隨著現(xiàn)代企業(yè)轉(zhuǎn)向尖端的 SaaS 應(yīng)用程序來提高業(yè)務(wù)能力和節(jié)省成本,基于云的工作負(fù)載的安全性成為首要要求。SaaS 平臺為數(shù)字業(yè)務(wù)帶來了巨大的好處,但仍然存在一個大問題;使用 SaaS 會使我的 IT 環(huán)境更安全還是更不安全?
這是一個很難回答的問題,因為對于大多數(shù) SaaS 訂戶來說,安全是一項出色的體驗。不幸的是,針對 SaaS 平臺的幾起備受矚目的安全漏洞引發(fā)了人們對 SaaS 生態(tài)系統(tǒng)的擔(dān)憂,并對下游供應(yīng)鏈的威脅提出了質(zhì)疑。在本文中,我們將了解 SaaS 的安全前景,調(diào)查重大數(shù)據(jù)泄露事件,并了解如何防御 SaaS 安全威脅。
什么是軟件即服務(wù)?
市場上有無數(shù)的 SaaS 應(yīng)用程序,您可能會以專業(yè)或個人身份使用這些產(chǎn)品中的至少一種。Google Docs (G Suite)、Microsoft Office 365、Salesforce、Slack、Teams 和 Zoom 只是其中的一部分。全球有超過11,000 家 SaaS 公司在運營,到 2025 年,85% 的企業(yè)將使用 SaaS 平臺。
軟件即服務(wù)通常涉及在線軟件產(chǎn)品的數(shù)字交付,通常來自云提供商。用戶在訂閱服務(wù)后通過互聯(lián)網(wǎng)訪問軟件。購買后,您將獲得一個帳戶;您登錄并開始使用該服務(wù)。
SaaS 產(chǎn)品通常是通過按月訂閱付費的商業(yè)應(yīng)用程序。這為企業(yè)以負(fù)擔(dān)得起的現(xiàn)收現(xiàn)付模式使用昂貴的企業(yè)級應(yīng)用程序打開了大門。此外,SaaS 部署使用云服務(wù)器為應(yīng)用程序提供動力,用戶只需要一臺功率適中的筆記本電腦或 PC 即可使用。
SaaS 平臺很普遍。例如,流行的 Office 365 套件有3.45 億活躍訂閱。這個數(shù)字包括企業(yè)和個人賬戶。微軟擁有 75% 的全球最大公司的 Office 賬簿。
流行的 SaaS 平臺必須走在安全最佳實踐的前沿,以抵御復(fù)雜的網(wǎng)絡(luò)攻擊。不幸的是,SaaS 平臺因其受歡迎程度而成為黑客的熱門目標(biāo)。
SaaS 數(shù)據(jù)泄露
2021 年 7 月,銷售 SaaS 解決方案的科技公司Kaseya成為勒索軟件的目標(biāo)。他們的客戶通常是小型企業(yè)或托管服務(wù)經(jīng)銷商。勒索軟件影響了 Kaseya VSA,這是一個用于端到端 IT 基礎(chǔ)設(shè)施管理、銷售點系統(tǒng)、服務(wù)器、筆記本電腦、補丁和監(jiān)控的一體化套件。
這次網(wǎng)絡(luò)攻擊是一個分水嶺,因為雖然 Kaseya 是目標(biāo),但客戶才是真正的受害者。畢竟,他們的系統(tǒng)遭到破壞,許多人經(jīng)歷了幾天痛苦的停機,這都是因為 Kaseya 內(nèi)部的安全性薄弱。
另一個重大的SaaS 數(shù)據(jù)泄露事件發(fā)生在 Zoom 上。視頻會議軟件在大流行期間看到了天文數(shù)字的增長,但很快成為黑客目標(biāo)的公司。漏洞于 2020 年 4 月被發(fā)現(xiàn),不久之后超過 500,000 個帳戶憑據(jù)被盜并在暗網(wǎng)上被拍賣。
其他重大違規(guī)行為包括Office 365 帳戶因欺騙和社會工程策略而受到損害。雖然這是一個孤立的事件,但隨著黑客控制,擁有該帳戶的企業(yè)被完全驅(qū)逐出該帳戶。
SaaS 網(wǎng)絡(luò)安全挑戰(zhàn)
這些攻擊成功的原因是什么?黑客可以通過多種方式破壞 SaaS 服務(wù)。以下是一些最常見的:
- 云配置錯誤:數(shù)據(jù)泄露的首要原因是應(yīng)用程序配置不當(dāng),通常是公開共享機密信息。將數(shù)據(jù)庫推送到公共云存儲或錯誤配置用戶權(quán)限是常見的例子。
- 第三方風(fēng)險:當(dāng)外包給 SaaS 提供商時,存在一個風(fēng)險因素,即他們的員工可能會無意中將訪問權(quán)限授予黑客。這就是最近的 Office 365 攻擊中發(fā)生的事情。
- 供應(yīng)鏈攻擊:Kaseya 攻擊凸顯了如果關(guān)鍵服務(wù)提供商遭到破壞,供應(yīng)鏈將變得多么脆弱。潛在的所有下游用戶都可能成為受害者。當(dāng)大型企業(yè)和政府機構(gòu)成為目標(biāo)時,我們在 Solarwinds 漏洞中看到了這一點。
- 零日漏洞:零日漏洞是 SaaS 提供商真正關(guān)心的問題,因為它們通常提供專有應(yīng)用程序作為其主要服務(wù)。匆忙的代碼可能等于安全性薄弱,但這是 SaaS 提供商投入大量時間和金錢的事情。
- 職責(zé)不明確:所有 SaaS 平臺都有共同的責(zé)任要求,定義了供應(yīng)商管理的內(nèi)容、客戶管理的內(nèi)容以及共享的責(zé)任。這里的混亂可能會導(dǎo)致進(jìn)一步的錯誤配置。
使用 SaaS 會使我的 IT 環(huán)境更安全還是更不安全?
在大多數(shù)情況下,是的,使用 SaaS 平臺確實可以改善您的安全狀況。但是,必須認(rèn)識到安全要求在不斷變化,因此您的網(wǎng)絡(luò)安全策略必須保持相關(guān)性。此外,請記住,SaaS 平臺通常會為客戶提供出色的全方位體驗。應(yīng)用程序交付經(jīng)過簡化,可為訂戶提供卓越的體驗,但請注意,沒有任何服務(wù)是 100% 安全的,零日漏洞利用很有可能發(fā)生。
現(xiàn)在采取基本的網(wǎng)絡(luò)安全舉措將確保您的企業(yè)在發(fā)生影響您的 SaaS 安全事件時處于最佳位置。遵守文章中討論的促進(jìn)增強身份驗證、數(shù)據(jù)加密、數(shù)據(jù)完整性審查和安全意識培訓(xùn)的最佳實踐。然后,通過確保按照提供商的安全最佳實踐配置 SaaS 服務(wù)來重新評估您的安全狀況。
有了正確的技術(shù)和最佳實踐,SaaS 可以比任何其他本地應(yīng)用程序安全得多。企業(yè)可以保留對安全基礎(chǔ)設(shè)施的控制,例如加密客戶數(shù)據(jù),并確保它們滿足必要的合規(guī)性標(biāo)準(zhǔn)。