七个最前的SaaS网络安全风险

现代组织正在增加云采用率,以获取外包关键业务功能的运营优势。2021 年的一项研究发现,90% 的受访组织现在使用云计算,例如软件即服务 (SaaS) 服务。SaaS 解决方案可帮助组织实现重要目标,例如降低成本和加快上市时间。但是,与所有其他数字化转型产品一样,它们也带来了网络安全风险。

七个最前的SaaS网络安全风险-南华中天

当组织以客户身份登录时,最终需要信任第三方供应商手中的敏感数据。尽管有这种信任,但由 SaaS 提供商糟糕的数据安全实践导致的数据泄露仍然是客户组织的责任。本文概述了 SaaS 解决方案引入的 7 大网络安全风险,以及组织如何在导致数据泄露之前解决这些风险。

前 7 大 SaaS 网络安全风险

下面列出了您的组织在使用 SaaS 服务时应考虑的 7 大网络安全风险。

1.云配置错误

由于 SaaS 环境在公共云中运行,组织必须考虑云应用程序的独特网络威胁。当 SaaS 提供商或 SaaS 客户未能保护云环境,从而危及数据安全时,就会发生云配置错误。安全管理中的此类失误使组织面临许多网络威胁,例如:

  • 云泄漏
  • 勒索软件
  • 恶意软件
  • 网络钓鱼
  • 外部黑客
  • 内部威胁

云计算中一个常见的错误配置是允许过多的权限。当管理员向最终用户提供太多访问权限时,就会发生这种错误配置,从而导致权限差距。过多的权限是一个重要的安全问题,因为它们通常会导致云泄漏、数据泄露和内部威胁。

云服务提供商配置错误的一个著名示例是Amazon Web Services (AWS) 的 S3 存储桶默认公共访问设置。除了考虑云提供商端的错误配置外,您的组织还应该向内审视自己的安全措施;Gartner 预测,到 2025 年,99% 的云安全故障将是客户的错。另一个严重软件配置错误的例子是 Microsoft Power Apps 数据泄漏。研究人员在 Microsoft 的 Power Apps 门户中发现了错误配置的 OData API。这一疏忽导致 47 个组织的 3800 万条记录被曝光。

2.第三方风险

SaaS 服务产生第三方风险——来自组织供应链中任何第三方的风险。第三方可能对组织的信息安全造成不同程度的风险。例如,组织可能会认为签约的办公室门卫是低级别的安全威胁,而 SaaS 供应商可能是高风险的。

大多数 SaaS 应用程序将访问或存储组织的敏感数据,包括公开身份信息 (PII)和其他特权信息。您的组织可能有严格的安全措施来减轻网络威胁,但您的保护仅与供应链中最薄弱的环节一样强大。组织必须实施有效的第三方风险管理计划,以持续监控和管理其 SaaS 供应商对攻击面造成的独特网络风险。

3.供应链攻击

当网络犯罪分子通过其供应链中的漏洞攻击组织时,就会发生供应链攻击。这种性质的漏洞通常源于供应商糟糕的安全实践。网络犯罪分子可以通过针对您的供应商软件的源代码、更新机制或构建流程来破坏您组织的敏感数据。例如,迄今为止针对美国政府的最大网络攻击是由其 SaaS 供应商 Solarwinds 的 IT 更新促成的。

您的组织不能仅仅依靠强大的内部网络安全实践来防止供应链攻击。安全团队需要详细了解整个供应商生态系统,以便在网络犯罪分子利用它们之前识别和修复供应链漏洞。

4.零日漏洞

零日漏洞是开发人员仍然未知的未修补软件漏洞。网络犯罪分子可以通过网络攻击利用这些漏洞,通常会导致受影响组织的 数据泄露和数据丢失。

在流行的 SaaS 平台中发现零日漏洞尤其具有破坏性 - 大量组织可能会受到影响,从而导致大规模关闭运营。例如,Accellion 的文件共享系统 FTA 在 2020 年受到Web shell 攻击和零日漏洞利用以利用未修补的软件漏洞。该事件是更广泛的供应链攻击的一部分,该攻击破坏了 100 多个Accellion 客户的敏感数据,导致广泛的运营中断。组织必须能够快速识别其 SaaS 应用程序中的现有漏洞,以防止通过延迟修复而发生进一步的安全问题。

5.尽职调查不足

供应商尽职调查是组织在与潜在供应商共享敏感公司数据之前对其进行彻底评估。尽职调查评估验证供应商关于其安全状况和法规遵从性的声明的准确性。它还识别供应商现有的安全风险,允许客户组织在建立合作伙伴关系之前请求补救。

许多组织仅通过在入职过程中评估供应商来进行充分的尽职调查。如果您的 SaaS 供应商之一遭受网络攻击,威胁参与者可以利用其受损系统访问您组织的敏感数据。公开此数据意味着您的组织(而不是供应商)处理监管、财务和声誉后果。

组织应像对待其他攻击媒介一样警惕 SaaS 供应商,以防止客户数据泄露和其他重大网络攻击。安全团队必须通过结构化的供应商风险管理计划对尽职调查过程采取系统方法,以便在任何给定时间 了解每个供应商的安全状况。

6.不合规

安全框架的合规性和认证表明组织已采用可接受的网络安全实践标准。即使您的组织在内部遵守所有相关法规和框架,如果您的 SaaS 供应商不合规,您仍然面临不合规的风险。例如,PCI DSS 标准有一组特定的第三方风险管理要求,组织必须确保其供应商遵守这些要求以实现完全合规。

您的安全团队必须定期监控和验证其 SaaS 供应商是否符合行业标准和法规,以突出任何安全漏洞以进行补救。否则,您的组织将面临数据泄露的风险,从而导致巨额罚款和声誉受损。

7.责任不明

与传统的数据中心模型不同,云环境的安全性是组织及其云服务提供商的责任。您组织的 SaaS 供应商将各自拥有不同的责任共担模型,概述了各方的角色和责任。安全团队必须考虑每项 SaaS 服务的独特安全要求,否则在假设供应商负责的情况下可能会造成网络安全漏洞。组织还应该记住,如果发生数据泄露,数据安全性不足最终是他们的责任。