SaaS 在每家公司中的使用量都很大，甚至是不是公司統(tǒng)一購買部署，而是掌握在個(gè)別員工手上。他們?nèi)粘?huì)使用大量 SaaS 應(yīng)用，用來輔助工作或生活。而過去談 SaaS 安全性，主要集中在 SaaS 供應(yīng)商風(fēng)險(xiǎn)上，即公司會(huì)擔(dān)心數(shù)據(jù)存儲(chǔ)在哪里，并擔(dān)心供應(yīng)商的安全性，實(shí)際上SaaS 在過去 10 年發(fā)生了顯著變化。

　　有評論稱，當(dāng)前 SaaS 風(fēng)險(xiǎn)將由企業(yè)特定因素驅(qū)動(dòng)，且大多數(shù)公司仍然沒有將其納入風(fēng)險(xiǎn)評估當(dāng)中，因?yàn)轱L(fēng)險(xiǎn)仍然被評估為供應(yīng)商風(fēng)險(xiǎn)是最重要的因素。結(jié)果是大多數(shù)公司使用過時(shí)的框架管理 SaaS，并且存在巨大的盲點(diǎn)。

　　以下清單由數(shù)百名 CISO 合作開發(fā)，它確定了 CISO 應(yīng)了解的關(guān)鍵風(fēng)險(xiǎn)因素，以有效管理其 SaaS 風(fēng)險(xiǎn)：

　　01 發(fā)現(xiàn)正在使用的 SaaS 應(yīng)用程序

　　任何 SaaS 安全計(jì)劃的基礎(chǔ)都需要一個(gè)完整的 SaaS 應(yīng)用程序清單。許多公司使用單點(diǎn)登錄 （SSO）或身份提供者 （IdP），這是一個(gè)好的開始。但是，在員工使用本地應(yīng)用程序憑據(jù)創(chuàng)建帳戶的情況下，大多數(shù)人都沒有很好的 SaaS 清單。CASB確實(shí)提供了另一層數(shù)據(jù)，但是，它們無法辨別員工是創(chuàng)建了帳戶還是只是訪問了該站點(diǎn)。此 SaaS 清單還應(yīng)涵蓋由仍活躍的前員工創(chuàng)建的帳戶。這比大多數(shù)人想象的要普遍得多。

　　02 識(shí)別 SaaS 應(yīng)用程序中使用的數(shù)據(jù)

　　數(shù)據(jù)安全治理是現(xiàn)代企業(yè)運(yùn)營環(huán)節(jié)的重要一環(huán)，而 SaaS 使這變得特別困難。識(shí)別將使用的數(shù)據(jù)類型的最佳來源是用戶自己。但是，從每個(gè)用戶那里為他們注冊的每個(gè) SaaS 應(yīng)用程序收集這些信息既繁瑣又耗時(shí)。自動(dòng)化可以使其成為 SaaS 入職流程的一部分，并且收集此信息對于任何強(qiáng)大的 SaaS 安全計(jì)劃都至關(guān)重要。

　　03 使用 SaaS 應(yīng)用程序監(jiān)控員工數(shù)量

　　SaaS 的易用性導(dǎo)致公司使用的應(yīng)用程序數(shù)量急劇增加。以北美為例，估計(jì)就有超過 15,000 家 SaaS 公司，平均每家公司使用近 200 種不同的 SaaS 應(yīng)用程序。一名員工使用的應(yīng)用程序可能比多名員工使用的應(yīng)用程序帶來的風(fēng)險(xiǎn)更小。了解使用 SaaS 應(yīng)用程序的員工數(shù)量有助于公司更準(zhǔn)確地評估其風(fēng)險(xiǎn)級(jí)別并確定任何合規(guī)措施的優(yōu)先級(jí)。

　　04 SaaS 應(yīng)用程序采用

　　SaaS 應(yīng)用程序的用戶數(shù)量會(huì)隨著時(shí)間而變化，用戶數(shù)量急劇增加的應(yīng)用程序值得關(guān)注，以確保用戶遵守公司的安全策略。用戶可能在同一個(gè)部門或完全不同的辦公室。功能內(nèi)的用戶密度也是應(yīng)用程序帶來的風(fēng)險(xiǎn)的一個(gè)因素。例如，如果 10 個(gè)財(cái)務(wù)人員正在使用一個(gè)應(yīng)用程序并共享數(shù)據(jù)，那么這是一個(gè)非常高的風(fēng)險(xiǎn)。但是，如果 10 個(gè)不同部門的 10 個(gè)人在很少或沒有協(xié)作的情況下使用該應(yīng)用程序，那么這帶來的風(fēng)險(xiǎn)較小。關(guān)鍵是監(jiān)控采用率的增長，以便準(zhǔn)確評估風(fēng)險(xiǎn)。

　　05 用于 SaaS 應(yīng)用程序的身份驗(yàn)證方法

　　創(chuàng)建 SaaS 帳戶時(shí)，用戶通?？梢赃x擇使用 IdP 或本地憑據(jù)對自己進(jìn)行身份驗(yàn)證。盡管公司政策可能是用戶必須使用官方 IdP，但許多用戶會(huì)使用他們的電子郵件并重復(fù)使用其中一個(gè)密碼。了解使用的身份驗(yàn)證方法后，安全團(tuán)隊(duì)可以聯(lián)系并要求用戶使用 IdP 并遵守公司政策。包括 CASB 在內(nèi)的現(xiàn)有解決方案無法收集這些信息。

　　06 不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量

　　在 SaaS 安全中，很多人關(guān)注的是正在使用的 SaaS 應(yīng)用程序，而沒有得到太多關(guān)注的是不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量。這可能是員工流動(dòng)的結(jié)果，其中離職流程未涵蓋員工未使用 IdP 的未經(jīng)批準(zhǔn)的 SaaS 應(yīng)用程序。或者可能只是員工更改了應(yīng)用程序，例如從 Trello 轉(zhuǎn)移到 Monday.com。休眠的 SaaS 帳戶是一個(gè)常見的盲點(diǎn)，CASB 等現(xiàn)有解決方案無法發(fā)現(xiàn)或幫助保護(hù)它們。

　　07 SaaS 應(yīng)用程序風(fēng)險(xiǎn)隨時(shí)間的變化

　　SaaS 風(fēng)險(xiǎn)不是靜態(tài)的，它會(huì)隨著時(shí)間而變化。用戶可以從功能有限的免費(fèi)增值版本開始，然后升級(jí)到功能更高級(jí)的版本。如前所述，單個(gè)用戶可能開始使用應(yīng)用程序，然后開始邀請同事也開始使用該應(yīng)用程序。憑借成千上萬的潛在應(yīng)用程序，一流的 SaaS 安全風(fēng)險(xiǎn)管理程序可以監(jiān)控風(fēng)險(xiǎn)隨時(shí)間的變化，并幫助安全團(tuán)隊(duì)確定資源和工作的優(yōu)先級(jí)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<