以下是我們所看到的三大SaaS安全態(tài)勢挑戰(zhàn)。

—、混亂的錯誤配置管理

有一個好消息和一個壞消息。好消息是，越來越多的企業(yè)正在使用諸如GitHub、Microsoft 365、Salesforce、Slack、SuccessFactors、Zoom等SaaS應(yīng)用程序，使員工能夠在最具挑戰(zhàn)性的環(huán)境下，依然保持生產(chǎn)力。而壞消息是，許多公司都難以充分應(yīng)對不斷變化的應(yīng)用程序安全風(fēng)險。

這一挑戰(zhàn)源于一個簡單的誤判——企業(yè)命令安全團隊，要確保每個應(yīng)用程序的安全配置都被設(shè)置正確。

雖然，這個選擇看起來很符合邏輯，但正如“沒有兩片雪花是相同的”那樣，每一個應(yīng)用程序的都是獨特的，其配置也同樣如此。并且，SaaS環(huán)境中包含了數(shù)百個應(yīng)用程序，這更是加劇了挑戰(zhàn)。所有這些加起來，這個不切實際的負擔(dān)，落在了安全團隊的肩上。

在沒有SaaS安全態(tài)勢管理(SSPM)解決方案的情況下，這些團隊沒有超人般的的計算能力，無法每天監(jiān)控成百上千的配置和用戶權(quán)限，來保護組織的SaaS 應(yīng)用程序堆棧。

二、用戶!隨處可見的特權(quán)用戶

我們只需要考慮沒有經(jīng)過安全措施培訓(xùn)的典型雇員，以及他們的訪問或特權(quán)會如何增加敏感數(shù)據(jù)被盜、暴露或泄露的風(fēng)險。SaaS應(yīng)用程序的部署和采用非常容易。并且由于員工在各地工作，所以非常需要加強對特權(quán)訪問的治理。

這一需求已經(jīng)存在了不少時間，而工作環(huán)境的變化進一步加快了這一進程。多年以來，SaaS的應(yīng)用不斷取得進展。如今，企業(yè)需要獲得個人帳戶、權(quán)限以及跨其SaaS資產(chǎn)特權(quán)活動的統(tǒng)一可視性，來降低過度特權(quán)用戶訪問帶來的風(fēng)險，并簡化用戶訪問應(yīng)用程序的審核。

三、通過SaaS進行勒索的軟件

當(dāng)不法分子打算攻擊你的SaaS應(yīng)用程序時，他們會使用更基本，更復(fù)雜的方法。正如Kevin Mitnick 在他的“勒索云”視頻中所說的那樣， 通過SaaS應(yīng)用程序攻擊商業(yè)電子郵件帳戶的傳統(tǒng)路線遵循以下方式：

1. 網(wǎng)絡(luò)不法分子發(fā)送包含OAuth應(yīng)用程序的釣魚郵件

2. 用戶點擊該鏈接

3. 用戶登錄自己的帳戶

4. 應(yīng)用程序請求用戶允許訪問閱讀電子郵件和其他功能

5. 用戶點擊“接受”

6. 這會創(chuàng)建一個OAuth令牌，直接發(fā)送給網(wǎng)絡(luò)不法分子。

7. OAuth令牌使網(wǎng)絡(luò)不法分子能夠控制基于云的電子郵件或驅(qū)動器等。 (取決于所獲取權(quán)限的范圍)

8. 不法分子通過 OAuth來訪問電子郵件或者驅(qū)動等，并將其加密。

9. 用戶再次登錄到他們的郵箱和驅(qū)動時，就會發(fā)現(xiàn)自己的信息已被加密。勒索軟件生效了。

10. 用戶收到勒索信息：他們的信息已被加密，必須通過付錢來恢復(fù)權(quán)限。

這是一種通過SaaS來進行攻擊的特定類型。然而，通過 OAuth應(yīng)用程序的其他惡意攻擊也可能發(fā)生在企業(yè)環(huán)境中。

最后的想法

2021年，Gartner將該領(lǐng)域命名為“組成Gartner云安全技術(shù)成熟度模型的四項必備技術(shù)”之一。

通過?SaaS安全態(tài)勢管理(SSPM)平臺，你能夠防止此類攻擊，并且可以自動執(zhí)行優(yōu)先級排序和修復(fù)過程，以解決任何配置錯誤問題。

點評：

經(jīng)過多年來的發(fā)展，SaaS逐漸被運用于各大企業(yè)，不但降低了成本，也方便了軟件的維護。由于SaaS的數(shù)據(jù)和服務(wù)均部署在云端，所以用戶可以打破空間的限制，隨時隨地地通過瀏覽器來辦公。但這同時也帶來了更多的安全隱患。提高效率和便利的同時，我們更要把安全放在首位，否則只會得不償失。

原文來源：數(shù)世咨詢