SaaS浪潮已成海嘯 這里是管理其風險的8種方法
每個員工都在找尋下一個SaaS應用來讓自己的工作更輕松。一張信用卡+一份開支報告,公司里任何人都能在幾分鐘之內(nèi)注冊一個新的應用。問題在于:員工注冊SaaS應用時并不具備相應的知識或者企業(yè)內(nèi)部IT管理員的允許。
Gartner和思科的調(diào)查發(fā)現(xiàn),IT員工只知曉公司內(nèi)在用app的7%。這意味著,任何一家公司里,存在成百上千個不安全的SaaS應用,每一個都是可供黑客用以撈取公司數(shù)據(jù)的潛在切入點。
隨著企業(yè)應用市場的擴張,非托管SaaS應用的數(shù)量也在持續(xù)上漲,讓公司企業(yè)更難以控制安全及合規(guī)風險。考慮到這一點,OneLogin高級主管艾爾·薩金特為我們提供了管理SaaS海嘯引入風險的幾種方法。
1. 資金導向
IT部門應該與財務(wù)部門合作,專門創(chuàng)建一個“SaaS訂閱”費用類別,而不是澆滅員工購買應用提升工作效率的熱情。這樣一來,IT部門就能更清楚有哪些app在用,可以更有效地維護和強化安全。
2. 營造協(xié)作氛圍
員工總在找尋訪問其最愛app的方法,這也是為什么完全限制外部應用對減少影子IT無甚效果的原因。相反,IT部門應向申請使用新生產(chǎn)力或通信應用的員工打開大門,為它們提供單點登錄(SSO)門戶以實現(xiàn)更快的訪問。當員工習慣了使用應用要申請,IT也讓應用訪問更加簡單,IT部門就能對自己應該保護的工具有更深入的理解了。
3. 保證內(nèi)部安全
一旦IT確定了員工喜歡用的那些app,并將這些app放到SSO門戶上,IT部門就需要圍繞口令復雜性、定期更換和獨特性實施強身份驗證,當然,還有多因子身份驗證(MFA)。SSO門戶應該是更大的身份識別與訪問管理(IAM)解決方案的一部分,公司應采用IAM來監(jiān)測誰在訪問何種應用,同時確保每個員工只能訪問工作所需的app和信息。
4. 部署用戶和實體行為分析
IT部門應將IAM與云訪問安全代理(CASB)集成以找尋公司內(nèi)異常行為,比如同一身份在兩個不同國家訪問一個app。如此,當CASB檢測到此類行為,就能自動采取相應措施,包括要求MFA、終止會話、強制口令重置,或者禁用賬戶。
5. 跟蹤app使用
成百上千的非托管app在用,所以,前雇員在IT部門不知情或不同意的情況下還留有對公司信息的訪問權(quán)也毫不奇怪。大約10%的前雇員都能都能登錄前老板的賬戶。因此,IT部門應將IAM與安全信息和事件管理器連接,監(jiān)測非授權(quán)用戶訪問,確保只有授權(quán)用戶才有對公司app的訪問權(quán)。
6. 實現(xiàn)人力資源驅(qū)動的ID即服務(wù)(IDaaS)
更進一步,IT和HR部門應聯(lián)合開展工作,創(chuàng)建員工離職應用撤銷計劃,其中就包括有HR驅(qū)動的IAM。一旦實現(xiàn),當HR在人力資源信息中修改雇員狀態(tài)為“離職”,IAM就會自動拾取這些修改并撤銷對應用的訪問權(quán)。這將會降低賬戶被遺漏的機會。
7. 應用對app的控制
雖然孤立員工推進SaaS應用是減少影子IT的重要一步,并非每個app都適合交換和訪問公司數(shù)據(jù)。開放授權(quán)app尤其是難點,因為它們的無縫用戶體驗很易于讓人采納。但是其中一些有著廣泛的授權(quán)范圍,比如完全修改用戶所有文件的能力——很容易被黑客當做攻擊途徑。IT應使用CASB來追蹤開放授權(quán)app的使用,阻止帶有過多授權(quán)范圍的app。
8. 數(shù)據(jù)優(yōu)先級劃分
就算已采取了必要的措施來管理SaaS海嘯,影子IT依然是一個風險因素。確定出公司最敏感的25個數(shù)據(jù)資產(chǎn),知道有哪些和應用能訪問這些數(shù)據(jù)集,用IAM和CASB解決方案定期監(jiān)測它們,找尋異常行為。
