SaaS 在每家公司中的使用量都很大，甚至是不是公司統(tǒng)一購買部署，而是掌握在個別員工手上。他們?nèi)粘褂么罅?SaaS 應(yīng)用，用來輔助工作或生活。而過去談 SaaS 安全性，主要集中在 SaaS 供應(yīng)商風(fēng)險上，即公司會擔(dān)心數(shù)據(jù)存儲在哪里，并擔(dān)心供應(yīng)商的安全性，實際上SaaS 在過去 10 年發(fā)生了顯著變化。

　　有評論稱，當前 SaaS 風(fēng)險將由企業(yè)特定因素驅(qū)動，且大多數(shù)公司仍然沒有將其納入風(fēng)險評估當中，因為風(fēng)險仍然被評估為供應(yīng)商風(fēng)險是最重要的因素。結(jié)果是大多數(shù)公司使用過時的框架管理 SaaS，并且存在巨大的盲點。

　　以下清單由數(shù)百名 CISO 合作開發(fā)，它確定了 CISO 應(yīng)了解的關(guān)鍵風(fēng)險因素，以有效管理其 SaaS 風(fēng)險：

　　01 發(fā)現(xiàn)正在使用的 SaaS 應(yīng)用程序

　　任何 SaaS 安全計劃的基礎(chǔ)都需要一個完整的 SaaS 應(yīng)用程序清單。許多公司使用單點登錄 （SSO）或身份提供者 （IdP），這是一個好的開始。但是，在員工使用本地應(yīng)用程序憑據(jù)創(chuàng)建帳戶的情況下，大多數(shù)人都沒有很好的 SaaS 清單。CASB確實提供了另一層數(shù)據(jù)，但是，它們無法辨別員工是創(chuàng)建了帳戶還是只是訪問了該站點。此 SaaS 清單還應(yīng)涵蓋由仍活躍的前員工創(chuàng)建的帳戶。這比大多數(shù)人想象的要普遍得多。

　　02 識別 SaaS 應(yīng)用程序中使用的數(shù)據(jù)

　　數(shù)據(jù)安全治理是現(xiàn)代企業(yè)運營環(huán)節(jié)的重要一環(huán)，而 SaaS 使這變得特別困難。識別將使用的數(shù)據(jù)類型的最佳來源是用戶自己。但是，從每個用戶那里為他們注冊的每個 SaaS 應(yīng)用程序收集這些信息既繁瑣又耗時。自動化可以使其成為 SaaS 入職流程的一部分，并且收集此信息對于任何強大的 SaaS 安全計劃都至關(guān)重要。

　　03 使用 SaaS 應(yīng)用程序監(jiān)控員工數(shù)量

　　SaaS 的易用性導(dǎo)致公司使用的應(yīng)用程序數(shù)量急劇增加。以北美為例，估計就有超過 15,000 家 SaaS 公司，平均每家公司使用近 200 種不同的 SaaS 應(yīng)用程序。一名員工使用的應(yīng)用程序可能比多名員工使用的應(yīng)用程序帶來的風(fēng)險更小。了解使用 SaaS 應(yīng)用程序的員工數(shù)量有助于公司更準確地評估其風(fēng)險級別并確定任何合規(guī)措施的優(yōu)先級。

　　04 SaaS 應(yīng)用程序采用

　　SaaS 應(yīng)用程序的用戶數(shù)量會隨著時間而變化，用戶數(shù)量急劇增加的應(yīng)用程序值得關(guān)注，以確保用戶遵守公司的安全策略。用戶可能在同一個部門或完全不同的辦公室。功能內(nèi)的用戶密度也是應(yīng)用程序帶來的風(fēng)險的一個因素。例如，如果 10 個財務(wù)人員正在使用一個應(yīng)用程序并共享數(shù)據(jù)，那么這是一個非常高的風(fēng)險。但是，如果 10 個不同部門的 10 個人在很少或沒有協(xié)作的情況下使用該應(yīng)用程序，那么這帶來的風(fēng)險較小。關(guān)鍵是監(jiān)控采用率的增長，以便準確評估風(fēng)險。

　　05 用于 SaaS 應(yīng)用程序的身份驗證方法

　　創(chuàng)建 SaaS 帳戶時，用戶通常可以選擇使用 IdP 或本地憑據(jù)對自己進行身份驗證。盡管公司政策可能是用戶必須使用官方 IdP，但許多用戶會使用他們的電子郵件并重復(fù)使用其中一個密碼。了解使用的身份驗證方法后，安全團隊可以聯(lián)系并要求用戶使用 IdP 并遵守公司政策。包括 CASB 在內(nèi)的現(xiàn)有解決方案無法收集這些信息。

　　06 不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量

　　在 SaaS 安全中，很多人關(guān)注的是正在使用的 SaaS 應(yīng)用程序，而沒有得到太多關(guān)注的是不再使用的 SaaS 應(yīng)用程序或帳戶的數(shù)量。這可能是員工流動的結(jié)果，其中離職流程未涵蓋員工未使用 IdP 的未經(jīng)批準的 SaaS 應(yīng)用程序。或者可能只是員工更改了應(yīng)用程序，例如從 Trello 轉(zhuǎn)移到 Monday.com。休眠的 SaaS 帳戶是一個常見的盲點，CASB 等現(xiàn)有解決方案無法發(fā)現(xiàn)或幫助保護它們。

　　07 SaaS 應(yīng)用程序風(fēng)險隨時間的變化

　　SaaS 風(fēng)險不是靜態(tài)的，它會隨著時間而變化。用戶可以從功能有限的免費增值版本開始，然后升級到功能更高級的版本。如前所述，單個用戶可能開始使用應(yīng)用程序，然后開始邀請同事也開始使用該應(yīng)用程序。憑借成千上萬的潛在應(yīng)用程序，一流的 SaaS 安全風(fēng)險管理程序可以監(jiān)控風(fēng)險隨時間的變化，并幫助安全團隊確定資源和工作的優(yōu)先級。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<