèi)這一比例將上升到80%左右。

SaaSOps角色將繼續(xù)存在。60%的受訪者已經(jīng)在他們的職位/描述中使用了“SaaSOps”一詞，或者計(jì)劃在未來將其包括在內(nèi)。

Slack的新消息通知、Trello看板連接到微軟、用Boomerang管理收件箱。這些應(yīng)用程序和平臺(tái)相互配合，成為當(dāng)今許多公司日常工作的一部分。它們不僅有助于使遠(yuǎn)程和混合辦公成為可能，而且是建立并擴(kuò)展公司和產(chǎn)品的關(guān)鍵。

但是數(shù)以千計(jì)的SaaS平臺(tái)間的通信是對(duì)企業(yè)網(wǎng)絡(luò)安全的一種新威脅。大多數(shù)現(xiàn)有的網(wǎng)絡(luò)安全解決方案沒有為應(yīng)用程序和平臺(tái)間的通信提供足夠的保護(hù)或便捷方式的監(jiān)控，并且無法有效地了解或控制哪些角色可以訪問敏感的公司數(shù)據(jù)或個(gè)人信息。

一些熱門的攻擊事件——包括Imperva Security的數(shù)據(jù)泄露事件，攻擊者竊取了軟件在亞馬遜云上可執(zhí)行的API密鑰，最終獲取客戶的敏感數(shù)據(jù)——就是利用了SaaS平臺(tái)間的通信保護(hù)不足這一弱點(diǎn)。為了有效地保護(hù)企業(yè)，我們需要了解SaaS平臺(tái)為什么會(huì)越來越脆弱、其面臨的風(fēng)險(xiǎn)是什么以及需要采取哪些措施予以應(yīng)對(duì)。

當(dāng)前的云安全配置無法保護(hù)SaaS到SaaS間的通信安全

二十年來，基于云的SaaS平臺(tái)一直在快速增長(zhǎng)，它們提供了一種方便且成本相對(duì)較低的方式來獲得工作和個(gè)人使用所需的技術(shù)服務(wù)。

SaaS是基于云計(jì)算的平臺(tái)，傳統(tǒng)的網(wǎng)絡(luò)安全方案(例如保護(hù)本地網(wǎng)絡(luò)、數(shù)據(jù)和軟件的防火墻)不再有效。因此市場(chǎng)很快開發(fā)了CASB產(chǎn)品，它是基于云的服務(wù)與其用戶或本地服務(wù)之間的代理，其可以基于軟件或硬件。但其實(shí)，它只保護(hù)了SaaS產(chǎn)品與其用戶之間的連接。起初還是不錯(cuò)的——直到更多的SaaS產(chǎn)品開始相互通信。

最近，出現(xiàn)了SSPM(SaaS Security Posture Management)解決方案?，F(xiàn)在已經(jīng)開始日漸流行，研究和咨詢公司Gartner將其定義為未來的云和SaaS安全的頂級(jí)工具。雖然它確實(shí)比CASB監(jiān)控到的方面更多，但僅可用于某些服務(wù)，對(duì)于監(jiān)控?zé)o處不在的SaaS間通信一事，依舊算是無計(jì)可施。

互聯(lián)應(yīng)用程序?yàn)楹诳蛶砀鄼C(jī)會(huì)

Slack普及了連接不同平臺(tái)以協(xié)同工作的概念，現(xiàn)在大多數(shù)SaaS應(yīng)用都在彼此協(xié)作。用戶執(zhí)行的每個(gè)操作，無論是發(fā)送消息還是更新日歷，都可能導(dǎo)致平臺(tái)中的其他若干自動(dòng)操作和通知，并且SaaS平臺(tái)的其他附加組件和應(yīng)用程序需要訪問更多數(shù)據(jù)(可能從其他SaaS平臺(tái))。這意味著，如果攻擊者獲得對(duì)某一平臺(tái)的訪問權(quán)限，他就有可能訪問所有該用戶使用的SaaS平臺(tái)和連接的應(yīng)用程序。

公司應(yīng)該如何應(yīng)對(duì)？

為提高SaaS安全性可采取的措施：

• 投資SaaS安全工具
• 統(tǒng)計(jì)員工當(dāng)前使用的應(yīng)用程序
• 重視服務(wù)帳戶
• 撤銷離職/調(diào)崗員工關(guān)聯(lián)賬戶的訪問權(quán)限
• 考慮成立SaaS運(yùn)營(yíng)部門
• 制定有關(guān)使用第三方SaaS平臺(tái)的明確政策

公司不僅需要在SaaS安全工具上進(jìn)行更多投資，還需要弄清楚自己?jiǎn)T工正在使用的應(yīng)用程序情況，以及在這些應(yīng)用上共享了什么，以便網(wǎng)絡(luò)安全部門準(zhǔn)確、全面地了解潛在的威脅。企業(yè)逐漸意識(shí)到(55%的網(wǎng)絡(luò)安全人員表示)，最大的SaaS安全挑戰(zhàn)是缺乏對(duì)SaaS使用和數(shù)據(jù)的可見性。一旦具備這一能力，便可使用這些情報(bào)來制定關(guān)于使用第三方SaaS應(yīng)用和平臺(tái)的明確策略，并考慮員工的工作流程。

公司應(yīng)該小心諸如忽視服務(wù)帳戶之類的情況，從而導(dǎo)致諸如被竊取停用的API令牌以訪問特權(quán)信息。除了網(wǎng)絡(luò)攻擊威脅之外，SaaS產(chǎn)品網(wǎng)絡(luò)還可能使企業(yè)遭受未授權(quán)用戶或離職員工的攻擊。

雖然出現(xiàn)了一些自動(dòng)化解決方案，旨在解決SaaS平臺(tái)的管理問題，但企業(yè)可以立即采取的一個(gè)做法是成立專門的SaaS運(yùn)營(yíng)部門，該部門負(fù)責(zé)監(jiān)督SaaS產(chǎn)品的采購、安全和管理。最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，40%的IT專業(yè)人員現(xiàn)在將SaaS運(yùn)營(yíng)視為一個(gè)關(guān)鍵角色。