?現(xiàn)代SaaS應用程序提供商每天都在處理敏感的用戶信息，從客戶姓名和電子郵件地址到應用程序代碼和第三方API機密。因此，對于Web應用程序而言，遵守最高安全標準比以往任何時候都更加重要，這不僅是為了維護企業(yè)聲譽和避免經(jīng)濟損失，而且也是為了保護用戶的利益。

客戶通信是SaaS安全性中經(jīng)常被忽視的組成部分之一。以下將介紹企業(yè)應該密切關(guān)注客戶通信的安全性的原因，并對企業(yè)發(fā)送給用戶的電子郵件、推送通知和其他通信實施嚴格的安全措施。此外還提供一些建議，幫助企業(yè)走上安全之旅。

現(xiàn)代SaaS應用程序中的安全性是什么樣的?

許多現(xiàn)代SaaS應用程序托管在云平臺上，并通過Web界面和API訪問。他們還可能依賴第三方托管服務，例如通過AWS公司提供的云服務。此類服務的示例包括數(shù)據(jù)庫、計算資源和機器學習模型的部署。在為應用程序設計安全控制時，需要考慮所有這些組件。

在傳統(tǒng)的內(nèi)部部署軟件中，軟件供應商只開發(fā)軟件，而不負責托管或信息存儲服務。軟件的最終用戶(或者更確切地說是他們的IT部門)在部署他們購買的軟件時負責其數(shù)據(jù)的安全。然而在云中的數(shù)據(jù)安全由SaaS提供商負責。SaaS應用程序可以成為最終用戶應用程序堆棧的核心部分，并因此處理個人識別信息(PII)，例如客戶和員工記錄、應用程序代碼或第三方機密和API密鑰。因此，針對當今SaaS服務的專門安全措施對于保護所有敏感信息至關(guān)重要。

在云中運行的早期SaaS應用程序需要哪些類型的安全措施?在理想情況下，應用程序應該從一開始就以安全思維方式構(gòu)建。如果企業(yè)的應用程序依賴于云服務商或其他服務提供商，尤其是AWS等云計算巨頭，他們將擁有嚴格的安全性。但是企業(yè)需要確保其應用程序和云計算提供商之間的每個可能的連接點都受到保護，應該明確描述這些云服務商的責任和數(shù)據(jù)所有權(quán)。企業(yè)需要檢查云計算云提供商的文檔以了解安全最佳實踐，并始終遵循這些實踐。

企業(yè)需要在應用程序和基礎設施中實施的措施包括加密(對數(shù)據(jù)進行加密，以便只有擁有正確密鑰的人才能解密信息)和令牌化(將敏感信息交換為使用的令牌)。雖然令牌化或加密不能保證完全防止違規(guī)，但它們可以防止實際可用的信息在發(fā)生數(shù)據(jù)違規(guī)時被盜。

所有客戶數(shù)據(jù)也應該進行安全備份。對于企業(yè)而言，數(shù)據(jù)丟失事件可能與網(wǎng)絡攻擊事件一樣糟糕，因此從現(xiàn)代SaaS應用程序中的備份恢復信息的能力對于成功的服務恢復至關(guān)重要。

為了快速響應任何事件或安全漏洞并及早預防問題，還需要對整個基礎設施進行持續(xù)監(jiān)控。

為什么安全性對于客戶溝通尤為重要

SaaS提供商的客戶通信基礎設施必須能夠訪問姓名、電子郵件和電話號碼等個人識別信息(PII)，以便能夠向其用戶發(fā)送任何有價值的信息，并保持他們的參與。因為如果惡意行為者設法獲取個人信息，他們可以非常有效地使用這些信息，因此需要保護用戶數(shù)據(jù)。任何客戶數(shù)據(jù)的泄露，無論是由惡意行為者故意造成的，還是由SaaS公司本身無意造成的，都可能對所有相關(guān)方造成災難性的后果。

政府意識到企業(yè)處理個人識別信息(PII)會有數(shù)據(jù)泄露的風險，制定了保護客戶數(shù)據(jù)的指導方針。例如在歐盟，通用數(shù)據(jù)保護條例(GDPR)于2018年生效。它概述了安全管理用戶數(shù)據(jù)的具體準則，以及如果企業(yè)不遵守這些準則將受到的處罰。例如加利福尼亞州頒布了2018年《加利福尼亞州消費者隱私法》(CCPA)，以使該州居民能夠更好地控制企業(yè)收集和處理客戶個人信息的方式。其嚴格的規(guī)定類似于GDPR法規(guī)。2021年，弗吉尼亞州也效仿嚴格的隱私法，授權(quán)《消費者數(shù)據(jù)保護法》(CDPA)于2023年生效。

SaaS提供商必須比以往任何時候都更加關(guān)注數(shù)據(jù)保護和安全性，這不僅要保護他們的業(yè)務和用戶的數(shù)據(jù)，還要避免對可能被阻止的違規(guī)行為進行大規(guī)模處罰。

與通信相關(guān)的安全漏洞有多常見?

