尝试向大型组织的安全团队中的任何人提出“SaaS安全性”的话题。你可能会听到,“是的,我们的安全是由大型SaaS平台来处理的,非常好!”,也许你也会听到一声长叹,接着是“是的,我必须尽快解决这个问题……”。
在任何一种情况下,SaaS 客户在安全义务方面缺乏意识,或拖延履行这些责任都应该引起关注。
在我执行的 55% 的 SaaS 漏洞评估中,我们发现数据从 SaaS 环境泄漏到匿名互联网。我们 95% 的 SaaS 漏洞评估揭示了过度配置外部 SaaS 用户的帐户。此外,在每个SaaS环境中,我们平均识别出42个连接的第三方应用。这42个中有22个通常可以访问敏感数据,但已超过6个月没有使用过。
在任何其他安全情景中,我们都会声明,对能够访问敏感数据的客户用户的过度供应是一个值得立即纠正的高风险问题。我们将证明,需要取消一个无目的连接、但访问关键业务数据的第三方集成。我们会立即锁定任何将我们的数据泄露到匿名互联网上的问题,甚至可能引入我们的IR或法律团队来评估回应的可行性。在任何其他安全领域,这些结果都不能被安全团队所接受。然而,当涉及SaaS时,所有这些情况都很常见。为什么这一切就发生在我们的脚下?
首先,这一代最优秀的销售人员早就告诉企业高管,SaaS 平台是解决本地应用所伴随的持续安全问题的答案。
实际上,这并不完全正确。SaaS应用为提供商的体系结构提供内置的安全性,由业界一些最好的安全专业人员加固,并经过严格的测试。然而,SaaS所有权模型的某些部分完全管理不善——而这些管理不善发生在我们作为最终用户应该负责的配置中。
事实上,Gartner指出,到2025年,99%的云安全事件将是由客户的问题造成的。在过去的几年里,我们已经看到了云的错误配置对我们的安全态势是有害的,我们都在努力解决这些问题。我们必须对SaaS应用做同样的事情,否则就会看到我们在云安全方面的进步被削弱,因为我们泄露了过去五年努力保护的相同数据。
人们仍然担心揭开SaaS安全的面纱,因为这会暴露出需要更多工作、更多预算和更多焦虑的结果。但如果你问任何一家遭受过云数据泄露的公司,他们都会告诉你,主动出击比紧急应对坏消息更好、更便宜,因为坏消息会破坏员工的路线图,让他们乞求预算来解决即将出现的一个高度可预测的问题。现代安全团队知道,采取行动的时间是在事故发生之前。
好消息是,现在已经有了将安全控制构建到SaaS部署中的势头。许多组织在appsec中启用了一种混合方法,将安全性“构建到”部署过程中。这些做法可以节约成本,提高效率,更重要的是促进文化发展。组织没有理由停止应用安全性方面的主动安全——相反,将这些实践构建到关键SaaS应用和云基础设施的管理中肯定是未来几年的最佳实践方法。
以下是组织可以采取的一些措施,以启动 SaaS 安全计划。
投资于可扩展的方法
当前的安全工具集是为不同的时代构建的,当我们对网络活动做出反应并担心关键数据存储在我们拥有的内部或受监控系统中时。这些安全解决方案无法适应我们进入的现代 SaaS 驱动时代。但是,除非你认识到需要通过新的创新解决方案实现技术自动化,否则扩展 SaaS 安全计划将对你的团队造成负担。 SaaS 环境极度敏捷的特性需要一定程度的自动化和一些业务“产品化”才能真正保护你的企业部署。首先调查和确定可自动执行 SaaS 安全状况并检测与最佳实践的偏差的解决方案和策略。
认识到这是一个真正独特的安全功能,值得拥有自己的空间
不要陷入假设这就像解决云基础设施配置问题一样的陷阱。现实情况是,使用 IaaS 安全,你只需要处理三个主要平台(如果你在欧洲或亚洲运营,则可能是 4 或 5 个)。 IaaS 原则具有相当的互操作性,并且拥有大量拥有所有主要平台经验的人才。
然而,在SaaS领域中,你可能要处理1000个应用,其中可能有10至20个应用处理关键或敏感数据。每个SaaS应用之间的控件都是唯一的——每个应用之间几乎没有可互操作的知识来帮助你保护你的财产。考虑一下决定自己处理这个问题的人员分配,通过在每个SaaS应用中雇用专家来提供资源。比起雇佣所有你需要的人才去手动解决这个问题,你更有可能让你现有的员工去应对这一切。
与你的 IT 团队一起拥有控制权
认识到这会有点伤害团队和谐。你的业务线管理员可能不习惯被检查。多年来,他们一直在确保功能的无缝运作,而几乎没有安全团队的监督。通过最终对这些业务职能进行监督,你将使他们的生活变得更加艰难,以换取保护你的公司免受破坏性数据泄漏的影响。因此,请确保尽早让你的 IT 管理员参与对话并确定共同点。关注SaaS部署安全检查中获得的效率一直是一个值得关注的话题,因为IT管理员认识到你希望在不耗尽团队精力的情况下确保部署的安全性。
总之,我们正在进入一个新时代,SaaS应用将成为外部和内部攻击者可用的主要攻击面之一。现有的方法并不适合使用,但是通过利用自动化和构建内部SaaS安全程序,你的团队可以准备好面对这个领域的未来。