BetterCloud對500多名IT和安全專業人員進行的調查揭示了大規模SaaS管理的最新挑戰，尤其是隨著數字化轉型的推進——IT持續保持這種勢頭。與2020年平均80個SaaS應用相比，2021年企業使用的應用數量達到110個，同比增長38%。自2017年以來，SaaS應用的使用量增長近7倍，自2015年以來增長近14倍。

更多的SaaS應用也帶來了更多的挑戰。55%的受訪者表示，當前要解決的最大挑戰是缺乏對用戶活動和數據的可見性。其次是了解所有正在使用的SaaS應用程序并進行統一管理。

疏忽大意是迄今為止導致數據丟失的最大威脅。在數據泄露方面，最大的威脅并不是自黑客或內部員工，相反，72%的組織表示，員工通常并沒有惡意，只是想做好自己的工作，但在此過程中可能會無意間暴露敏感信息。

SaaS安全性是IT首要的考慮因素。69%的受訪者擔心未經批準的SaaS應用使用。此外，46%的人表示他們難以確保SaaS應用中的用戶活動。今年，隨著世界逐漸從疫情中恢復，SaaS平臺文件安全違規行為增長134%。

未來3年SaaSOps自動化水平可能將翻倍。SaaS-Powered Workplaces報告稱，他們 45%的SaaS運營已經實現自動化，并估計在未來三年內這一比例將上升到80%左右。

SaaSOps角色將繼續存在。60%的受訪者已經在他們的職位/描述中使用了“SaaSOps”一詞，或者計劃在未來將其包括在內。

Slack的新消息通知、Trello看板連接到微軟、用Boomerang管理收件箱。這些應用程序和平臺相互配合，成為當今許多公司日常工作的一部分。它們不僅有助于使遠程和混合辦公成為可能，而且是建立并擴展公司和產品的關鍵。

但是數以千計的SaaS平臺間的通信是對企業網絡安全的一種新威脅。大多數現有的網絡安全解決方案沒有為應用程序和平臺間的通信提供足夠的保護或便捷方式的監控，并且無法有效地了解或控制哪些角色可以訪問敏感的公司數據或個人信息。

一些熱門的攻擊事件——包括Imperva Security的數據泄露事件，攻擊者竊取了軟件在亞馬遜云上可執行的API密鑰，最終獲取客戶的敏感數據——就是利用了SaaS平臺間的通信保護不足這一弱點。為了有效地保護企業，我們需要了解SaaS平臺為什么會越來越脆弱、其面臨的風險是什么以及需要采取哪些措施予以應對。

當前的云安全配置無法保護SaaS到SaaS間的通信安全

二十年來，基于云的SaaS平臺一直在快速增長，它們提供了一種方便且成本相對較低的方式來獲得工作和個人使用所需的技術服務。

SaaS是基于云計算的平臺，傳統的網絡安全方案(例如保護本地網絡、數據和軟件的防火墻)不再有效。因此市場很快開發了CASB產品，它是基于云的服務與其用戶或本地服務之間的代理，其可以基于軟件或硬件。但其實，它只保護了SaaS產品與其用戶之間的連接。起初還是不錯的——直到更多的SaaS產品開始相互通信。

最近，出現了SSPM(SaaS Security Posture Management)解決方案。現在已經開始日漸流行，研究和咨詢公司Gartner將其定義為未來的云和SaaS安全的頂級工具。雖然它確實比CASB監控到的方面更多，但僅可用于某些服務，對于監控無處不在的SaaS間通信一事，依舊算是無計可施。

互聯應用程序為黑客帶來更多機會

Slack普及了連接不同平臺以協同工作的概念，現在大多數SaaS應用都在彼此協作。用戶執行的每個操作，無論是發送消息還是更新日歷，都可能導致平臺中的其他若干自動操作和通知，并且SaaS平臺的其他附加組件和應用程序需要訪問更多數據(可能從其他SaaS平臺)。這意味著，如果攻擊者獲得對某一平臺的訪問權限，他就有可能訪問所有該用戶使用的SaaS平臺和連接的應用程序。

公司應該如何應對？

為提高SaaS安全性可采取的措施：

• 投資SaaS安全工具
• 統計員工當前使用的應用程序
• 重視服務帳戶
• 撤銷離職/調崗員工關聯賬戶的訪問權限
• 考慮成立SaaS運營部門
• 制定有關使用第三方SaaS平臺的明確政策

公司不僅需要在SaaS安全工具上進行更多投資，還需要弄清楚自己員工正在使用的應用程序情況，以及在這些應用上共享了什么，以便網絡安全部門準確、全面地了解潛在的威脅。企業逐漸意識到(55%的網絡安全人員表示)，最大的SaaS安全挑戰是缺乏對SaaS使用和數據的可見性。一旦具備這一能力，便可使用這些情報來制定關于使用第三方SaaS應用和平臺的明確策略，并考慮員工的工作流程。

公司應該小心諸如忽視服務帳戶之類的情況，從而導致諸如被竊取停用的API令牌以訪問特權信息。除了網絡攻擊威脅之外，SaaS產品網絡還可能使企業遭受未授權用戶或離職員工的攻擊。

雖然出現了一些自動化解決方案，旨在解決SaaS平臺的管理問題，但企業可以立即采取的一個做法是成立專門的SaaS運營部門，該部門負責監督SaaS產品的采購、安全和管理。最近的一項調查發現，40%的IT專業人員現在將SaaS運營視為一個關鍵角色。