?現代SaaS應用程序提供商每天都在處理敏感的用戶信息，從客戶姓名和電子郵件地址到應用程序代碼和第三方API機密。因此，對于Web應用程序而言，遵守最高安全標準比以往任何時候都更加重要，這不僅是為了維護企業聲譽和避免經濟損失，而且也是為了保護用戶的利益。

客戶通信是SaaS安全性中經常被忽視的組成部分之一。以下將介紹企業應該密切關注客戶通信的安全性的原因，并對企業發送給用戶的電子郵件、推送通知和其他通信實施嚴格的安全措施。此外還提供一些建議，幫助企業走上安全之旅。

現代SaaS應用程序中的安全性是什么樣的?

許多現代SaaS應用程序托管在云平臺上，并通過Web界面和API訪問。他們還可能依賴第三方托管服務，例如通過AWS公司提供的云服務。此類服務的示例包括數據庫、計算資源和機器學習模型的部署。在為應用程序設計安全控制時，需要考慮所有這些組件。

在傳統的內部部署軟件中，軟件供應商只開發軟件，而不負責托管或信息存儲服務。軟件的最終用戶(或者更確切地說是他們的IT部門)在部署他們購買的軟件時負責其數據的安全。然而在云中的數據安全由SaaS提供商負責。SaaS應用程序可以成為最終用戶應用程序堆棧的核心部分，并因此處理個人識別信息(PII)，例如客戶和員工記錄、應用程序代碼或第三方機密和API密鑰。因此，針對當今SaaS服務的專門安全措施對于保護所有敏感信息至關重要。

在云中運行的早期SaaS應用程序需要哪些類型的安全措施?在理想情況下，應用程序應該從一開始就以安全思維方式構建。如果企業的應用程序依賴于云服務商或其他服務提供商，尤其是AWS等云計算巨頭，他們將擁有嚴格的安全性。但是企業需要確保其應用程序和云計算提供商之間的每個可能的連接點都受到保護，應該明確描述這些云服務商的責任和數據所有權。企業需要檢查云計算云提供商的文檔以了解安全最佳實踐，并始終遵循這些實踐。

企業需要在應用程序和基礎設施中實施的措施包括加密(對數據進行加密，以便只有擁有正確密鑰的人才能解密信息)和令牌化(將敏感信息交換為使用的令牌)。雖然令牌化或加密不能保證完全防止違規，但它們可以防止實際可用的信息在發生數據違規時被盜。

所有客戶數據也應該進行安全備份。對于企業而言，數據丟失事件可能與網絡攻擊事件一樣糟糕，因此從現代SaaS應用程序中的備份恢復信息的能力對于成功的服務恢復至關重要。

為了快速響應任何事件或安全漏洞并及早預防問題，還需要對整個基礎設施進行持續監控。

為什么安全性對于客戶溝通尤為重要

SaaS提供商的客戶通信基礎設施必須能夠訪問姓名、電子郵件和電話號碼等個人識別信息(PII)，以便能夠向其用戶發送任何有價值的信息，并保持他們的參與。因為如果惡意行為者設法獲取個人信息，他們可以非常有效地使用這些信息，因此需要保護用戶數據。任何客戶數據的泄露，無論是由惡意行為者故意造成的，還是由SaaS公司本身無意造成的，都可能對所有相關方造成災難性的后果。

政府意識到企業處理個人識別信息(PII)會有數據泄露的風險，制定了保護客戶數據的指導方針。例如在歐盟，通用數據保護條例(GDPR)于2018年生效。它概述了安全管理用戶數據的具體準則，以及如果企業不遵守這些準則將受到的處罰。例如加利福尼亞州頒布了2018年《加利福尼亞州消費者隱私法》(CCPA)，以使該州居民能夠更好地控制企業收集和處理客戶個人信息的方式。其嚴格的規定類似于GDPR法規。2021年，弗吉尼亞州也效仿嚴格的隱私法，授權《消費者數據保護法》(CDPA)于2023年生效。

SaaS提供商必須比以往任何時候都更加關注數據保護和安全性，這不僅要保護他們的業務和用戶的數據，還要避免對可能被阻止的違規行為進行大規模處罰。

與通信相關的安全漏洞有多常見?

