《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 做好這些 讓SaaS更安全地服務公司和員工

做好這些 讓SaaS更安全地服務公司和員工

2022-11-12
來源:安全419
關鍵詞: SaaS

  SaaS 在每家公司中的使用量都很大,甚至是不是公司統(tǒng)一購買部署,而是掌握在個別員工手上。他們?nèi)粘褂么罅?SaaS 應用,用來輔助工作或生活。而過去談 SaaS 安全性,主要集中在 SaaS 供應商風險上,即公司會擔心數(shù)據(jù)存儲在哪里,并擔心供應商的安全性,實際上SaaS 在過去 10 年發(fā)生了顯著變化。

  有評論稱,當前 SaaS 風險將由企業(yè)特定因素驅(qū)動,且大多數(shù)公司仍然沒有將其納入風險評估當中,因為風險仍然被評估為供應商風險是最重要的因素。結(jié)果是大多數(shù)公司使用過時的框架管理 SaaS,并且存在巨大的盲點。

  以下清單由數(shù)百名 CISO 合作開發(fā),它確定了 CISO 應了解的關鍵風險因素,以有效管理其 SaaS 風險:

  01 發(fā)現(xiàn)正在使用的 SaaS 應用程序

  任何 SaaS 安全計劃的基礎都需要一個完整的 SaaS 應用程序清單。許多公司使用單點登錄 (SSO)或身份提供者 (IdP),這是一個好的開始。但是,在員工使用本地應用程序憑據(jù)創(chuàng)建帳戶的情況下,大多數(shù)人都沒有很好的 SaaS 清單。CASB確實提供了另一層數(shù)據(jù),但是,它們無法辨別員工是創(chuàng)建了帳戶還是只是訪問了該站點。此 SaaS 清單還應涵蓋由仍活躍的前員工創(chuàng)建的帳戶。這比大多數(shù)人想象的要普遍得多。

  02 識別 SaaS 應用程序中使用的數(shù)據(jù)

  數(shù)據(jù)安全治理是現(xiàn)代企業(yè)運營環(huán)節(jié)的重要一環(huán),而 SaaS 使這變得特別困難。識別將使用的數(shù)據(jù)類型的最佳來源是用戶自己。但是,從每個用戶那里為他們注冊的每個 SaaS 應用程序收集這些信息既繁瑣又耗時。自動化可以使其成為 SaaS 入職流程的一部分,并且收集此信息對于任何強大的 SaaS 安全計劃都至關重要。

  03 使用 SaaS 應用程序監(jiān)控員工數(shù)量

  SaaS 的易用性導致公司使用的應用程序數(shù)量急劇增加。以北美為例,估計就有超過 15,000 家 SaaS 公司,平均每家公司使用近 200 種不同的 SaaS 應用程序。一名員工使用的應用程序可能比多名員工使用的應用程序帶來的風險更小。了解使用 SaaS 應用程序的員工數(shù)量有助于公司更準確地評估其風險級別并確定任何合規(guī)措施的優(yōu)先級。

  04 SaaS 應用程序采用

  SaaS 應用程序的用戶數(shù)量會隨著時間而變化,用戶數(shù)量急劇增加的應用程序值得關注,以確保用戶遵守公司的安全策略。用戶可能在同一個部門或完全不同的辦公室。功能內(nèi)的用戶密度也是應用程序帶來的風險的一個因素。例如,如果 10 個財務人員正在使用一個應用程序并共享數(shù)據(jù),那么這是一個非常高的風險。但是,如果 10 個不同部門的 10 個人在很少或沒有協(xié)作的情況下使用該應用程序,那么這帶來的風險較小。關鍵是監(jiān)控采用率的增長,以便準確評估風險。

  05 用于 SaaS 應用程序的身份驗證方法

  創(chuàng)建 SaaS 帳戶時,用戶通??梢赃x擇使用 IdP 或本地憑據(jù)對自己進行身份驗證。盡管公司政策可能是用戶必須使用官方 IdP,但許多用戶會使用他們的電子郵件并重復使用其中一個密碼。了解使用的身份驗證方法后,安全團隊可以聯(lián)系并要求用戶使用 IdP 并遵守公司政策。包括 CASB 在內(nèi)的現(xiàn)有解決方案無法收集這些信息。

  06 不再使用的 SaaS 應用程序或帳戶的數(shù)量

  在 SaaS 安全中,很多人關注的是正在使用的 SaaS 應用程序,而沒有得到太多關注的是不再使用的 SaaS 應用程序或帳戶的數(shù)量。這可能是員工流動的結(jié)果,其中離職流程未涵蓋員工未使用 IdP 的未經(jīng)批準的 SaaS 應用程序?;蛘呖赡苤皇菃T工更改了應用程序,例如從 Trello 轉(zhuǎn)移到 Monday.com。休眠的 SaaS 帳戶是一個常見的盲點,CASB 等現(xiàn)有解決方案無法發(fā)現(xiàn)或幫助保護它們。

  07 SaaS 應用程序風險隨時間的變化

  SaaS 風險不是靜態(tài)的,它會隨著時間而變化。用戶可以從功能有限的免費增值版本開始,然后升級到功能更高級的版本。如前所述,單個用戶可能開始使用應用程序,然后開始邀請同事也開始使用該應用程序。憑借成千上萬的潛在應用程序,一流的 SaaS 安全風險管理程序可以監(jiān)控風險隨時間的變化,并幫助安全團隊確定資源和工作的優(yōu)先級。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。