現(xiàn)代組織正在增加云采用率，以獲取外包關(guān)鍵業(yè)務(wù)功能的運(yùn)營(yíng)優(yōu)勢(shì)。2021 年的一項(xiàng)研究發(fā)現(xiàn)，90% 的受訪組織現(xiàn)在使用云計(jì)算，例如軟件即服務(wù) (SaaS) 服務(wù)。SaaS 解決方案可幫助組織實(shí)現(xiàn)重要目標(biāo)，例如降低成本和加快上市時(shí)間。但是，與所有其他數(shù)字化轉(zhuǎn)型產(chǎn)品一樣，它們也帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

當(dāng)組織以客戶身份登錄時(shí)，最終需要信任第三方供應(yīng)商手中的敏感數(shù)據(jù)。盡管有這種信任，但由 SaaS 提供商糟糕的數(shù)據(jù)安全實(shí)踐導(dǎo)致的數(shù)據(jù)泄露仍然是客戶組織的責(zé)任。本文概述了 SaaS 解決方案引入的 7 大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以及組織如何在導(dǎo)致數(shù)據(jù)泄露之前解決這些風(fēng)險(xiǎn)。

前 7 大 SaaS 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

下面列出了您的組織在使用 SaaS 服務(wù)時(shí)應(yīng)考慮的 7 大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.云配置錯(cuò)誤

由于 SaaS 環(huán)境在公共云中運(yùn)行，組織必須考慮云應(yīng)用程序的獨(dú)特網(wǎng)絡(luò)威脅。當(dāng) SaaS 提供商或 SaaS 客戶未能保護(hù)云環(huán)境，從而危及數(shù)據(jù)安全時(shí)，就會(huì)發(fā)生云配置錯(cuò)誤。安全管理中的此類失誤使組織面臨許多網(wǎng)絡(luò)威脅，例如：

• 云泄漏
• 勒索軟件
• 惡意軟件
• 網(wǎng)絡(luò)釣魚
• 外部黑客
• 內(nèi)部威脅

云計(jì)算中一個(gè)常見的錯(cuò)誤配置是允許過多的權(quán)限。當(dāng)管理員向最終用戶提供太多訪問權(quán)限時(shí)，就會(huì)發(fā)生這種錯(cuò)誤配置，從而導(dǎo)致權(quán)限差距。過多的權(quán)限是一個(gè)重要的安全問題，因?yàn)樗鼈兺ǔ?huì)導(dǎo)致云泄漏、數(shù)據(jù)泄露和內(nèi)部威脅。

云服務(wù)提供商配置錯(cuò)誤的一個(gè)著名示例是Amazon Web Services (AWS) 的 S3 存儲(chǔ)桶默認(rèn)公共訪問設(shè)置。除了考慮云提供商端的錯(cuò)誤配置外，您的組織還應(yīng)該向內(nèi)審視自己的安全措施；Gartner 預(yù)測(cè)，到 2025 年，99% 的云安全故障將是客戶的錯(cuò)。另一個(gè)嚴(yán)重軟件配置錯(cuò)誤的例子是 Microsoft Power Apps 數(shù)據(jù)泄漏。研究人員在 Microsoft 的 Power Apps 門戶中發(fā)現(xiàn)了錯(cuò)誤配置的 OData API。這一疏忽導(dǎo)致 47 個(gè)組織的 3800 萬(wàn)條記錄被曝光。

2.第三方風(fēng)險(xiǎn)

SaaS 服務(wù)產(chǎn)生第三方風(fēng)險(xiǎn)——來自組織供應(yīng)鏈中任何第三方的風(fēng)險(xiǎn)。第三方可能對(duì)組織的信息安全造成不同程度的風(fēng)險(xiǎn)。例如，組織可能會(huì)認(rèn)為簽約的辦公室門衛(wèi)是低級(jí)別的安全威脅，而 SaaS 供應(yīng)商可能是高風(fēng)險(xiǎn)的。

大多數(shù) SaaS 應(yīng)用程序?qū)⒃L問或存儲(chǔ)組織的敏感數(shù)據(jù)，包括公開身份信息 (PII)和其他特權(quán)信息。您的組織可能有嚴(yán)格的安全措施來減輕網(wǎng)絡(luò)威脅，但您的保護(hù)僅與供應(yīng)鏈中最薄弱的環(huán)節(jié)一樣強(qiáng)大。組織必須實(shí)施有效的第三方風(fēng)險(xiǎn)管理計(jì)劃，以持續(xù)監(jiān)控和管理其 SaaS 供應(yīng)商對(duì)攻擊面造成的獨(dú)特網(wǎng)絡(luò)風(fēng)險(xiǎn)。

3.供應(yīng)鏈攻擊

當(dāng)網(wǎng)絡(luò)犯罪分子通過其供應(yīng)鏈中的漏洞攻擊組織時(shí)，就會(huì)發(fā)生供應(yīng)鏈攻擊。這種性質(zhì)的漏洞通常源于供應(yīng)商糟糕的安全實(shí)踐。網(wǎng)絡(luò)犯罪分子可以通過針對(duì)您的供應(yīng)商軟件的源代碼、更新機(jī)制或構(gòu)建流程來破壞您組織的敏感數(shù)據(jù)。例如，迄今為止針對(duì)美國(guó)政府的最大網(wǎng)絡(luò)攻擊是由其 SaaS 供應(yīng)商 Solarwinds 的 IT 更新促成的。

