應(yīng)對SaaS蔓延帶來的安全挑戰(zhàn)
軟件即服務(wù) (SaaS) 的快速采用加劇了安全和 IT 團隊的可見性挑戰(zhàn),而 SaaS 的使用帶來了更大程度的新挑戰(zhàn)。
根據(jù) Axonius 最近的一項調(diào)查,雖然 66% 的組織在 SaaS 應(yīng)用程序上的支出比以往任何時候都多,但 60% 的受訪者將 SaaS 安全性列為其當前安全優(yōu)先級列表的第四位或更低。
SaaS 數(shù)據(jù)蔓延是信息在不同應(yīng)用程序中分散分布的結(jié)果,這使得 IT 和安全團隊難以確定所有數(shù)據(jù)所在的位置、敏感或個人身份信息 (PII) 的處理位置以及誰有權(quán)訪問數(shù)據(jù)。
此外,當存在業(yè)務(wù)不知道的SaaS應(yīng)用程序(即影子SaaS)時,就無法對其進行保護,因此它們成為最大的漏洞點,黑客最常將其作為攻擊目標。
Axonius 的一個業(yè)務(wù)部門 AxoniusX 的首席執(zhí)行官 Amir Ofek 說:“想想一個員工更愿意使用 Google Drive,即使他們的組織正式使用 Box。”“無論如何,他們可能會使用 Google Drive,但沒有通知 IT,他們可能會向其中上傳機密或敏感信息。”
他解釋說,即使 Google Drive 是安全的,如果他們離開他們的組織,這些數(shù)據(jù)將永遠保留在 Google Drive 中,而且追蹤和恢復(fù)將變得更加困難。
考慮另一個示例:Salesforce 提供了無限數(shù)量的支持集成。許多團隊將 Salesforce 與電子郵件工具、營銷工具、聊天和協(xié)作工具等集成在一起。
這意味著存儲在 Salesforce 中的客戶數(shù)據(jù)可以很容易地傳輸?shù)饺魏纹渌麘?yīng)用程序——因此很難跟蹤數(shù)據(jù)所在的每個位置。“這意味著您將客戶數(shù)據(jù)置于風險之中,”Ofek 說。“在 GDPR 等合規(guī)要求意味著對保護客戶數(shù)據(jù)進行更嚴格審查的時代,不受管理的 SaaS 蔓延是一項冒險的任務(wù)。”
SaaS 安全需要綜合方法
Gartner 基礎(chǔ)設(shè)施保護團隊的高級主管分析師 Charlie Winckless 表示,SaaS 蔓延帶來了安全挑戰(zhàn),僅僅是因為組織無法了解正在發(fā)生的事情。
“如果有人選擇采用 SaaS 應(yīng)用程序,那么 IT 安全部門可能從未看過該 SaaS 應(yīng)用程序,從未選擇過該應(yīng)用程序是否安全,從未查看過其周圍的控制,也從未做出決定至于它是否適合放入其中的數(shù)據(jù),”他解釋說。
他指出,沒有安全意識的人正在根據(jù)便利性和可訪問性做出決定,而這兩者很少與安全性并駕齊驅(qū)。
“安全幾乎很少是技術(shù)問題,盡管有一些技術(shù)解決方案可以提供幫助,”Winckless 解釋道。“讓 SaaS 成為您的云卓越中心的一部分意味著批準 SaaS 應(yīng)用程序用于常見的業(yè)務(wù)用例。”
他建議組織制定簡單而標準的調(diào)查問卷,可用于確定應(yīng)用程序中將包含哪些類型的數(shù)據(jù)以及有多少用戶進入其中。“這樣你就可以優(yōu)先考慮并在每個領(lǐng)域建立適量的風險和適量的工作,”他說。
最重要的是,企業(yè)必須開始添加工具,以賦予他們傳統(tǒng)上云訪問安全代理 (CASB) 領(lǐng)域的能力。“現(xiàn)在我可以看到我的用戶群體正在采用哪些 SaaS 應(yīng)用程序,并且優(yōu)秀的 CASB 具有靈活和動態(tài)的風險矩陣和風險評分,因此我可以開始了解 SaaS 應(yīng)用程序的風險有多大,”Winckless 說。
遠程、混合勞動力加入 SaaS 蔓延
自動化 SaaS 安全提供商 DoControl 的產(chǎn)品總監(jiān) Corey O'Connor 指出,遠程和混合工作模式對 SaaS 的使用和蔓延都產(chǎn)生了重大影響。
“當他們開始獲得關(guān)注時,CIO 的回應(yīng)是允許企業(yè)使用任何必要的工具來支持業(yè)務(wù),”他解釋道。“鑒于 SaaS 的采用和使用激增,這對 CISO 以及 IT 和安全團隊構(gòu)成了挑戰(zhàn)。”
