如何管理SaaS安全风险

研究表明，现代组织将越来越多地利用 SaaS 解决方案来推动其许多关键运营。根据 Gartner的数据，SaaS 市场将从 2021 年起增长 21.7%，到 2022 年达到 4820 亿美元。组织必须将特定于 SaaS 的安全流程集成到其现有的信息安全策略中，否则如果到 2025 年无法控制公共云的使用，90% 的组织将面临不恰当地共享敏感数据的风险。

以下是您的组织可以有效管理 SaaS 安全风险并避免代价高昂的数据泄露的 7 种方法。

1. 实施云安全机制

鼓励组织采用安全访问服务边缘 (SASE)，以提高对云安全控制和安全策略的可见性。SASE 是一种新兴的云安全架构，可提供比传统网络安全解决方案更先进的云数据保护功能。SASE 架构通过启用最小权限原则和身份访问管理 (IAM) 机制（如云基础设施授权管理 (CIEM)和多因素身份验证 ）来推动零信任网络访问 (ZTNA) 。SASE 还促进使用现代云安全解决方案来管理跨 SaaS 应用程序的访问控制，包括：

• 防火墙即服务 (FWaaS)
• 安全 Web 网关 (SWG)
• 云访问服务代理 (CASB)
• 云安全态势管理 (CSPM)

2. 建立事件响应计划

即使有强大的信息安全策略，安全事件仍然会发生。如果数据泄露发生在 SaaS 供应商手中，组织必须尽量减少其影响以避免代价高昂的损失。您组织的事件响应计划应涵盖从恶意软件感染到客户数据泄露等特定场景。有效的事件响应计划具有以下作用：

• 概述所有关键利益相关者
• 简化数字取证
• 缩短恢复时间
• 保护组织的声誉

3. 进行彻底的尽职调查

组织必须在供应商生命周期的所有阶段定期评估 SaaS 供应商的安全状况，而不仅仅是在审查过程中。由于大多数大型组织管理着成百上千的供应商，因此在整个供应商生态系统中有效地进行尽职调查会很快变得复杂。

实施供应商分层流程是您的安全团队在例行风险评估期间优先考虑高风险供应商（如 SaaS 提供商）的最有效方式。供应商风险管理平台使供应商分层流程自动化，使安全团队能够有效地扩展他们的工作，而不会随着供应商生态系统的发展而忽视尽职调查。

4. 可视化第三方攻击面

组织只能对他们看到的网络威胁做出反应。随着创新的 SaaS 解决方案继续简化业务功能，您的组织可能拥有越来越多的供应商。很容易失去对攻击面的可见性——随着供应商库存的增加，您的安全团队不一定会效仿。自动实时发现、监控和跟踪组织供应商的安全状况。

5. 提供员工培训

COVID-19 大流行迫使许多组织采用在家工作 (WFH) 模式，这种模式一直存在。这种向远程工作的转变增加了在工作场所网络上运行的端点数量，例如个人电话和笔记本电脑。引入这些额外的攻击向量会扩大攻击面并造成安全不一致，因为管理员无法直接控制个人设备设置。

贵组织的信息安全政策应包括员工教育计划，以使所有员工了解安全要求。培训应涵盖各种主题，例如：

• 社会工程策略：向员工介绍常见的社会工程网络攻击，例如网络钓鱼和鱼叉式网络钓鱼。
• 清洁办公桌政策：确保所有工作技术和材料在工作时间之外被带走或安全存放。
• 可接受的使用：阐明员工可以和不能在工作设备和网络上使用/访问的内容。

6. 定期评估合规性

组织必须发送例行安全调查问卷，以确保高风险供应商（例如 SaaS 提供商）遵守所有必要的监管要求。手动记录数百个响应并跟踪每个供应商的合规状态是一个非常耗时的过程。预建问卷库包括广泛采用的网络安全法规和框架的模板，例如GDPR、ISO 27001、PCI DSS、NIST 网络安全框架等。组织可以将问卷响应映射到每个框架的要求，以验证供应商的合规性并要求对已识别的不合规领域进行及时补救。

7. 考虑第四方风险

您的供应商会产生第三方风险——他们的供应商也是如此。流行的 SaaS 提供商使用成百上千的关键供应商，为已经乏味的第三方生态系统增加了另一层复杂性。识别您的第四方供应商可能很困难，因为通常取决于您的服务提供商来披露它们。保持准确的库存需要与供应商不断修订和反复来回。