您的組織不能僅僅依靠強(qiáng)大的內(nèi)部網(wǎng)絡(luò)安全實(shí)踐來防止供應(yīng)鏈攻擊。安全團(tuán)隊(duì)需要詳細(xì)了解整個(gè)供應(yīng)商生態(tài)系統(tǒng)，以便在網(wǎng)絡(luò)犯罪分子利用它們之前識(shí)別和修復(fù)供應(yīng)鏈漏洞。

4.零日漏洞

零日漏洞是開發(fā)人員仍然未知的未修補(bǔ)軟件漏洞。網(wǎng)絡(luò)犯罪分子可以通過網(wǎng)絡(luò)攻擊利用這些漏洞，通常會(huì)導(dǎo)致受影響組織的 數(shù)據(jù)泄露和數(shù)據(jù)丟失。

在流行的 SaaS 平臺(tái)中發(fā)現(xiàn)零日漏洞尤其具有破壞性 - 大量組織可能會(huì)受到影響，從而導(dǎo)致大規(guī)模關(guān)閉運(yùn)營(yíng)。例如，Accellion 的文件共享系統(tǒng) FTA 在 2020 年受到Web shell 攻擊和零日漏洞利用以利用未修補(bǔ)的軟件漏洞。該事件是更廣泛的供應(yīng)鏈攻擊的一部分，該攻擊破壞了 100 多個(gè)Accellion 客戶的敏感數(shù)據(jù)，導(dǎo)致廣泛的運(yùn)營(yíng)中斷。組織必須能夠快速識(shí)別其 SaaS 應(yīng)用程序中的現(xiàn)有漏洞，以防止通過延遲修復(fù)而發(fā)生進(jìn)一步的安全問題。

5.盡職調(diào)查不足

供應(yīng)商盡職調(diào)查是組織在與潛在供應(yīng)商共享敏感公司數(shù)據(jù)之前對(duì)其進(jìn)行徹底評(píng)估。盡職調(diào)查評(píng)估驗(yàn)證供應(yīng)商關(guān)于其安全狀況和法規(guī)遵從性的聲明的準(zhǔn)確性。它還識(shí)別供應(yīng)商現(xiàn)有的安全風(fēng)險(xiǎn)，允許客戶組織在建立合作伙伴關(guān)系之前請(qǐng)求補(bǔ)救。

許多組織僅通過在入職過程中評(píng)估供應(yīng)商來進(jìn)行充分的盡職調(diào)查。如果您的 SaaS 供應(yīng)商之一遭受網(wǎng)絡(luò)攻擊，威脅參與者可以利用其受損系統(tǒng)訪問您組織的敏感數(shù)據(jù)。公開此數(shù)據(jù)意味著您的組織（而不是供應(yīng)商）處理監(jiān)管、財(cái)務(wù)和聲譽(yù)后果。

組織應(yīng)像對(duì)待其他攻擊媒介一樣警惕 SaaS 供應(yīng)商，以防止客戶數(shù)據(jù)泄露和其他重大網(wǎng)絡(luò)攻擊。安全團(tuán)隊(duì)必須通過結(jié)構(gòu)化的供應(yīng)商風(fēng)險(xiǎn)管理計(jì)劃對(duì)盡職調(diào)查過程采取系統(tǒng)方法，以便在任何給定時(shí)間 了解每個(gè)供應(yīng)商的安全狀況。

6.不合規(guī)

安全框架的合規(guī)性和認(rèn)證表明組織已采用可接受的網(wǎng)絡(luò)安全實(shí)踐標(biāo)準(zhǔn)。即使您的組織在內(nèi)部遵守所有相關(guān)法規(guī)和框架，如果您的 SaaS 供應(yīng)商不合規(guī)，您仍然面臨不合規(guī)的風(fēng)險(xiǎn)。例如，PCI DSS 標(biāo)準(zhǔn)有一組特定的第三方風(fēng)險(xiǎn)管理要求，組織必須確保其供應(yīng)商遵守這些要求以實(shí)現(xiàn)完全合規(guī)。

您的安全團(tuán)隊(duì)必須定期監(jiān)控和驗(yàn)證其 SaaS 供應(yīng)商是否符合行業(yè)標(biāo)準(zhǔn)和法規(guī)，以突出任何安全漏洞以進(jìn)行補(bǔ)救。否則，您的組織將面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)，從而導(dǎo)致巨額罰款和聲譽(yù)受損。

7.責(zé)任不明

與傳統(tǒng)的數(shù)據(jù)中心模型不同，云環(huán)境的安全性是組織及其云服務(wù)提供商的責(zé)任。您組織的 SaaS 供應(yīng)商將各自擁有不同的責(zé)任共擔(dān)模型，概述了各方的角色和責(zé)任。安全團(tuán)隊(duì)必須考慮每項(xiàng) SaaS 服務(wù)的獨(dú)特安全要求，否則在假設(shè)供應(yīng)商負(fù)責(zé)的情況下可能會(huì)造成網(wǎng)絡(luò)安全漏洞。組織還應(yīng)該記住，如果發(fā)生數(shù)據(jù)泄露，數(shù)據(jù)安全性不足最終是他們的責(zé)任。