安全漏洞的數量和范圍逐年增長，并且自從轉向遠程工作以來顯著增加。根據身份盜竊資源中心2022年的一項研究，2021年的數據泄露數量比2020年高出68%，比之前的歷史最高水平高出23%。這一增長是驚人的。他們研究中的有趣的一點是，受害者的數量實際上已經減少，據稱是因為黑客更加關注商業機密和專業數據。

2021年8月，Microsoft Exchange電子郵件服務器被黑客通過安全漏洞進行攻擊。在微軟公司知道這些漏洞的幾個月內，這些漏洞并沒有得到修復，而且微軟公司自己的客戶也沒有被適當地告知這些漏洞的嚴重性。另外，在過去的幾年中，微軟的Office 365服務出現了大量惡意獲取機密信息的魚叉式網絡釣魚攻擊。

在2022年3月18日，企業用來管理營銷和銷售的CRM工具Hubspot通過員工賬戶遭到黑客攻擊。行業媒體在3月的報道，專門為企業提供云計算軟件用于訪問管理的Okta公司在兩個月前就遭到了黑客攻擊。Okta公司將違規行為歸咎于一家提供客戶支持并獲得Okta內部信息訪問權限的簽約公司。

解決通信安全問題的最佳方法是什么?

隨著黑客不斷改進其攻擊方法，云計算應用程序的安全性也越來越突出，例如互聯網安全中心的控制v8指南，針對最佳安全實踐的建議也在不斷制定。針對客戶通信的嚴格安全實踐(如通知)尤其重要，因為它們是黑客利用未察覺用戶進行攻擊的很容易的切入點。

作為通知提供者，安全服務商在安全措施方面投入了大量精力。以下分享了有關一般安全控制最佳實踐的主要建議。

(1) 內部審核和流程

第一個建議是在企業內建立內部審查和流程，這可以是安全審查清單的形式。內部審查應涵蓋密碼創建和多因素身份驗證、特權訪問管理和一般訪問控制，以及新員工入職流程的政策。更具體地說，審核企業的員工在內部的訪問權限，將訪問權限限制在需要知道的基礎上，并為對特權帳戶的任何受限訪問設置批準工作流程。最后，確保企業的員工使用多重身份驗證并創建強密碼。

安全審查清單還應包括評估基礎設施的范圍，例如網絡、設備以及與第三方提供商的任何其他連接。在企業進行評估時，為問題或違規創建事件響應計劃，并使用它們來檢測其基礎設施中任何可能的漏洞。確保定期測試這些事件響應計劃，以確保它們保持最新狀態。

這些步驟應該被合并到企業的文檔中，作為它們正在實施的過程的證明。而擁有清晰的文檔意味著員工更有可能遵守企業的安全協議。

當企業為上述項目編寫文檔和具體審查流程時，還應為公眾定義其隱私政策。在發生違規之前，讓企業的用戶了解其收集和處理的數據以及這對他們意味著什么可能會有所幫助。

(2) 持續監控

第二個建議是對企業的基礎設施進行持續監控。如果沒有進行監控，企業對安全漏洞的響應可能為時已晚。監控不僅使其開發團隊能夠在出現任何問題或警報時快速做出響應，而且還可以提供有關如何改進整體安全控制的見解。由于SaaS應用程序結合了多個不同的提供程序或組件，因此能夠可視化應用程序的總體運行狀況尤為重要。企業應該監控用戶訪問和行為以及管理訪問和行為，因為兩者都可能表明SaaS應用程序存在漏洞。目前，市場上有許多安全監控提供商。例如使用Datadog來觀察應用程序的組件。

(3) 自動化

第三個建議是軟件自動化可以幫助簡化企業的安全流程。如果企業需要允許臨時訪問特權帳戶或信息，可以將審批工作流程實施自動化以提高效率。協作控制也可以實現自動化，這樣員工就不會無意中共享機密信息。如果企業希望證明其符合數據管理合規標準，例如SOC2、ISO270001或GDPR等法規，還可以選擇由Vanta或Drata公司等服務提供商進行的自動監控。

(4) 外部審計

如果想加強安全控制，第四個建議是讓第三方服務審核其基礎設施和流程是否存在任何漏洞。企業可以聘請顧問或使用應用程序漏洞掃描程序，其示例包括Probely或Tenable。如果希望獲得任何合規性認證，這些安全審計可以通過為其提供對最佳實踐的主動見解來提供先機。

以安全為核心進行開發

隨著數據泄露數量的增加和安全攻擊變得更加復雜，將最新的安全實踐集成到其應用程序和企業中是絕對必要的。要采取更多安全控制措施并專注于發展其業務，尤其是在世界各地頒布了嚴格的法律和法規的情況下，將會對違規行為施加嚴厲的處罰和罰款。

正如以上回顧的那樣，數據泄露的風險現在包括企業聲譽、財務損失以及對用戶的身份盜用等方面的進一步損害。企業的客戶通信可能是網絡攻擊者利用的主要漏洞來源之一，任何SaaS提供商在發展過程中都要將安全放在首位。