云的好处是弹性、易用性,因此更具成本效益。软件即服务(SaaS)是未来,通过这种基于订阅的在线服务,用户可以节省管理、更新和保护应用程序所需的时间、精力和资源。但是,SaaS有一个明显的劣势,安全风险。事实上,基于云的服务现在是最常见的恶意软件传播方式。根据SASE厂商Netskope的统计调查,近70%的黑客和exploit是从云服务下载的,97%的云应用是在未经授权甚至安全团队不知情的情况下使用的。如何评估SaaS应用程序的安全性首先,企业应该考虑他们使用的在线服务的可见性。上述97%的统计数字并非危言耸听。许多企业正在使用如此多的SaaS应用程序,以至于安全团队很难跟踪它们,最终导致安全事件。还有一个令人惊讶的统计数据(https://track.g2.com/resources/shadow-it-statistics),由于SaaS应用缺乏知名度,只有英国和美国的机构,每年为未使用的SaaS使用不同账户的重复SaaS需要额外支付340亿美元的订阅费。在线服务本身的安全性是一个非常普遍和重要的问题。安全团队应该考虑登录是否使用了足够的加密,检查在线服务过去是否被黑客入侵,如果是,供应商采取了什么应对措施。即使完成了所有这些,请注意在线服务的安全性取决于人们如何使用它。例如,确保员工在登录SaaS服务和网络时使用不同的凭证,员工之间不能共享账号或凭证,员工离职后及时注销账号。SaaS安全的另一个需要考虑的方面是不同SaaS应用程序之间的交互,即SaaS的连接性,包括应用程序和服务之间发送通知的功能。仔细想想,这其实是一个潜在的数据隐私漏洞。.组织是否了解员工如何使用多个应用程序和附加组件,以及集成和通知需要哪些权限?SaaS的使用也会影响整体网络安全。例如,某些应用程序服务通常会在用户设备上安装代码或cookie。这里的考虑是,代码是否包含可能干扰IT系统最佳运行的信息?该服务是否与第三方共享有关用户活动的数据,这些第三方是否安全?服务是否可能在其活动中受到损害?组织资源(是否有意)?结语SaaS应用问题在企业中比比皆是,很难找到所有的答案,但在解决问题之前,企业至少要意识到问题所在,而不是置之不理。这种安全意识将有助于制定适当的安全策略,并将安全预算用于最能满足业务需求的安全解决方案。SaaS或其他基于云的服务每年可以为企业节省大量资金。除了成本,云还可以增加灵活性,提高效率,更好地利用数据,更好地为客户服务。然而,所有这一切都可能以牺牲安全为代价。通过提高对组织内SaaS活动的可见性,安全团队可以确保他们在避免风险的同时充分享受这些服务。
