《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 做好這些 讓SaaS更安全地服務(wù)公司和員工

做好這些 讓SaaS更安全地服務(wù)公司和員工

2022-11-12
來(lái)源:安全419
關(guān)鍵詞: SaaS

  SaaS 在每家公司中的使用量都很大,甚至是不是公司統(tǒng)一購(gòu)買(mǎi)部署,,而是掌握在個(gè)別員工手上,。他們?nèi)粘?huì)使用大量 SaaS 應(yīng)用,用來(lái)輔助工作或生活,。而過(guò)去談 SaaS 安全性,,主要集中在 SaaS 供應(yīng)商風(fēng)險(xiǎn)上,即公司會(huì)擔(dān)心數(shù)據(jù)存儲(chǔ)在哪里,,并擔(dān)心供應(yīng)商的安全性,,實(shí)際上SaaS 在過(guò)去 10 年發(fā)生了顯著變化。

  有評(píng)論稱,,當(dāng)前 SaaS 風(fēng)險(xiǎn)將由企業(yè)特定因素驅(qū)動(dòng),,且大多數(shù)公司仍然沒(méi)有將其納入風(fēng)險(xiǎn)評(píng)估當(dāng)中,因?yàn)轱L(fēng)險(xiǎn)仍然被評(píng)估為供應(yīng)商風(fēng)險(xiǎn)是最重要的因素,。結(jié)果是大多數(shù)公司使用過(guò)時(shí)的框架管理 SaaS,,并且存在巨大的盲點(diǎn),。

  以下清單由數(shù)百名 CISO 合作開(kāi)發(fā),它確定了 CISO 應(yīng)了解的關(guān)鍵風(fēng)險(xiǎn)因素,,以有效管理其 SaaS 風(fēng)險(xiǎn):

  01 發(fā)現(xiàn)正在使用的 SaaS 應(yīng)用程序

  任何 SaaS 安全計(jì)劃的基礎(chǔ)都需要一個(gè)完整的 SaaS 應(yīng)用程序清單,。許多公司使用單點(diǎn)登錄 (SSO)或身份提供者 (IdP),這是一個(gè)好的開(kāi)始,。但是,,在員工使用本地應(yīng)用程序憑據(jù)創(chuàng)建帳戶的情況下,大多數(shù)人都沒(méi)有很好的 SaaS 清單,。CASB確實(shí)提供了另一層數(shù)據(jù),但是,,它們無(wú)法辨別員工是創(chuàng)建了帳戶還是只是訪問(wèn)了該站點(diǎn),。此 SaaS 清單還應(yīng)涵蓋由仍活躍的前員工創(chuàng)建的帳戶。這比大多數(shù)人想象的要普遍得多,。

  02 識(shí)別 SaaS 應(yīng)用程序中使用的數(shù)據(jù)

  數(shù)據(jù)安全治理是現(xiàn)代企業(yè)運(yùn)營(yíng)環(huán)節(jié)的重要一環(huán),,而 SaaS 使這變得特別困難。識(shí)別將使用的數(shù)據(jù)類型的最佳來(lái)源是用戶自己,。但是,,從每個(gè)用戶那里為他們注冊(cè)的每個(gè) SaaS 應(yīng)用程序收集這些信息既繁瑣又耗時(shí)。自動(dòng)化可以使其成為 SaaS 入職流程的一部分,,并且收集此信息對(duì)于任何強(qiáng)大的 SaaS 安全計(jì)劃都至關(guān)重要,。

  03 使用 SaaS 應(yīng)用程序監(jiān)控員工數(shù)量

  SaaS 的易用性導(dǎo)致公司使用的應(yīng)用程序數(shù)量急劇增加。以北美為例,,估計(jì)就有超過(guò) 15,000 家 SaaS 公司,,平均每家公司使用近 200 種不同的 SaaS 應(yīng)用程序。一名員工使用的應(yīng)用程序可能比多名員工使用的應(yīng)用程序帶來(lái)的風(fēng)險(xiǎn)更小,。了解使用 SaaS 應(yīng)用程序的員工數(shù)量有助于公司更準(zhǔn)確地評(píng)估其風(fēng)險(xiǎn)級(jí)別并確定任何合規(guī)措施的優(yōu)先級(jí),。

