企业软件即服务 (SaaS) 的采用越来越广泛——全球最终用户支出增长 40% 以上,预计到 2022 年将达到 1700 亿美元——原因不难看出。随着公司转向支持新的工作模式,SaaS 应用程序提供了一种敏捷、灵活的方式,可以随时随地为员工提供他们需要的功能。
不幸的是,这种灵活性是一把双刃剑。 SaaS 应用程序网络可以快速增长,增长速度超过 IT 团队跟踪它们的速度。
如果公司无法处理其庞大的 SaaS 应用程序网络,他们将面临安全漏洞和财务中断的风险。然而,许多公司未能正确管理 SaaS 应用程序。一些 IT 团队被看似耗时耗力的审计和减轻 SaaS 风险的过程吓倒了。
其他人可能不了解 SaaS 应用程序带来的风险,也没有预留有效管理它们所需的资源。即使 IT 和安全团队采取措施来管理和保护 SaaS 应用程序,他们为减轻这些风险而采取的解决方案往往是不够的,因为他们往往有可能导致严重疏忽的“盲点”。
与 SaaS 管理相关的四个关键挑战使公司面临风险。 IT 和安全团队必须了解这些挑战,将它们的缺陷与传统解决方案进行比较,并制定解决这些缺陷的策略。因此,他们将能够更好地充分利用 SaaS 应用程序的全部优势。
SaaS 管理的 4 大挑战
1.数据蔓延
SaaS 应用程序可以快速相互链接以形成一个庞大的网络——数据在应用程序之间快速流动。由于开放 API 在流行的 SaaS 应用程序(如 Salesforce)中的突出地位,几乎每个应用程序都可以通过某种方式与其他应用程序连接。虽然这提供了极大的便利,但它也是 IT 和安全团队的主要责任。如果您不知道敏感数据的去向或去向,您如何保证其安全?
员工通过将数据存储在未经授权的地方来助长蔓延。如果您的公司使用 Box 进行存储,但一名员工坚持使用 Google Drive,那将是一个全新的数据流来管理——而且假设 IT 团队甚至知道该员工在做什么。
1.影子SaaS
在理想情况下,员工会在安装和激活 SaaS 应用程序之前征得 IT 许可。不幸的是,在现实世界中,员工经常在未经许可的情况下使用新的 SaaS 应用程序,从而允许未经验证的第三方访问敏感数据。虽然 IT 了解的 SaaS 应用程序网络已经势不可挡,但这只是整个网络的一小部分。事实上,典型组织中多达 50% 的 SaaS 足迹可能不为管理层所知。
如您所料,“影子 SaaS”使跟踪和保护数据的过程变得复杂。未经授权的应用程序不会通过正常的 IT 审查流程,这会增加风险。如果单个 SaaS 应用程序处理数据不当并违反了 GDPR 或 HIPAA 等法规,那么整个组织现在都要承担责任。更糟糕的是,如果财务团队无法识别“影子 SaaS”的许可费用,则会导致无法追踪的费用快速增加。
2. 安全和错误配置风险
由于 SaaS 应用程序具有很强的适应性,因此它们具有大量的设置和配置。不幸的是,这意味着应用程序可能会被错误配置并使公司的敏感数据面临风险。 IT 团队通常会努力让每个配置在启动时恰到好处,但随着时间的推移,日常使用通常会导致设置发生变化。可以这么说,SaaS 应用程序配置错误是第 2 天的问题,当人们很容易假设最困难的工作是在第 1 天之后完成的。
应用程序配置错误会带来实际后果,而且这是一个普遍存在的问题:云安全联盟最近的一项调查发现,去年有多达 63% 的组织因 SaaS 配置错误而经历过安全事件。在最坏的情况下,错误的设置可能会使敏感数据公开可用。每个单独的许可证还需要正确配置正确的权限。如果较低级别的员工获得管理员级别的许可证,内部威胁的风险就会显着增加,同时善意的员工错误地行使管理员权限的风险也会增加。
3. SaaS 支出过多且效率低下
考虑到大多数 SaaS 许可证的基于订阅的模型,小的经常性成本会随着时间的推移而增加。不幸的是,许多公司每年都会在未经批准或不需要的 SaaS 许可证上浪费大量资金——而且通常不知道这种情况正在发生。
如前所述,影子 SaaS 对许多组织来说是一项巨大的成本,但即使是授权的 SaaS 应用程序也会产生不必要的开支。部门化的决策导致公司通常会批准多个服务于同一目的的应用程序的许可证。
管理员也容易出现人为错误,例如复制许可证、未能取消与前雇员相关的许可证,以及将许可证授予不需要它们或无权使用它们的员工。
单点事实的重要性
了解上述云浪费挑战的公司通常急于降低 SaaS 应用程序的风险,但他们选择的策略往往达不到要求。有一些流行的工具可以解决一些 SaaS 管理挑战;其中包括云访问安全代理 (CASB) 工具、SaaS 安全状态管理 (SSPM) 工具和 SaaS 管理平台 (SMP)。
这些工具中的每一个都提供了一些关键的 SaaS 信息,但通常无法提供完整的信息。例如,CASB 工具监控云服务的使用情况,但这通常仅限于 IT 部门了解的 SaaS 应用程序。这意味着影子 SaaS 及其带来的所有责任仍然是隐藏的。虽然实施多种工具可以让每个工具弥补彼此的盲点,但将它们集成在一起会带来新的挑战和责任。
CISO 和 CIO 不应为了彻底而尝试使用许多工具,而应努力实施最简单的解决方案,以提供洞察力的三个关键方面:广度、深度和上下文。
广度是发现网络中每个 SaaS 应用程序的能力,以及共享的每种数据类型,以及数据如何从应用程序移动到应用程序的能力。
深度需要发现错误配置、潜在的恶意行为和其他容易被忽视的信息。
上下文涉及分析用户、SaaS 应用程序、设备和服务相互交互的方式。
为了实现更好的 SaaS 管理的广度、深度和上下文,公司需要单一的事实来源,这要求管理员具备:
与公司的 SaaS 应用程序网络相关的所有事实的“快照”。这包括完整的应用程序清单(授权和影子 SaaS);每个应用程序的完整设置和配置列表;以及与每个许可证相关的员工和特权级别。
一种跟踪企业数据动态的方法。这包括能够识别哪些用户和用户设备正在与每个云应用程序进行交互;每个应用程序如何存储和使用它获得的数据;以及用户如何从每个应用程序上线和下线。
制定管理策略
当然,了解贵公司 SaaS 网络的状态只有在贵公司能够据此采取行动时才有价值。您的 IT 团队必须愿意识别并消除出现的任何威胁或异常情况。这需要 IT、财务、业务运营、法律和安全团队之间的团队合作。因此,这不能成为单个部门的倡议,而是全公司范围内追求的目标。
实施全面的解决方案可能会对整个组织产生有益的连锁反应。它会:
允许财务和业务运营团队跟踪许可证使用情况,最大限度地降低成本并拦截潜在风险。
允许法律和安全团队跟踪数据流并保护公司的声誉。
鼓励员工变得更加负责任,因为他们知道他们的 SaaS 应用程序使用情况受到监控。
IT 和安全团队需要在他们的路线图上进行适当的 SaaS 管理,因为随着 SaaS 应用程序对分布式劳动力变得越来越重要,这是避免重大责任的唯一方法。通过消除风险和不必要的成本,IT 和安全团队可以使远程工作场所更安全,并从 SaaS 应用程序的便利性中受益,而没有风险。 SaaS 的复杂性只会增加,因此必须尽快实施可靠的战略。