安全漏洞的數(shù)量和范圍逐年增長，并且自從轉(zhuǎn)向遠程工作以來顯著增加。根據(jù)身份盜竊資源中心2022年的一項研究，2021年的數(shù)據(jù)泄露數(shù)量比2020年高出68%，比之前的歷史最高水平高出23%。這一增長是驚人的。他們研究中的有趣的一點是，受害者的數(shù)量實際上已經(jīng)減少，據(jù)稱是因為黑客更加關(guān)注商業(yè)機密和專業(yè)數(shù)據(jù)。

2021年8月，Microsoft Exchange電子郵件服務器被黑客通過安全漏洞進行攻擊。在微軟公司知道這些漏洞的幾個月內(nèi)，這些漏洞并沒有得到修復，而且微軟公司自己的客戶也沒有被適當?shù)馗嬷@些漏洞的嚴重性。另外，在過去的幾年中，微軟的Office 365服務出現(xiàn)了大量惡意獲取機密信息的魚叉式網(wǎng)絡釣魚攻擊。

在2022年3月18日，企業(yè)用來管理營銷和銷售的CRM工具Hubspot通過員工賬戶遭到黑客攻擊。行業(yè)媒體在3月的報道，專門為企業(yè)提供云計算軟件用于訪問管理的Okta公司在兩個月前就遭到了黑客攻擊。Okta公司將違規(guī)行為歸咎于一家提供客戶支持并獲得Okta內(nèi)部信息訪問權(quán)限的簽約公司。

解決通信安全問題的最佳方法是什么?

隨著黑客不斷改進其攻擊方法，云計算應用程序的安全性也越來越突出，例如互聯(lián)網(wǎng)安全中心的控制v8指南，針對最佳安全實踐的建議也在不斷制定。針對客戶通信的嚴格安全實踐(如通知)尤其重要，因為它們是黑客利用未察覺用戶進行攻擊的很容易的切入點。

作為通知提供者，安全服務商在安全措施方面投入了大量精力。以下分享了有關(guān)一般安全控制最佳實踐的主要建議。

(1) 內(nèi)部審核和流程

第一個建議是在企業(yè)內(nèi)建立內(nèi)部審查和流程，這可以是安全審查清單的形式。內(nèi)部審查應涵蓋密碼創(chuàng)建和多因素身份驗證、特權(quán)訪問管理和一般訪問控制，以及新員工入職流程的政策。更具體地說，審核企業(yè)的員工在內(nèi)部的訪問權(quán)限，將訪問權(quán)限限制在需要知道的基礎上，并為對特權(quán)帳戶的任何受限訪問設置批準工作流程。最后，確保企業(yè)的員工使用多重身份驗證并創(chuàng)建強密碼。

安全審查清單還應包括評估基礎設施的范圍，例如網(wǎng)絡、設備以及與第三方提供商的任何其他連接。在企業(yè)進行評估時，為問題或違規(guī)創(chuàng)建事件響應計劃，并使用它們來檢測其基礎設施中任何可能的漏洞。確保定期測試這些事件響應計劃，以確保它們保持最新狀態(tài)。

這些步驟應該被合并到企業(yè)的文檔中，作為它們正在實施的過程的證明。而擁有清晰的文檔意味著員工更有可能遵守企業(yè)的安全協(xié)議。

當企業(yè)為上述項目編寫文檔和具體審查流程時，還應為公眾定義其隱私政策。在發(fā)生違規(guī)之前，讓企業(yè)的用戶了解其收集和處理的數(shù)據(jù)以及這對他們意味著什么可能會有所幫助。

(2) 持續(xù)監(jiān)控

第二個建議是對企業(yè)的基礎設施進行持續(xù)監(jiān)控。如果沒有進行監(jiān)控，企業(yè)對安全漏洞的響應可能為時已晚。監(jiān)控不僅使其開發(fā)團隊能夠在出現(xiàn)任何問題或警報時快速做出響應，而且還可以提供有關(guān)如何改進整體安全控制的見解。由于SaaS應用程序結(jié)合了多個不同的提供程序或組件，因此能夠可視化應用程序的總體運行狀況尤為重要。企業(yè)應該監(jiān)控用戶訪問和行為以及管理訪問和行為，因為兩者都可能表明SaaS應用程序存在漏洞。目前，市場上有許多安全監(jiān)控提供商。例如使用Datadog來觀察應用程序的組件。

(3) 自動化

第三個建議是軟件自動化可以幫助簡化企業(yè)的安全流程。如果企業(yè)需要允許臨時訪問特權(quán)帳戶或信息，可以將審批工作流程實施自動化以提高效率。協(xié)作控制也可以實現(xiàn)自動化，這樣員工就不會無意中共享機密信息。如果企業(yè)希望證明其符合數(shù)據(jù)管理合規(guī)標準，例如SOC2、ISO270001或GDPR等法規(guī)，還可以選擇由Vanta或Drata公司等服務提供商進行的自動監(jiān)控。

(4) 外部審計

如果想加強安全控制，第四個建議是讓第三方服務審核其基礎設施和流程是否存在任何漏洞。企業(yè)可以聘請顧問或使用應用程序漏洞掃描程序，其示例包括Probely或Tenable。如果希望獲得任何合規(guī)性認證，這些安全審計可以通過為其提供對最佳實踐的主動見解來提供先機。

以安全為核心進行開發(fā)

隨著數(shù)據(jù)泄露數(shù)量的增加和安全攻擊變得更加復雜，將最新的安全實踐集成到其應用程序和企業(yè)中是絕對必要的。要采取更多安全控制措施并專注于發(fā)展其業(yè)務，尤其是在世界各地頒布了嚴格的法律和法規(guī)的情況下，將會對違規(guī)行為施加嚴厲的處罰和罰款。

正如以上回顧的那樣，數(shù)據(jù)泄露的風險現(xiàn)在包括企業(yè)聲譽、財務損失以及對用戶的身份盜用等方面的進一步損害。企業(yè)的客戶通信可能是網(wǎng)絡攻擊者利用的主要漏洞來源之一，任何SaaS提供商在發(fā)展過程中都要將安全放在首位。