尝试向大型组织的安全团队中的任何人提出“SaaS安全”的话题。你可能会听到,“是的,我们的安全由大型SaaS平台处理,太棒了!”,也许你会听到一声长长的叹息,接着是“是的,我必须尽快修复这个……”。在任何一种情况下,SaaS客户对其安全义务缺乏认识,或者延迟履行这些义务,都应该引起关注。在我执行的55%的SaaS漏洞评估中,我们发现数据从SaaS环境泄漏到匿名互联网上。我们95%的SaaS漏洞评估揭示了外部SaaS用户帐户的过度配置。此外,我们发现每个SaaS环境平均有42个连接的第三方应用程序。这42个中的22个通常可以访问敏感数据,但超过6个月没有使用过。与任何其他安全场景一样,我们会声明,为客户用户过度提供敏感数据访问权限是一个高风险问题,需要立即纠正。我们将展示消除无目的连接但访问关键业务数据的第三方集成的必要性。我们会立即锁定任何将我们的数据泄露到匿名互联网上的问题,甚至可能会请我们的IR或法律团队评估响应的可行性。在任何其他安全领域,这些结果对于安全团队来说都是无法接受的。但是,对于SaaS,所有这些情况都很常见。为什么会发生在我们脚下?首先,这一代最优秀的销售人员长期以来一直告诉企业高管,SaaS平台是解决原生应用程序持续存在的安全问题的答案。实际上,这并不完全正确。SaaS应用程序为提供商的体系结构提供内置安全性,由业内一些最优秀的安全专家强化并经过严格测试。然而,SaaS所有权模型的某些部分完全管理不善——这些管理不善发生在我们作为最终用户负责的配置中。事实上,Gartner指出,到2025年,99%的云安全事件将由客户问题引起。在过去的几年里,我们已经看到云错误配置如何对我们的安全状况造成损害,我们都在努力修复它们。我们必须对SaaS应用程序做同样的事情,否则我们会看到我们在云安全方面的进步被削弱,因为我们暴露了我们在过去五年中努力保护的相同数据。人们仍然担心揭开SaaS安全面纱,因为它会揭示需要更多工作、更多预算和更多焦虑的结果。但是,如果你问任何一家遭受云数据泄露的公司,他们会告诉你,积极主动比紧急响应坏消息更好、更便宜,坏消息可能会破坏员工的路线图并让他们乞求预算来解决即将发生的A高度可预测的问题。现代安全团队知道采取行动的时间是在事故发生之前。好消息是,已经有势头将安全控制构建到SaaS部署中。许多组织在AppSec中启用了混合方法,其中将安全性“内置”到部署过程中。这些做法可以节约成本,提高效率,更重要的是促进文化发展。组织没有理由停止对应用程序安全的积极主动——相反,将这些实践构建到关键SaaS应用程序和云基础设施的管理中肯定会成为未来几年的最佳实践方法。以下是组织可以采取的一些步骤来启动SaaS安全程序。投资可扩展的方法当前的安全工具集是为不同的时代而构建的,当时我们对网络活动做出反应并担心关键数据存储在我们拥有的内部或受监控系统上。这些安全解决方案无法适应我们已经进入的现代SaaS驱动时代。但是,除非您认识到需要使用新的和创新的解决方案来自动化您的技术,否则扩展您的SaaS安全程序将成为您团队的负担。SaaS环境极其敏捷的特性需要一定程度的自动化和一些业务“生产”才能真正保护您的企业部署。首先调查和确定可以自动化您的SaaS安全状况并检测与最佳实践的偏差的解决方案和策略。认识到这是一个真正独特的安全功能,值得拥有自己的空间,不要陷入假设这就像解决云基础设施配置问题的陷阱。现实情况是,使用IaaS安全性,您只需处理三个主要平台(如果您在欧洲或亚洲运营,则可能是4或5个)。IaaS原则具有相当的互操作性,并且有很多拥有所有主要平台经验的人才。然而,在SaaS世界中,您可能要处理1,000个应用程序,其中可能有10到20个处理关键或敏感数据。每个SaaS应用程序之间的控件都是唯一的-每个应用程序之间几乎没有可互操作的知识来帮助您保护您的财产。考虑决定自行处理此问题的人员配置,通过在每个SaaS应用程序中聘请专家来提供资源。您更有可能让现有员工处理所有事情,而不是雇用您需要手动解决问题的所有人才。控制您的IT团队认识到它会稍微损害团队和谐。您的业??务线管理员可能不习惯接受检查。多年来,他们一直在确保功能在安全团队很少监督的情况下无缝运行。通过最终监督这些业务功能,您正在让他们的生活更加艰难,以换取保护您的公司免受破坏性数据泄漏。因此,请务必尽早让您的IT管理员参与对话并确定共同点。关注SaaS部署安全检查中获得的效率一直是一个值得关注的话题,因为IT管理员认识到您希望在不耗尽团队精力的情况下保护部署。总之,我们正在进入一个新时代,SaaS应用程序将成为外部和内部攻击者可用的主要攻击面之一。现有方法不适合使用,但通过利用自动化和构建内部SaaS安全程序,您的团队可以为这个空间的未来做好准备。
