SaaS 安全:現代安全管理的新挑戰
嘗試向大型組織的安全團隊中的任何人提出“SaaS安全性”的話題。你可能會聽到,“是的,我們的安全是由大型SaaS平臺來處理的,非常好!”,也許你也會聽到一聲長嘆,接著是“是的,我必須盡快解決這個問題……”。
在任何一種情況下,SaaS 客戶在安全義務方面缺乏意識,或拖延履行這些責任都應該引起關注。
在我執行的 55% 的 SaaS 漏洞評估中,我們發現數據從 SaaS 環境泄漏到匿名互聯網。我們 95% 的 SaaS 漏洞評估揭示了過度配置外部 SaaS 用戶的帳戶。此外,在每個SaaS環境中,我們平均識別出42個連接的第三方應用。這42個中有22個通常可以訪問敏感數據,但已超過6個月沒有使用過。
在任何其他安全情景中,我們都會聲明,對能夠訪問敏感數據的客戶用戶的過度供應是一個值得立即糾正的高風險問題。我們將證明,需要取消一個無目的連接、但訪問關鍵業務數據的第三方集成。我們會立即鎖定任何將我們的數據泄露到匿名互聯網上的問題,甚至可能引入我們的IR或法律團隊來評估回應的可行性。在任何其他安全領域,這些結果都不能被安全團隊所接受。然而,當涉及SaaS時,所有這些情況都很常見。為什么這一切就發生在我們的腳下?
首先,這一代最優秀的銷售人員早就告訴企業高管,SaaS 平臺是解決本地應用所伴隨的持續安全問題的答案。
實際上,這并不完全正確。SaaS應用為提供商的體系結構提供內置的安全性,由業界一些最好的安全專業人員加固,并經過嚴格的測試。然而,SaaS所有權模型的某些部分完全管理不善——而這些管理不善發生在我們作為最終用戶應該負責的配置中。
事實上,Gartner指出,到2025年,99%的云安全事件將是由客戶的問題造成的。在過去的幾年里,我們已經看到了云的錯誤配置對我們的安全態勢是有害的,我們都在努力解決這些問題。我們必須對SaaS應用做同樣的事情,否則就會看到我們在云安全方面的進步被削弱,因為我們泄露了過去五年努力保護的相同數據。
人們仍然擔心揭開SaaS安全的面紗,因為這會暴露出需要更多工作、更多預算和更多焦慮的結果。但如果你問任何一家遭受過云數據泄露的公司,他們都會告訴你,主動出擊比緊急應對壞消息更好、更便宜,因為壞消息會破壞員工的路線圖,讓他們乞求預算來解決即將出現的一個高度可預測的問題。現代安全團隊知道,采取行動的時間是在事故發生之前。
好消息是,現在已經有了將安全控制構建到SaaS部署中的勢頭。許多組織在appsec中啟用了一種混合方法,將安全性“構建到”部署過程中。這些做法可以節約成本,提高效率,更重要的是促進文化發展。組織沒有理由停止應用安全性方面的主動安全——相反,將這些實踐構建到關鍵SaaS應用和云基礎設施的管理中肯定是未來幾年的最佳實踐方法。
以下是組織可以采取的一些措施,以啟動 SaaS 安全計劃。
投資于可擴展的方法
當前的安全工具集是為不同的時代構建的,當我們對網絡活動做出反應并擔心關鍵數據存儲在我們擁有的內部或受監控系統中時。這些安全解決方案無法適應我們進入的現代 SaaS 驅動時代。但是,除非你認識到需要通過新的創新解決方案實現技術自動化,否則擴展 SaaS 安全計劃將對你的團隊造成負擔。 SaaS 環境極度敏捷的特性需要一定程度的自動化和一些業務“產品化”才能真正保護你的企業部署。首先調查和確定可自動執行 SaaS 安全狀況并檢測與最佳實踐的偏差的解決方案和策略。
認識到這是一個真正獨特的安全功能,值得擁有自己的空間
不要陷入假設這就像解決云基礎設施配置問題一樣的陷阱。現實情況是,使用 IaaS 安全,你只需要處理三個主要平臺(如果你在歐洲或亞洲運營,則可能是 4 或 5 個)。 IaaS 原則具有相當的互操作性,并且擁有大量擁有所有主要平臺經驗的人才。
然而,在SaaS領域中,你可能要處理1000個應用,其中可能有10至20個應用處理關鍵或敏感數據。每個SaaS應用之間的控件都是唯一的——每個應用之間幾乎沒有可互操作的知識來幫助你保護你的財產。考慮一下決定自己處理這個問題的人員分配,通過在每個SaaS應用中雇用專家來提供資源。比起雇傭所有你需要的人才去手動解決這個問題,你更有可能讓你現有的員工去應對這一切。
與你的 IT 團隊一起擁有控制權
認識到這會有點傷害團隊和諧。你的業務線管理員可能不習慣被檢查。多年來,他們一直在確保功能的無縫運作,而幾乎沒有安全團隊的監督。通過最終對這些業務職能進行監督,你將使他們的生活變得更加艱難,以換取保護你的公司免受破壞性數據泄漏的影響。因此,請確保盡早讓你的 IT 管理員參與對話并確定共同點。關注SaaS部署安全檢查中獲得的效率一直是一個值得關注的話題,因為IT管理員認識到你希望在不耗盡團隊精力的情況下確保部署的安全性。
總之,我們正在進入一個新時代,SaaS應用將成為外部和內部攻擊者可用的主要攻擊面之一。現有的方法并不適合使用,但是通過利用自動化和構建內部SaaS安全程序,你的團隊可以準備好面對這個領域的未來。