  04 SaaS 應(yīng)用程序采用

  SaaS 應(yīng)用程序的用戶數(shù)量會(huì)隨著時(shí)間而變化,用戶數(shù)量急劇增加的應(yīng)用程序值得關(guān)注,,以確保用戶遵守公司的安全策略,。用戶可能在同一個(gè)部門(mén)或完全不同的辦公室。功能內(nèi)的用戶密度也是應(yīng)用程序帶來(lái)的風(fēng)險(xiǎn)的一個(gè)因素,。例如,,如果 10 個(gè)財(cái)務(wù)人員正在使用一個(gè)應(yīng)用程序并共享數(shù)據(jù),那么這是一個(gè)非常高的風(fēng)險(xiǎn),。但是,,如果 10 個(gè)不同部門(mén)的 10 個(gè)人在很少或沒(méi)有協(xié)作的情況下使用該應(yīng)用程序,那么這帶來(lái)的風(fēng)險(xiǎn)較小,。關(guān)鍵是監(jiān)控采用率的增長(zhǎng),,以便準(zhǔn)確評(píng)估風(fēng)險(xiǎn),。

  05 用于 SaaS 應(yīng)用程序的身份驗(yàn)證方法

  創(chuàng)建 SaaS 帳戶時(shí),用戶通??梢赃x擇使用 IdP 或本地憑據(jù)對(duì)自己進(jìn)行身份驗(yàn)證,。盡管公司政策可能是用戶必須使用官方 IdP,但許多用戶會(huì)使用他們的電子郵件并重復(fù)使用其中一個(gè)密碼,。了解使用的身份驗(yàn)證方法后,,安全團(tuán)隊(duì)可以聯(lián)系并要求用戶使用 IdP 并遵守公司政策。包括 CASB 在內(nèi)的現(xiàn)有解決方案無(wú)法收集這些信息,。

  06 不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量

  在 SaaS 安全中,,很多人關(guān)注的是正在使用的 SaaS 應(yīng)用程序,而沒(méi)有得到太多關(guān)注的是不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量,。這可能是員工流動(dòng)的結(jié)果,,其中離職流程未涵蓋員工未使用 IdP 的未經(jīng)批準(zhǔn)的 SaaS 應(yīng)用程序?;蛘呖赡苤皇菃T工更改了應(yīng)用程序,,例如從 Trello 轉(zhuǎn)移到 Monday.com。休眠的 SaaS 帳戶是一個(gè)常見(jiàn)的盲點(diǎn),,CASB 等現(xiàn)有解決方案無(wú)法發(fā)現(xiàn)或幫助保護(hù)它們,。

  07 SaaS 應(yīng)用程序風(fēng)險(xiǎn)隨時(shí)間的變化

  SaaS 風(fēng)險(xiǎn)不是靜態(tài)的,它會(huì)隨著時(shí)間而變化,。用戶可以從功能有限的免費(fèi)增值版本開(kāi)始,,然后升級(jí)到功能更高級(jí)的版本。如前所述,,單個(gè)用戶可能開(kāi)始使用應(yīng)用程序,,然后開(kāi)始邀請(qǐng)同事也開(kāi)始使用該應(yīng)用程序。憑借成千上萬(wàn)的潛在應(yīng)用程序,,一流的 SaaS 安全風(fēng)險(xiǎn)管理程序可以監(jiān)控風(fēng)險(xiǎn)隨時(shí)間的變化,,并幫助安全團(tuán)隊(duì)確定資源和工作的優(yōu)先級(jí)。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。