行業專家最近發現了一個在SaaS安全領域掀起波瀾的事件,那就是今年年初Salesforce公司遭遇的數據泄露事件。由于Salesforce公共社區網站的錯誤配置,數量驚人的客戶(包括銀行、政府機構和醫療保健提供商)在不知不覺中泄露了敏感信息和私人信息。該安全漏洞允許未經身份驗證的用戶訪問已經登錄用戶保留的記錄。在佛蒙特州發現了一個這樣的案例,在那里至少有五個不同的Salesforce社區網站被發現暴露了敏感數據,例如用戶的姓名、社會安全號碼、地址、電話號碼、電子郵件和銀行賬號。這對新冠疫情失業援助方案來說尤其令人擔憂。佛蒙特州政府首席信息安全官ScottCarbee表示,這些有缺陷的網站是為了應對新冠疫情的爆發而匆忙創建的,因此沒有經過標準的安全審查。
了解SaaS安全性
在現代數字生態系統中,許多企業同時使用多個云計算環境,有時SaaS應用程序由于其龐大的敏感數據存儲庫而成為網絡犯罪分子的主要目標。SaaS安全性包括在SaaS架構中為保護這些有價值的資產而采取的措施。
2023年企業應用程序安全將面臨哪些挑戰
網絡安全專家發表的《2020年云安全報告》為開發人員提供了工具和技術,以確保軟件開發生命周期(SDLC)的所有階段都是安全的。其內容包括供應鏈安全、DevSecOps、零信任安全原則、移動應用程序安全等。
重要的是要理解SaaS安全性的責任是由客戶和提供商共享的,也稱為共享責任模型。隨著SaaS安全態勢管理系統的興起,企業可以更有效地自動化和管理SaaS安全性,為潛在的安全漏洞提供強大的防御。
優先考慮SaaS安全性的重要性
雖然企業可能有管理與IaaS和PaaS相關的安全風險的經驗,但由于SaaS應用程序的復雜性、安全和業務團隊之間缺乏透明的通信以及對持續協作的需求,SaaS應用程序出現了獨特的挑戰。
根據麥肯錫公司進行的一項調查,由于面臨這些挑戰,大多數企業都加大了對SaaS安全性的關注。這些企業強調他們的內部安全能力和SaaS提供商的安全能力(共享責任模型)。然而,許多人對缺乏以客戶為中心的安全方法和供應商的實施延遲表示不滿。
盡管存在這些障礙,但SaaS安全性的優先級是不可協商的,因為這些應用程序經常處理大量敏感數據,如果不優先考慮安全性,可能會面臨風險。
共享責任和SaaS安全挑戰
云安全的共同責任模型要求云計算提供商、產品供應商和客戶各自承擔其控制下的安全措施的責任。使用SaaS時,應用程序提供者負責物理基礎設施、網絡、操作系統和應用程序,而客戶負責數據和身份管理。
然而,SaaS采用的快速增長已經超過了安全團隊應對這些應用程序帶來的新風險和漏洞的能力。開箱即用的安全設置可能不符合企業標準,而自定義使安全性更具挑戰性。Oracle公司和ESG公司聯合發布的一份報告表明,66%的企業發現SaaS的共同責任模型令人困惑,導致他們的數據存在潛在風險。
以下介紹了可以幫助企業(特別是SaaS提供商的客戶)增強SaaS安全性的六個最佳實踐和策略。
(1)處理身份驗證
云計算提供商可以通過各種方式處理身份驗證,因此安全團隊了解所使用的每個SaaS服務支持的身份驗證方法至關重要。如果SaaS提供商支持,與企業的活動目錄綁定的單點登錄是一個很好的選擇。這允許在所有SaaS應用程序中統一帳戶和密碼策略。同樣,這里需要注意確保企業的員工和IT人員不斷了解需求,因為任何類型的標準化都不能替代每個員工應該掌握的基本安全知識。
(2)數據加密
使用傳輸層安全性保護傳輸中的數據并為靜態數據啟用加密是SaaS安全性的重要方面。企業必須研究每個SaaS服務提供的安全措施,并在可用時啟用加密。一些SaaS提供商(例如AWS公司)為其客戶提供API,以便將加密和數據保護與AWS環境中正在開發或部署的任何服務集成在一起。
(3)復雜和自定義的配置
中型企業通常使用超過185個SaaS應用程序,每個應用程序都具有獨特的、可調節的控件和設置,以滿足特定的需求。然而,對于安全團隊來說,人工管理這些配置是一項艱巨的任務,因為數量龐大且缺乏一致性。在功能和安全性之間取得平衡成為一項復雜的任務。定制SaaS應用程序以獲得最佳價值通常會損害默認的安全設置,可能與企業的安全性和合規性需求相沖突。此外,SaaS應用程序和內部系統之間的交互使異常和弱配置的檢測變得復雜。《2020年云安全報告》指出,云平臺的錯誤配置是最大的安全威脅,缺乏合格的員工是確保這些環境安全的主要障礙。如果沒有實現適當的安全配置,這種組合可能導致潛在的漏洞。
(4)盤點清單
跟蹤SaaS的使用情況可能是一項挑戰,尤其是在快速部署應用程序時。使用人工收集數據技術和自動化工具來維護所有正在使用的服務和正在使用它們的人員的最新清單。另一個建議是使用內部或訂閱模型儀表板來全面監視、觀察和控制企業的訪問,以確保不允許未經授權的訪問。
(5)采用云訪問安全代理工具
有時,云訪問安全代理解決方案可以成為SaaS安全庫的強大補充,特別是當SaaS提供商沒有提供足夠的安全級別時。云訪問安全代理允許企業添加SaaS提供商原生不支持的控件。然而,如今大多數SaaS提供商,尤其是像Salesforce公司這樣的大型提供商,都提供了增強安全性的附加選項。
(6)態勢感知
跟蹤來自云訪問安全代理工具的SaaS使用情況和數據,以及SaaS提供商提供的數據和日志,可以提供有價值的見解。采用系統的風險管理措施可確保安全可靠地使用SaaS。在很大程度上,這與圍繞安全和態勢感知構建的企業文化有關,這是一個經常被忽視的關鍵方面,特別是在規模較小的企業中。
利用SSPM解決方案
SSPM解決方案(例如Cynet公司提供的解決方案)可以極大地增強SaaS安全性。SSPM系統持續監視SaaS應用程序,識別所述安全策略與實際安全狀態之間的任何差距。這允許自動識別和糾正SaaS資產中的安全風險,按嚴重程度對風險和錯誤配置進行優先級排序。
結論
隨著數字環境的不斷發展和SaaS應用程序的日益普及,SaaS安全性變得比以往任何時候都更加重要。通過遵循這些最佳實踐,企業可以有效地保護其SaaS應用程序,確保安全可靠的數字生態系統。應該記住,SaaS安全性是企業和他們的提供商之間的共同責任,雙方都必須采取必要的步驟來維護數據的完整性和安全性。
