現代組織正在增加云采用率，以獲取外包關鍵業務功能的運營優勢。2021 年的一項研究發現，90% 的受訪組織現在使用云計算，例如軟件即服務 (SaaS) 服務。SaaS 解決方案可幫助組織實現重要目標，例如降低成本和加快上市時間。但是，與所有其他數字化轉型產品一樣，它們也帶來了網絡安全風險。

當組織以客戶身份登錄時，最終需要信任第三方供應商手中的敏感數據。盡管有這種信任，但由 SaaS 提供商糟糕的數據安全實踐導致的數據泄露仍然是客戶組織的責任。本文概述了 SaaS 解決方案引入的 7 大網絡安全風險，以及組織如何在導致數據泄露之前解決這些風險。

前 7 大 SaaS 網絡安全風險

下面列出了您的組織在使用 SaaS 服務時應考慮的 7 大網絡安全風險。

1.云配置錯誤

由于 SaaS 環境在公共云中運行，組織必須考慮云應用程序的獨特網絡威脅。當 SaaS 提供商或 SaaS 客戶未能保護云環境，從而危及數據安全時，就會發生云配置錯誤。安全管理中的此類失誤使組織面臨許多網絡威脅，例如：

• 云泄漏
• 勒索軟件
• 惡意軟件
• 網絡釣魚
• 外部黑客
• 內部威脅

云計算中一個常見的錯誤配置是允許過多的權限。當管理員向最終用戶提供太多訪問權限時，就會發生這種錯誤配置，從而導致權限差距。過多的權限是一個重要的安全問題，因為它們通常會導致云泄漏、數據泄露和內部威脅。

云服務提供商配置錯誤的一個著名示例是Amazon Web Services (AWS) 的 S3 存儲桶默認公共訪問設置。除了考慮云提供商端的錯誤配置外，您的組織還應該向內審視自己的安全措施；Gartner 預測，到 2025 年，99% 的云安全故障將是客戶的錯。另一個嚴重軟件配置錯誤的例子是 Microsoft Power Apps 數據泄漏。研究人員在 Microsoft 的 Power Apps 門戶中發現了錯誤配置的 OData API。這一疏忽導致 47 個組織的 3800 萬條記錄被曝光。

2.第三方風險

SaaS 服務產生第三方風險——來自組織供應鏈中任何第三方的風險。第三方可能對組織的信息安全造成不同程度的風險。例如，組織可能會認為簽約的辦公室門衛是低級別的安全威脅，而 SaaS 供應商可能是高風險的。

大多數 SaaS 應用程序將訪問或存儲組織的敏感數據，包括公開身份信息 (PII)和其他特權信息。您的組織可能有嚴格的安全措施來減輕網絡威脅，但您的保護僅與供應鏈中最薄弱的環節一樣強大。組織必須實施有效的第三方風險管理計劃，以持續監控和管理其 SaaS 供應商對攻擊面造成的獨特網絡風險。

3.供應鏈攻擊

當網絡犯罪分子通過其供應鏈中的漏洞攻擊組織時，就會發生供應鏈攻擊。這種性質的漏洞通常源于供應商糟糕的安全實踐。網絡犯罪分子可以通過針對您的供應商軟件的源代碼、更新機制或構建流程來破壞您組織的敏感數據。例如，迄今為止針對美國政府的最大網絡攻擊是由其 SaaS 供應商 Solarwinds 的 IT 更新促成的。

您的組織不能僅僅依靠強大的內部網絡安全實踐來防止供應鏈攻擊。安全團隊需要詳細了解整個供應商生態系統，以便在網絡犯罪分子利用它們之前識別和修復供應鏈漏洞。

4.零日漏洞

零日漏洞是開發人員仍然未知的未修補軟件漏洞。網絡犯罪分子可以通過網絡攻擊利用這些漏洞，通常會導致受影響組織的 數據泄露和數據丟失。

在流行的 SaaS 平臺中發現零日漏洞尤其具有破壞性 - 大量組織可能會受到影響，從而導致大規模關閉運營。例如，Accellion 的文件共享系統 FTA 在 2020 年受到Web shell 攻擊和零日漏洞利用以利用未修補的軟件漏洞。該事件是更廣泛的供應鏈攻擊的一部分，該攻擊破壞了 100 多個Accellion 客戶的敏感數據，導致廣泛的運營中斷。組織必須能夠快速識別其 SaaS 應用程序中的現有漏洞，以防止通過延遲修復而發生進一步的安全問題。

5.盡職調查不足

供應商盡職調查是組織在與潛在供應商共享敏感公司數據之前對其進行徹底評估。盡職調查評估驗證供應商關于其安全狀況和法規遵從性的聲明的準確性。它還識別供應商現有的安全風險，允許客戶組織在建立合作伙伴關系之前請求補救。

許多組織僅通過在入職過程中評估供應商來進行充分的盡職調查。如果您的 SaaS 供應商之一遭受網絡攻擊，威脅參與者可以利用其受損系統訪問您組織的敏感數據。公開此數據意味著您的組織（而不是供應商）處理監管、財務和聲譽后果。

組織應像對待其他攻擊媒介一樣警惕 SaaS 供應商，以防止客戶數據泄露和其他重大網絡攻擊。安全團隊必須通過結構化的供應商風險管理計劃對盡職調查過程采取系統方法，以便在任何給定時間 了解每個供應商的安全狀況。

6.不合規

安全框架的合規性和認證表明組織已采用可接受的網絡安全實踐標準。即使您的組織在內部遵守所有相關法規和框架，如果您的 SaaS 供應商不合規，您仍然面臨不合規的風險。例如，PCI DSS 標準有一組特定的第三方風險管理要求，組織必須確保其供應商遵守這些要求以實現完全合規。

您的安全團隊必須定期監控和驗證其 SaaS 供應商是否符合行業標準和法規，以突出任何安全漏洞以進行補救。否則，您的組織將面臨數據泄露的風險，從而導致巨額罰款和聲譽受損。

7.責任不明

與傳統的數據中心模型不同，云環境的安全性是組織及其云服務提供商的責任。您組織的 SaaS 供應商將各自擁有不同的責任共擔模型，概述了各方的角色和責任。安全團隊必須考慮每項 SaaS 服務的獨特安全要求，否則在假設供應商負責的情況下可能會造成網絡安全漏洞。組織還應該記住，如果發生數據泄露，數據安全性不足最終是他們的責任。