SaaS的好处和坏处:可见性是SaaS安全的关键
source link: https://netsecurity.51cto.com/article/706952.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
云的好处是弹性、易用,因而也更具成本效益。软件即服务(SaaS)是未来,通过这种订阅式的在线服务,用户可以节省管理、更新和保护应用程序所需的时间、精力和资源。然而,SaaS有个明显的坏处,安全风险。
事实上,基于云的服务现在是恶意软件最常见的交付方式。据SASE厂商Netskope的统计调查,近70%的黑客和漏洞攻击都是从云服务下载的,97%的云应用程序是在未经安全团队授权甚至是不知情的情况下使用的。
如何评估SaaS应用的安全性
首先,企业要考虑所使用在线服务的可见性。上文中97%的统计数字,并非危言耸听。许多企业正在使用数量如此多的SaaS应用,以至于安全团队很难跟踪它们,最终导致安全事件的发生。还有一个令人意外的统计(https://track.g2.com/resources/shadow-it-statistics),由于缺乏SaaS应用的可见性,仅英美两国的机构,每年为并未使用的SaaS和不同账户使用重复的SaaS,多掏了340亿美元的订阅费。
在线服务本身的安全性是一个非常常见且重要的问题。安全团队应该考虑登录信息是否使用了足够的加密,检查在线服务过去是否遭到过黑客攻击,如果是的话,提供商做出了哪些响应措施。即使把这些工作都做完,也要注意,在线服务的安全性还取决于人们使用它的方式。如确保员工在登录SaaS服务和网络时使用不同的凭证,并且员工之间不能共享帐户或凭证,员工离职后要及时吊销账户。
SaaS安全性需要考虑的另一个方面是不同SaaS应用之间的交互,即SaaS的连接性,包括应用程序和服务相互发送通知等功能,往深里想一下,其实这就是一个潜在的数据隐私漏洞。组织是否了解员工如何使用多个应用程序和附加组件,以及集成和通知需要哪些权限?
SaaS的使用也会影响整体网络安全。例如,有些应用服务经常会在用户设备上安装代码或cookie。这里需要考虑的是,该代码是否包含可能干扰IT系统的最佳运行?该服务是否与第三方共享有关用户活动的数据,这些第三方是否安全?一项服务是否会在其活动中潜在地损害组织的资源(不管是有意还是无意)?
企业中的SaaS应用问题比比皆是,很难找到所有的答案,但在解决问题之前,企业至少要意识到问题,而不是无视问题。这种安全意识这将有助制定适当的安全策略,并将安全预算投入到最符合企业需求的安全解决方案上。
SaaS或其他基于云的服务每年可以为企业节省大量资金,除了成本以外,云还可以提高灵活性、提高效率、更好地利用数据和更好的为客户服务。然而,所有这些都可能以安全为代价。通过增加对SaaS在组织内活动的可见性,安全团队可以确保在充分享受这些服务的同时,避免风险。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK