多年來，安全專業(yè)人員已經(jīng)認(rèn)識(shí)到增強(qiáng)SaaS安全性的必要性。然而，隨著2020年軟件即服務(wù)(Software-as-a-Service)應(yīng)用程序在2020年的指數(shù)級(jí)采用，情況又發(fā)生了較大的變化。

組織管理著從35到100不等的多個(gè)應(yīng)用程序。從Slack和Microsoft Teams等協(xié)作工具到SAP和Salesforce等關(guān)鍵任務(wù)應(yīng)用程序，SaaS應(yīng)用程序充當(dāng)現(xiàn)代企業(yè)的基礎(chǔ)。2020年迫切需要能夠緩解SaaS錯(cuò)誤配置風(fēng)險(xiǎn)的安全解決方案。

認(rèn)識(shí)到SaaS安全的重要性之后，Gartner命名了一個(gè)新類別，即SaaS安全態(tài)勢(shì)管理(SSPM)，以區(qū)分能夠?qū)aaS應(yīng)用程序部署過程中產(chǎn)生的安全風(fēng)險(xiǎn)進(jìn)行持續(xù)評(píng)估的解決方案。

為了了解安全團(tuán)隊(duì)目前如何處理他們的SaaS安全狀況以及他們的主要關(guān)注點(diǎn)是什么，一個(gè)較為先進(jìn)的SSPM解決方案Adaptive Shield委托了一項(xiàng)獨(dú)立調(diào)查，調(diào)查對(duì)象是來自北美和西歐的300名信息安全專業(yè)人士，調(diào)查范圍從500到10,000多名員工不等。

2021年SaaS安全調(diào)查報(bào)告的結(jié)果展示了普遍存在的SaaS應(yīng)用程序安全問題，并揭示了組織在嘗試管理大量SaaS安全配置時(shí)正在轉(zhuǎn)向非優(yōu)秀實(shí)踐的事實(shí)。

了解SaaS安全管理格局

SaaS 應(yīng)用程序提供易于使用、可擴(kuò)展的解決方案，這些解決方案提供了多種本機(jī)安全控制。但是，所有設(shè)置、用戶權(quán)限和合規(guī)性的配置最終都由安全專業(yè)人員來管理。

SaaS配置錯(cuò)誤的擔(dān)憂

在2021年SaaS安全調(diào)查報(bào)告中，85%的受訪者將SaaS配置錯(cuò)誤列為其組織面臨的三大風(fēng)險(xiǎn)之一。有趣的是，排在首位的其他安全風(fēng)險(xiǎn)——賬戶劫持和數(shù)據(jù)泄露——以及名單上的許多其他安全風(fēng)險(xiǎn)，也可能直接源于SaaS的配置錯(cuò)誤。例如，Jira中的錯(cuò)誤配置導(dǎo)致了許多財(cái)富500強(qiáng)公司的數(shù)據(jù)泄露，包括電子郵件地址和ID、員工角色、當(dāng)前項(xiàng)目和里程碑等的潛在暴露。

更多的應(yīng)用意味著更少的監(jiān)控

盡管起初看起來似乎違反直覺，但經(jīng)過進(jìn)一步思考，“更多的應(yīng)用程序意味著更少的監(jiān)控”對(duì)于手動(dòng)處理監(jiān)控過程的組織來說是很常見的。調(diào)查的受訪者報(bào)告說，隨著組織繼續(xù)加載更多應(yīng)用程序，組織在監(jiān)控其應(yīng)用程序方面的成功率降低。事實(shí)上，根據(jù)受訪者的說法，在使用50-99個(gè)應(yīng)用程序的公司中，只有12%每周進(jìn)行錯(cuò)誤配置檢查。

由于每個(gè)應(yīng)用程序都有自己的設(shè)計(jì)、設(shè)置、用戶角色和獨(dú)特的權(quán)限，并且在員工穩(wěn)定流動(dòng)、軟件自動(dòng)更新和復(fù)雜的跨部門需求的動(dòng)態(tài)環(huán)境中，組織可能會(huì)失去對(duì)其安裝的更多應(yīng)用程序的控制。

委托安全影響風(fēng)險(xiǎn)

隨著SaaS應(yīng)用程序資產(chǎn)組合的范圍不斷擴(kuò)大，52%的受訪者表示將定期檢查和維護(hù)SaaS安全性的責(zé)任交給SaaS所有者。責(zé)任方通常位于銷售、營(yíng)銷或產(chǎn)品等領(lǐng)域。不幸的是，這些利益相關(guān)者通常幾乎沒有安全背景或技能。

SSPM是2021年的重中之重

SSPM的關(guān)鍵功能可實(shí)現(xiàn)安全的云配置：

• 合規(guī)性評(píng)估
• 運(yùn)行監(jiān)控
• 風(fēng)險(xiǎn)識(shí)別
• 政策執(zhí)行
• 威脅評(píng)估

由于CSPM和CASB工具不是為應(yīng)對(duì)SaaS環(huán)境的挑戰(zhàn)而構(gòu)建的，因此SSPM已上升到企業(yè)議程的首位，并且是2021年優(yōu)先事項(xiàng)的首位。48%的受訪者將SSPM工具列為#他們的優(yōu)先事項(xiàng)清單上的第一項(xiàng)。

安全團(tuán)隊(duì)希望對(duì)其SaaS應(yīng)用程序安全狀況有全面和持續(xù)的可見性，而SSPM解決方案提供了這些功能。

使用Adaptive Shield實(shí)現(xiàn)SaaS安全自動(dòng)化

安全設(shè)置和控制的自動(dòng)化維護(hù)可以使安全團(tuán)隊(duì)能夠控制他們的SaaS應(yīng)用程序。

SaaS安全態(tài)勢(shì)管理(SSPM)與Adaptive Shield一樣，提供了一個(gè)功能強(qiáng)大的平臺(tái)，其獨(dú)特設(shè)計(jì)使安全團(tuán)隊(duì)能夠在其互連的、不同的SaaS應(yīng)用程序領(lǐng)域主動(dòng)維護(hù)持續(xù)安全。

自適應(yīng)地管理SaaS應(yīng)用程序安全意味著整個(gè)SaaS應(yīng)用程序領(lǐng)域(從視頻會(huì)議平臺(tái)和客戶支持工具到人力資源管理系統(tǒng)、儀表板和工作區(qū)等等)的完整可見性和威脅。自適應(yīng)屏蔽：

• 利用內(nèi)置的安全設(shè)置/控制來發(fā)現(xiàn)所有漏洞并主動(dòng)自動(dòng)修復(fù)它們。
• 持續(xù)監(jiān)控全局設(shè)置和用戶權(quán)限，以驗(yàn)證是否存在違規(guī)或偏差。
• 提供全面的SaaS應(yīng)用程序集成庫(kù)，每周添加更多SaaS應(yīng)用程序。
• 從頭到尾快速修復(fù)SaaS安全問題。
• 在一處顯示組織SaaS安全態(tài)勢(shì)的健康狀況，以便進(jìn)行數(shù)據(jù)驅(qū)動(dòng)的決策。
• 只需幾分鐘即可部署，實(shí)現(xiàn)零業(yè)務(wù)中斷

通過使用Adaptive Shield自動(dòng)化監(jiān)控和執(zhí)行，安全團(tuán)隊(duì)不再需要將責(zé)任委派給應(yīng)用程序所有者，或者對(duì)SaaS安全設(shè)置的管理不可見。

本文翻譯自：https://thehackernews.com/2021/07/new-saas-security-report-dives-into.html