研究表明，現(xiàn)代組織將越來越多地利用 SaaS 解決方案來推動其許多關(guān)鍵運營。根據(jù) Gartner的數(shù)據(jù)，SaaS 市場將從 2021 年起增長 21.7%，到 2022 年達到 4820 億美元。組織必須將特定于 SaaS 的安全流程集成到其現(xiàn)有的信息安全策略中，否則如果到 2025 年無法控制公共云的使用，90% 的組織將面臨不恰當?shù)毓蚕砻舾袛?shù)據(jù)的風險。

以下是您的組織可以有效管理 SaaS 安全風險并避免代價高昂的數(shù)據(jù)泄露的 7 種方法。

1. 實施云安全機制

鼓勵組織采用安全訪問服務邊緣 (SASE)，以提高對云安全控制和安全策略的可見性。SASE 是一種新興的云安全架構(gòu)，可提供比傳統(tǒng)網(wǎng)絡安全解決方案更先進的云數(shù)據(jù)保護功能。SASE 架構(gòu)通過啟用最小權(quán)限原則和身份訪問管理 (IAM) 機制（如云基礎設施授權(quán)管理 (CIEM)和多因素身份驗證 ）來推動零信任網(wǎng)絡訪問 (ZTNA) 。SASE 還促進使用現(xiàn)代云安全解決方案來管理跨 SaaS 應用程序的訪問控制，包括：

• 防火墻即服務 (FWaaS)
• 安全 Web 網(wǎng)關(guān) (SWG)
• 云訪問服務代理 (CASB)
• 云安全態(tài)勢管理 (CSPM)

2. 建立事件響應計劃

即使有強大的信息安全策略，安全事件仍然會發(fā)生。如果數(shù)據(jù)泄露發(fā)生在 SaaS 供應商手中，組織必須盡量減少其影響以避免代價高昂的損失。您組織的事件響應計劃應涵蓋從惡意軟件感染到客戶數(shù)據(jù)泄露等特定場景。有效的事件響應計劃具有以下作用：

• 概述所有關(guān)鍵利益相關(guān)者
• 簡化數(shù)字取證
• 縮短恢復時間
• 保護組織的聲譽

3. 進行徹底的盡職調(diào)查

組織必須在供應商生命周期的所有階段定期評估 SaaS 供應商的安全狀況，而不僅僅是在審查過程中。由于大多數(shù)大型組織管理著成百上千的供應商，因此在整個供應商生態(tài)系統(tǒng)中有效地進行盡職調(diào)查會很快變得復雜。

實施供應商分層流程是您的安全團隊在例行風險評估期間優(yōu)先考慮高風險供應商（如 SaaS 提供商）的最有效方式。供應商風險管理平臺使供應商分層流程自動化，使安全團隊能夠有效地擴展他們的工作，而不會隨著供應商生態(tài)系統(tǒng)的發(fā)展而忽視盡職調(diào)查。

4. 可視化第三方攻擊面

組織只能對他們看到的網(wǎng)絡威脅做出反應。隨著創(chuàng)新的 SaaS 解決方案繼續(xù)簡化業(yè)務功能，您的組織可能擁有越來越多的供應商。很容易失去對攻擊面的可見性——隨著供應商庫存的增加，您的安全團隊不一定會效仿。自動實時發(fā)現(xiàn)、監(jiān)控和跟蹤組織供應商的安全狀況。

5. 提供員工培訓

COVID-19 大流行迫使許多組織采用在家工作 (WFH) 模式，這種模式一直存在。這種向遠程工作的轉(zhuǎn)變增加了在工作場所網(wǎng)絡上運行的端點數(shù)量，例如個人電話和筆記本電腦。引入這些額外的攻擊向量會擴大攻擊面并造成安全不一致，因為管理員無法直接控制個人設備設置。

貴組織的信息安全政策應包括員工教育計劃，以使所有員工了解安全要求。培訓應涵蓋各種主題，例如：

• 社會工程策略：向員工介紹常見的社會工程網(wǎng)絡攻擊，例如網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚。
• 清潔辦公桌政策：確保所有工作技術(shù)和材料在工作時間之外被帶走或安全存放。
• 可接受的使用：闡明員工可以和不能在工作設備和網(wǎng)絡上使用/訪問的內(nèi)容。

6. 定期評估合規(guī)性

組織必須發(fā)送例行安全調(diào)查問卷，以確保高風險供應商（例如 SaaS 提供商）遵守所有必要的監(jiān)管要求。手動記錄數(shù)百個響應并跟蹤每個供應商的合規(guī)狀態(tài)是一個非常耗時的過程。預建問卷庫包括廣泛采用的網(wǎng)絡安全法規(guī)和框架的模板，例如GDPR、ISO 27001、PCI DSS、NIST 網(wǎng)絡安全框架等。組織可以將問卷響應映射到每個框架的要求，以驗證供應商的合規(guī)性并要求對已識別的不合規(guī)領域進行及時補救。

7. 考慮第四方風險

您的供應商會產(chǎn)生第三方風險——他們的供應商也是如此。流行的 SaaS 提供商使用成百上千的關(guān)鍵供應商，為已經(jīng)乏味的第三方生態(tài)系統(tǒng)增加了另一層復雜性。識別您的第四方供應商可能很困難，因為通常取決于您的服務提供商來披露它們。保持準確的庫存需要與供應商不斷修訂和反復來回。