什么是軟件即服務?SaaS網絡安全挑戰
      
                                    
                                
      
                                
      
                                    
      隨著現代企業轉向尖端的 SaaS 應用程序來提高業務能力和節省成本,基于云的工作負載的安全性成為首要要求。SaaS 平臺為數字業務帶來了巨大的好處,但仍然存在一個大問題;使用 SaaS 會使我的 IT 環境更安全還是更不安全?
      

      什么是軟件即服務?SaaS網絡安全挑戰-南華中天
      

      這是一個很難回答的問題,因為對于大多數 SaaS 訂戶來說,安全是一項出色的體驗。不幸的是,針對 SaaS 平臺的幾起備受矚目的安全漏洞引發了人們對 SaaS 生態系統的擔憂,并對下游供應鏈的威脅提出了質疑。在本文中,我們將了解 SaaS 的安全前景,調查重大數據泄露事件,并了解如何防御 SaaS 安全威脅。
      

      什么是軟件即服務?
      

      市場上有無數的 SaaS 應用程序,您可能會以專業或個人身份使用這些產品中的至少一種。Google Docs (G Suite)、Microsoft Office 365、Salesforce、Slack、Teams 和 Zoom 只是其中的一部分。全球有超過11,000 家 SaaS 公司在運營,到 2025 年,85% 的企業將使用 SaaS 平臺。
      

      軟件即服務通常涉及在線軟件產品的數字交付,通常來自云提供商。用戶在訂閱服務后通過互聯網訪問軟件。購買后,您將獲得一個帳戶;您登錄并開始使用該服務。
      

      SaaS 產品通常是通過按月訂閱付費的商業應用程序。這為企業以負擔得起的現收現付模式使用昂貴的企業級應用程序打開了大門。此外,SaaS 部署使用云服務器為應用程序提供動力,用戶只需要一臺功率適中的筆記本電腦或 PC 即可使用。
      

      SaaS 平臺很普遍。例如,流行的 Office 365 套件有3.45 億活躍訂閱。這個數字包括企業和個人賬戶。微軟擁有 75% 的全球最大公司的 Office 賬簿。
      

      流行的 SaaS 平臺必須走在安全最佳實踐的前沿,以抵御復雜的網絡攻擊。不幸的是,SaaS 平臺因其受歡迎程度而成為黑客的熱門目標。
      

      SaaS 數據泄露
      

      2021 年 7 月,銷售 SaaS 解決方案的科技公司Kaseya成為勒索軟件的目標。他們的客戶通常是小型企業或托管服務經銷商。勒索軟件影響了 Kaseya VSA,這是一個用于端到端 IT 基礎設施管理、銷售點系統、服務器、筆記本電腦、補丁和監控的一體化套件。
      

      這次網絡攻擊是一個分水嶺,因為雖然 Kaseya 是目標,但客戶才是真正的受害者。畢竟,他們的系統遭到破壞,許多人經歷了幾天痛苦的停機,這都是因為 Kaseya 內部的安全性薄弱。
      

      另一個重大的SaaS 數據泄露事件發生在 Zoom 上。視頻會議軟件在大流行期間看到了天文數字的增長,但很快成為黑客目標的公司。漏洞于 2020 年 4 月被發現,不久之后超過 500,000 個帳戶憑據被盜并在暗網上被拍賣。
      

      其他重大違規行為包括Office 365 帳戶因欺騙和社會工程策略而受到損害。雖然這是一個孤立的事件,但隨著黑客控制,擁有該帳戶的企業被完全驅逐出該帳戶。
      

      SaaS 網絡安全挑戰
      

      這些攻擊成功的原因是什么?黑客可以通過多種方式破壞 SaaS 服務。以下是一些最常見的:
      

        

      • 云配置錯誤:數據泄露的首要原因是應用程序配置不當,通常是公開共享機密信息。將數據庫推送到公共云存儲或錯誤配置用戶權限是常見的例子。
        • 

      • 第三方風險:當外包給 SaaS 提供商時,存在一個風險因素,即他們的員工可能會無意中將訪問權限授予黑客。這就是最近的 Office 365 攻擊中發生的事情。
        • 

      • 供應鏈攻擊:Kaseya 攻擊凸顯了如果關鍵服務提供商遭到破壞,供應鏈將變得多么脆弱。潛在的所有下游用戶都可能成為受害者。當大型企業和政府機構成為目標時,我們在 Solarwinds 漏洞中看到了這一點。
        • 

      • 零日漏洞:零日漏洞是 SaaS 提供商真正關心的問題,因為它們通常提供專有應用程序作為其主要服務。匆忙的代碼可能等于安全性薄弱,但這是 SaaS 提供商投入大量時間和金錢的事情。
        • 

      • 職責不明確:所有 SaaS 平臺都有共同的責任要求,定義了供應商管理的內容、客戶管理的內容以及共享的責任。這里的混亂可能會導致進一步的錯誤配置。
        • 

      

      使用 SaaS 會使我的 IT 環境更安全還是更不安全?
      

      在大多數情況下,是的,使用 SaaS 平臺確實可以改善您的安全狀況。但是,必須認識到安全要求在不斷變化,因此您的網絡安全策略必須保持相關性。此外,請記住,SaaS 平臺通常會為客戶提供出色的全方位體驗。應用程序交付經過簡化,可為訂戶提供卓越的體驗,但請注意,沒有任何服務是 100% 安全的,零日漏洞利用很有可能發生。
      

      現在采取基本的網絡安全舉措將確保您的企業在發生影響您的 SaaS 安全事件時處于最佳位置。遵守文章中討論的促進增強身份驗證、數據加密、數據完整性審查和安全意識培訓的最佳實踐。然后,通過確保按照提供商的安全最佳實踐配置 SaaS 服務來重新評估您的安全狀況。
      

      有了正確的技術和最佳實踐,SaaS 可以比任何其他本地應用程序安全得多。企業可以保留對安全基礎設施的控制,例如加密客戶數據,并確保它們滿足必要的合規性標準。