?現(xiàn)代SaaS應(yīng)用程序提供商每天都在處理敏感的用戶信息，從客戶姓名和電子郵件地址到應(yīng)用程序代碼和第三方API機密。因此，對于Web應(yīng)用程序而言，遵守最高安全標(biāo)準(zhǔn)比以往任何時候都更加重要，這不僅是為了維護企業(yè)聲譽和避免經(jīng)濟損失，而且也是為了保護用戶的利益。

客戶通信是SaaS安全性中經(jīng)常被忽視的組成部分之一。以下將介紹企業(yè)應(yīng)該密切關(guān)注客戶通信的安全性的原因，并對企業(yè)發(fā)送給用戶的電子郵件、推送通知和其他通信實施嚴(yán)格的安全措施。此外還提供一些建議，幫助企業(yè)走上安全之旅。

現(xiàn)代SaaS應(yīng)用程序中的安全性是什么樣的?

許多現(xiàn)代SaaS應(yīng)用程序托管在云平臺上，并通過Web界面和API訪問。他們還可能依賴第三方托管服務(wù)，例如通過AWS公司提供的云服務(wù)。此類服務(wù)的示例包括數(shù)據(jù)庫、計算資源和機器學(xué)習(xí)模型的部署。在為應(yīng)用程序設(shè)計安全控制時，需要考慮所有這些組件。

在傳統(tǒng)的內(nèi)部部署軟件中，軟件供應(yīng)商只開發(fā)軟件，而不負(fù)責(zé)托管或信息存儲服務(wù)。軟件的最終用戶(或者更確切地說是他們的IT部門)在部署他們購買的軟件時負(fù)責(zé)其數(shù)據(jù)的安全。然而在云中的數(shù)據(jù)安全由SaaS提供商負(fù)責(zé)。SaaS應(yīng)用程序可以成為最終用戶應(yīng)用程序堆棧的核心部分，并因此處理個人識別信息(PII)，例如客戶和員工記錄、應(yīng)用程序代碼或第三方機密和API密鑰。因此，針對當(dāng)今SaaS服務(wù)的專門安全措施對于保護所有敏感信息至關(guān)重要。

在云中運行的早期SaaS應(yīng)用程序需要哪些類型的安全措施?在理想情況下，應(yīng)用程序應(yīng)該從一開始就以安全思維方式構(gòu)建。如果企業(yè)的應(yīng)用程序依賴于云服務(wù)商或其他服務(wù)提供商，尤其是AWS等云計算巨頭，他們將擁有嚴(yán)格的安全性。但是企業(yè)需要確保其應(yīng)用程序和云計算提供商之間的每個可能的連接點都受到保護，應(yīng)該明確描述這些云服務(wù)商的責(zé)任和數(shù)據(jù)所有權(quán)。企業(yè)需要檢查云計算云提供商的文檔以了解安全最佳實踐，并始終遵循這些實踐。

企業(yè)需要在應(yīng)用程序和基礎(chǔ)設(shè)施中實施的措施包括加密(對數(shù)據(jù)進行加密，以便只有擁有正確密鑰的人才能解密信息)和令牌化(將敏感信息交換為使用的令牌)。雖然令牌化或加密不能保證完全防止違規(guī)，但它們可以防止實際可用的信息在發(fā)生數(shù)據(jù)違規(guī)時被盜。

所有客戶數(shù)據(jù)也應(yīng)該進行安全備份。對于企業(yè)而言，數(shù)據(jù)丟失事件可能與網(wǎng)絡(luò)攻擊事件一樣糟糕，因此從現(xiàn)代SaaS應(yīng)用程序中的備份恢復(fù)信息的能力對于成功的服務(wù)恢復(fù)至關(guān)重要。

為了快速響應(yīng)任何事件或安全漏洞并及早預(yù)防問題，還需要對整個基礎(chǔ)設(shè)施進行持續(xù)監(jiān)控。

為什么安全性對于客戶溝通尤為重要

SaaS提供商的客戶通信基礎(chǔ)設(shè)施必須能夠訪問姓名、電子郵件和電話號碼等個人識別信息(PII)，以便能夠向其用戶發(fā)送任何有價值的信息，并保持他們的參與。因為如果惡意行為者設(shè)法獲取個人信息，他們可以非常有效地使用這些信息，因此需要保護用戶數(shù)據(jù)。任何客戶數(shù)據(jù)的泄露，無論是由惡意行為者故意造成的，還是由SaaS公司本身無意造成的，都可能對所有相關(guān)方造成災(zāi)難性的后果。

