《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 基于SSPM實(shí)現(xiàn)企業(yè)SaaS應(yīng)用風(fēng)險(xiǎn)評(píng)估與防護(hù)

基于SSPM實(shí)現(xiàn)企業(yè)SaaS應(yīng)用風(fēng)險(xiǎn)評(píng)估與防護(hù)

2021-11-02
來(lái)源:安全牛
關(guān)鍵詞: SSPM SaaS應(yīng)用

  SSPM(全稱SaaS Security Posture Management,,即SaaS安全配置管理),,Gartner將其定義為“持續(xù)評(píng)估安全風(fēng)險(xiǎn)和管理SaaS應(yīng)用程序安全態(tài)勢(shì)的工具”,。其核心功能包括報(bào)告本機(jī)SaaS安全設(shè)置的配置,并為改進(jìn)配置,、降低風(fēng)險(xiǎn)提供建議,。

  當(dāng)前,企業(yè)SaaS應(yīng)用安全的主要痛點(diǎn)源于:

  缺乏對(duì)不斷增長(zhǎng)的SaaS應(yīng)用程序資產(chǎn)的控制,;

  SaaS應(yīng)用生命周期(從購(gòu)買到部署,、運(yùn)維)缺乏治理,;

  缺乏對(duì)SaaS應(yīng)用程序資產(chǎn)所有配置的可見性;

  云安全技能缺口,;

  數(shù)百到數(shù)千(甚至數(shù)萬(wàn))個(gè)設(shè)置和權(quán)限帶來(lái)的繁重和壓倒性的工作量,。

  雖然SaaS應(yīng)用程序的原生安全控制通常很強(qiáng)大,但確保正確設(shè)置所有配置(從全局設(shè)置到每個(gè)用戶角色和權(quán)限)的責(zé)任落在了企業(yè)組織身上,。企業(yè)安全團(tuán)隊(duì)需要負(fù)責(zé)了解每個(gè)應(yīng)用程序,、用戶和配置,并確保它們完全符合行業(yè)和企業(yè)政策,。否則,,只需一名不知情的SaaS管理員更改設(shè)置或共享錯(cuò)誤報(bào)告,就會(huì)暴露高度機(jī)密的企業(yè)數(shù)據(jù),。

  一些優(yōu)秀的SSPM解決方案提供對(duì)企業(yè)SaaS安全態(tài)勢(shì)的全面可見性,,檢查其是否符合行業(yè)標(biāo)準(zhǔn)和企業(yè)政策,甚至有的可以提供從方案內(nèi)部進(jìn)行修復(fù)的能力,。比如在復(fù)雜的SaaS資產(chǎn)中自動(dòng)修復(fù)錯(cuò)誤配置,顯著提高安全團(tuán)隊(duì)的效率并保護(hù)企業(yè)數(shù)據(jù),。不過,,并非所有的SSPM解決方案都如此優(yōu)秀。

  在選擇SSPM解決方案時(shí),,需要特別注意的幾個(gè)事項(xiàng):

  可見性和洞察力

  企業(yè)需進(jìn)行全面的安全檢查,,以清楚地了解企業(yè)SaaS環(huán)境

  對(duì)于SSPM解決方案而言,首要功能是能夠與企業(yè)所有SaaS應(yīng)用程序集成,。每個(gè)SaaS應(yīng)用程序都有自己的框架和配置,,只要有訪問用戶和企業(yè)系統(tǒng)的權(quán)限,就應(yīng)該納入到企業(yè)組織的監(jiān)控范圍,。因?yàn)槿魏螒?yīng)用程序都可能帶來(lái)風(fēng)險(xiǎn),,即便是非關(guān)鍵業(yè)務(wù)應(yīng)用程序也存在風(fēng)險(xiǎn)。需要注意的是,,通常較小的應(yīng)用程序可以作為攻擊的入口,。

  優(yōu)秀SSPM解決方案的另一個(gè)衡量標(biāo)準(zhǔn)是其安全檢查的廣度和深度,SSPM應(yīng)該跟蹤和監(jiān)控的領(lǐng)域和配置包括:身份和訪問管理,、惡意軟件防護(hù),、數(shù)據(jù)泄露防護(hù)、審計(jì),、外部用戶的訪問控制,、隱私控制、合規(guī)政策,、安全框架和基準(zhǔn)等,。

  持續(xù)監(jiān)控和修復(fù)

  通過持續(xù)監(jiān)督和快速修復(fù)錯(cuò)誤配置來(lái)應(yīng)對(duì)威脅

  企業(yè)組織修復(fù)商業(yè)環(huán)境中的問題是一項(xiàng)復(fù)雜而微妙的任務(wù)。SSPM解決方案應(yīng)提供每個(gè)配置的深層上下文關(guān)系,并使企業(yè)組織能夠輕松監(jiān)控和設(shè)置警報(bào),,以幫助安全團(tuán)隊(duì)隨時(shí)了解情況,、有效溝通、快速關(guān)閉漏洞,、保護(hù)企業(yè)系統(tǒng),。持續(xù)監(jiān)控的內(nèi)容具體包括:24/7全天候持續(xù)監(jiān)控、活動(dòng)監(jiān)視器,、警報(bào),、修復(fù)、隨時(shí)間推移而不斷變化的安全態(tài)勢(shì)等,。

  易部署

  使安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序

  企業(yè)SSPM解決方案應(yīng)易于部署,,并允許安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序。優(yōu)秀的安全解決方案應(yīng)與企業(yè)應(yīng)用程序和現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施輕松集成,,以創(chuàng)建針對(duì)網(wǎng)絡(luò)威脅的全面防御,。這些功能主要包括:自助服務(wù)向?qū)А?qiáng)大的API,、低誤報(bào),、非侵入式、分層使用等,。

  SSPM解決方案類似于日?!八⒀馈保瞧髽I(yè)創(chuàng)建預(yù)防性保護(hù)狀態(tài)所需的基本要求,。出色的SSPM解決方案能夠?yàn)槠髽I(yè)組織提供針對(duì)所有SaaS應(yīng)用程序的持續(xù),、自動(dòng)化監(jiān)控,并配置內(nèi)置知識(shí)庫(kù),,以確保最高等級(jí)的SaaS安全,,防止企業(yè)遭遇下一次攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。