隨著組織開始適應(yīng)工作環(huán)境的“新常態(tài)”,這造成了需要解決的安全漏洞。
“隨著勞動力現(xiàn)在更加分散,迫切需要在所有旨在推動業(yè)務(wù)支持的不同 SaaS 應(yīng)用程序中集中安全性,”O'Connor 說。
Ofek 表示同意,并指出隨著越來越多的組織采用混合工作模式,安全和 IT 團隊將需要圍繞 SaaS 應(yīng)用程序設(shè)計新的流程、策略和控制措施,以實現(xiàn)安全且輕松的訪問——這首先要從可見性開始。
“他們將需要能夠幫助開發(fā)單一事實來源的解決方案,包括完整的應(yīng)用程序清單——授權(quán)和影子 SaaS——每個應(yīng)用程序的設(shè)置和配置的完整列表,以及與每個應(yīng)用程序相關(guān)的員工和權(quán)限級別執(zhí)照,”他說。
O'Connor 表示,鑒于 SaaS 應(yīng)用程序承諾提供的積極成果,他認為其增長和采用的積極趨勢可能會繼續(xù)存在。
“安全需要放在首位,”他建議道。“否則,最終結(jié)果會變成技術(shù)債務(wù),最終會拖慢業(yè)務(wù),具有諷刺意味的是,這與 SaaS 應(yīng)用程序的設(shè)計目的相反。”
SaaS 安全涉及整個企業(yè)的利益相關(guān)者
Ofek 補充說,在評估組織的風險時,重要的是要納入組織的所有潛在風險元素。
“在當今世界,這越來越意味著 SaaS 應(yīng)用程序,”他說。“具體而言,風險官、FinOps 團隊和第三方風險經(jīng)理應(yīng)就適當且高安全風險的 SaaS 管理、使用行為和安全最佳實踐與安全團隊進行協(xié)商。”
最重要的是,與大多數(shù)與技術(shù)相關(guān)的計劃一樣,SaaS 安全必須從頭開始。
Ofek 指出,Axonius 的調(diào)查發(fā)現(xiàn),近四分之一 (23%) 的受訪者表示他們沒有專注于 SaaS,因為來自最高管理層的壓力讓他們專注于其他問題。
“高層領(lǐng)導(dǎo)者,即領(lǐng)導(dǎo)業(yè)務(wù)和做出重要決策的個人,需要確保不僅向 IT 和安全團隊,而且向所有員工傳達 SaaS 安全對其組織未來的重要性,”他說.
- 上一篇
新的CISA目標解決關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全問題
美國國土安全部通過網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)制定并發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施的新網(wǎng)絡(luò)安全性能目標。關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅正在上升,這些新目標旨在為利益相關(guān)者提供
- 下一篇
現(xiàn)在是您的品牌進入元宇宙的時候了嗎?
隨著技術(shù)專家、營銷人員和權(quán)威人士研究和辯論該領(lǐng)域的可能性以及公司如何利用它,元宇宙現(xiàn)在正受到廣泛關(guān)注。因此,品牌可能想知道他們是否應(yīng)該現(xiàn)在就創(chuàng)造元宇宙體驗,或者觀望元
相關(guān)資訊
- 數(shù)據(jù)場景驅(qū)動的數(shù)據(jù)治理價值實現(xiàn)
- 可解釋的人工智能和可解釋的機器
- 構(gòu)建數(shù)字孿生的四大挑戰(zhàn)
- 到2026年全球5G物聯(lián)網(wǎng)連接數(shù)將首
- “擁抱”數(shù)字化,沒有你想象的那么
- 從數(shù)據(jù)倉庫到數(shù)據(jù)結(jié)構(gòu):數(shù)據(jù)架構(gòu)的
- 研究表明數(shù)字孿生只在正確的環(huán)境
- 人工智能是否有望成為信息技術(shù)的
- AIoT智能物聯(lián)網(wǎng)平臺的技術(shù)架構(gòu)解
- 對抗性機器學(xué)習(xí)在受限特征應(yīng)用中