政府意識到企業(yè)處理個人識別信息(PII)會有數(shù)據(jù)泄露的風(fēng)險，制定了保護客戶數(shù)據(jù)的指導(dǎo)方針。例如在歐盟，通用數(shù)據(jù)保護條例(GDPR)于2018年生效。它概述了安全管理用戶數(shù)據(jù)的具體準(zhǔn)則，以及如果企業(yè)不遵守這些準(zhǔn)則將受到的處罰。例如加利福尼亞州頒布了2018年《加利福尼亞州消費者隱私法》(CCPA)，以使該州居民能夠更好地控制企業(yè)收集和處理客戶個人信息的方式。其嚴(yán)格的規(guī)定類似于GDPR法規(guī)。2021年，弗吉尼亞州也效仿嚴(yán)格的隱私法，授權(quán)《消費者數(shù)據(jù)保護法》(CDPA)于2023年生效。

SaaS提供商必須比以往任何時候都更加關(guān)注數(shù)據(jù)保護和安全性，這不僅要保護他們的業(yè)務(wù)和用戶的數(shù)據(jù)，還要避免對可能被阻止的違規(guī)行為進行大規(guī)模處罰。

與通信相關(guān)的安全漏洞有多常見?

安全漏洞的數(shù)量和范圍逐年增長，并且自從轉(zhuǎn)向遠程工作以來顯著增加。根據(jù)身份盜竊資源中心2022年的一項研究，2021年的數(shù)據(jù)泄露數(shù)量比2020年高出68%，比之前的歷史最高水平高出23%。這一增長是驚人的。他們研究中的有趣的一點是，受害者的數(shù)量實際上已經(jīng)減少，據(jù)稱是因為黑客更加關(guān)注商業(yè)機密和專業(yè)數(shù)據(jù)。

2021年8月，Microsoft Exchange電子郵件服務(wù)器被黑客通過安全漏洞進行攻擊。在微軟公司知道這些漏洞的幾個月內(nèi)，這些漏洞并沒有得到修復(fù)，而且微軟公司自己的客戶也沒有被適當(dāng)?shù)馗嬷@些漏洞的嚴(yán)重性。另外，在過去的幾年中，微軟的Office 365服務(wù)出現(xiàn)了大量惡意獲取機密信息的魚叉式網(wǎng)絡(luò)釣魚攻擊。

在2022年3月18日，企業(yè)用來管理營銷和銷售的CRM工具Hubspot通過員工賬戶遭到黑客攻擊。行業(yè)媒體在3月的報道，專門為企業(yè)提供云計算軟件用于訪問管理的Okta公司在兩個月前就遭到了黑客攻擊。Okta公司將違規(guī)行為歸咎于一家提供客戶支持并獲得Okta內(nèi)部信息訪問權(quán)限的簽約公司。

解決通信安全問題的最佳方法是什么?

隨著黑客不斷改進其攻擊方法，云計算應(yīng)用程序的安全性也越來越突出，例如互聯(lián)網(wǎng)安全中心的控制v8指南，針對最佳安全實踐的建議也在不斷制定。針對客戶通信的嚴(yán)格安全實踐(如通知)尤其重要，因為它們是黑客利用未察覺用戶進行攻擊的很容易的切入點。

作為通知提供者，安全服務(wù)商在安全措施方面投入了大量精力。以下分享了有關(guān)一般安全控制最佳實踐的主要建議。

(1) 內(nèi)部審核和流程

第一個建議是在企業(yè)內(nèi)建立內(nèi)部審查和流程，這可以是安全審查清單的形式。內(nèi)部審查應(yīng)涵蓋密碼創(chuàng)建和多因素身份驗證、特權(quán)訪問管理和一般訪問控制，以及新員工入職流程的政策。更具體地說，審核企業(yè)的員工在內(nèi)部的訪問權(quán)限，將訪問權(quán)限限制在需要知道的基礎(chǔ)上，并為對特權(quán)帳戶的任何受限訪問設(shè)置批準(zhǔn)工作流程。最后，確保企業(yè)的員工使用多重身份驗證并創(chuàng)建強密碼。

