SaaS 在每家公司中的使用量都很大,甚至是不是公司统一购买部署,而是掌握在个别员工手上。他们日常会使用大量 SaaS 应用,用来辅助工作或生活。而过去谈 SaaS 安全性,主要集中在 SaaS 供应商风险上,即公司会担心数据存储在哪里,并担心供应商的安全性,实际上SaaS 在过去10年发生了显着变化。
有评论称,当前 SaaS 风险将由企业特定因素驱动,且大多数公司仍然没有将其纳入风险评估当中,因为风险仍然被评估为供应商风险是最重要的因素。结果是大多数公司使用过时的框架管理 SaaS,并且存在巨大的盲点。
以下清单由数百名 CISO 合作开发,它确定了 CISO 应了解的关键风险因素,以有效管理其 SaaS 风险:
1、发现正在使用的 SaaS 应用程序
任何 SaaS 安全计划的基础都需要一个完整的 SaaS 应用程序清单。许多公司使用单点登录(SSO)或身份提供者(IdP),这是一个好的开始。但是,在员工使用本地应用程序凭据创建账户的情况下,大多数人都没有很好的 SaaS 清单。CASB确实提供了另一层数据,但是,它们无法辨别员工是创建了账户还是只是访问了该站点。此 SaaS 清单还应涵盖由仍活跃的前员工创建的帐户。这比大多数人想象的要普遍得多。
2、识别 SaaS 应用程序中使用的数据
数据安全治理是现代企业运营环节的重要一环,而 SaaS 使这变得特别困难。识别将使用的数据类型的最佳来源是用户自己。但是,从每个用户那里为他们注册的每个 SaaS 应用程序收集这些信息既繁琐又耗时。自动化可以使其成为 SaaS 入职流程的一部分,并且收集此信息对于任何强大的 SaaS 安全计划都至关重要。
使用 SaaS 应用程序监控员工数量
SaaS 的易用性导致公司使用的应用程序数量急剧增加。以北美为例,估计就有超过15,000家 SaaS 公司,平均每家公司使用近200种不同的 SaaS 应用程序。一名员工使用的应用程序可能比多名员工使用的应用程序带来的风险更小。了解使用 SaaS 应用程序的员工数量有助于公司更准确地评估其风险级别并确定任何合规措施的优先级。
4、SaaS 应用程序采用
SaaS 应用程序的用户数量会随着时间而变化,用户数量急剧增加的应用程序值得关注,以确保用户遵守公司的安全策略。用户可能在同一个部门或完全不同的办公室。功能内的用户密度也是应用程序带来的风险的一个因素。例如,如果10个财务人员正在使用一个应用程序并共享数据,那么这是一个非常高的风险。但是,如果10个不同部门的10个人在很少或没有协作的情况下使用该应用程序,那么这带来的风险较小。关键是监控采用率的增长,以便准确评估风险。
5、用于 SaaS 应用程序的身份验证方法
创建 SaaS 帐户时,用户通常可以选择使用 IdP 或本地凭据对自己进行身份验证。尽管公司政策可能是用户必须使用官方 IdP,但许多用户会使用他们的电子邮件并重复使用其中一个密码。了解使用的身份验证方法后,安全团队可以联系并要求用户使用 IdP 并遵守公司政策。包括 CASB 在内的现有解决方案无法收集这些信息。
6、不再使用的 SaaS 应用程序或账户的数量
在 SaaS 安全中,很多人关注的是正在使用的 SaaS 应用程序,而没有得到太多关注的是不再使用的 SaaS 应用程序或账户的数量。这可能是员工流动的结果,其中离职流程未涵盖员工未使用 IdP 的未经批准的 SaaS 应用程序。或者可能只是员工更改了应用程序,例如从 Trello 转移到 Monday.com。休眠的 SaaS 账户是一个常见的盲点,CASB 等现有解决方案无法发现或帮助保护它们。
7、SaaS 应用程序风险随时间的变化
SaaS 风险不是静态的,它会随着时间而变化。用户可以从功能有限的免费增值版本开始,然后升级到功能更高级的版本。如前所述,单个用户可能开始使用应用程序,然后开始邀请同事也开始使用该应用程序。凭借成千上万的潜在应用程序,一流的 SaaS 安全风险管理程序可以监控风险随时间的变化,并帮助安全团队确定资源和工作的优先级。
#网络安全#