安全審查清單還應(yīng)包括評估基礎(chǔ)設(shè)施的范圍，例如網(wǎng)絡(luò)、設(shè)備以及與第三方提供商的任何其他連接。在企業(yè)進行評估時，為問題或違規(guī)創(chuàng)建事件響應(yīng)計劃，并使用它們來檢測其基礎(chǔ)設(shè)施中任何可能的漏洞。確保定期測試這些事件響應(yīng)計劃，以確保它們保持最新狀態(tài)。

這些步驟應(yīng)該被合并到企業(yè)的文檔中，作為它們正在實施的過程的證明。而擁有清晰的文檔意味著員工更有可能遵守企業(yè)的安全協(xié)議。

當(dāng)企業(yè)為上述項目編寫文檔和具體審查流程時，還應(yīng)為公眾定義其隱私政策。在發(fā)生違規(guī)之前，讓企業(yè)的用戶了解其收集和處理的數(shù)據(jù)以及這對他們意味著什么可能會有所幫助。

(2) 持續(xù)監(jiān)控

第二個建議是對企業(yè)的基礎(chǔ)設(shè)施進行持續(xù)監(jiān)控。如果沒有進行監(jiān)控，企業(yè)對安全漏洞的響應(yīng)可能為時已晚。監(jiān)控不僅使其開發(fā)團隊能夠在出現(xiàn)任何問題或警報時快速做出響應(yīng)，而且還可以提供有關(guān)如何改進整體安全控制的見解。由于SaaS應(yīng)用程序結(jié)合了多個不同的提供程序或組件，因此能夠可視化應(yīng)用程序的總體運行狀況尤為重要。企業(yè)應(yīng)該監(jiān)控用戶訪問和行為以及管理訪問和行為，因為兩者都可能表明SaaS應(yīng)用程序存在漏洞。目前，市場上有許多安全監(jiān)控提供商。例如使用Datadog來觀察應(yīng)用程序的組件。

(3) 自動化

第三個建議是軟件自動化可以幫助簡化企業(yè)的安全流程。如果企業(yè)需要允許臨時訪問特權(quán)帳戶或信息，可以將審批工作流程實施自動化以提高效率。協(xié)作控制也可以實現(xiàn)自動化，這樣員工就不會無意中共享機密信息。如果企業(yè)希望證明其符合數(shù)據(jù)管理合規(guī)標(biāo)準(zhǔn)，例如SOC2、ISO270001或GDPR等法規(guī)，還可以選擇由Vanta或Drata公司等服務(wù)提供商進行的自動監(jiān)控。

(4) 外部審計

如果想加強安全控制，第四個建議是讓第三方服務(wù)審核其基礎(chǔ)設(shè)施和流程是否存在任何漏洞。企業(yè)可以聘請顧問或使用應(yīng)用程序漏洞掃描程序，其示例包括Probely或Tenable。如果希望獲得任何合規(guī)性認(rèn)證，這些安全審計可以通過為其提供對最佳實踐的主動見解來提供先機。

以安全為核心進行開發(fā)

隨著數(shù)據(jù)泄露數(shù)量的增加和安全攻擊變得更加復(fù)雜，將最新的安全實踐集成到其應(yīng)用程序和企業(yè)中是絕對必要的。要采取更多安全控制措施并專注于發(fā)展其業(yè)務(wù)，尤其是在世界各地頒布了嚴(yán)格的法律和法規(guī)的情況下，將會對違規(guī)行為施加嚴(yán)厲的處罰和罰款。

正如以上回顧的那樣，數(shù)據(jù)泄露的風(fēng)險現(xiàn)在包括企業(yè)聲譽、財務(wù)損失以及對用戶的身份盜用等方面的進一步損害。企業(yè)的客戶通信可能是網(wǎng)絡(luò)攻擊者利用的主要漏洞來源之一，任何SaaS提供商在發(fā)展過程中都要將安全放在首位。