本文来自微信公众号“安全419”,作者/荏珺。
“影子IT”并不是一个新兴概念,其伴随云计算和移动技术消费IT的普及而兴起,并随现代工作环境的变化而不断发展。简单来说,影子IT是指在未经IT部门参与或批准的情况下引入企业的设备和服务。但当今的影子IT并不止于设备和服务,还包括了软件。
随着90年代后期软件即服务(SaaS)产品的推出,影子IT风险挑战进一步扩大和深化,SaaS影子IT成为一项新的安全挑战。根据Gartner数据显示,SaaS仍然是最大的公共云服务细分市场,预计2023年最终用户支出将达到2080亿美元。
SaaS受欢迎的原因主要在于分散性。任何人、在任何地方都可以轻松地设置和使用应用程序,再加上易用性,企业在SaaS上的支出和使用率出现爆炸式增长。但因缺少IT部门的参与,企业业务部门随意购买服务将导致SaaS影子IT的出现,给企业带来巨大风险挑战。
SaaS影子IT的三大风险
由于企业IT和安全团队缺乏对SaaS使用方式的可见性,导致对企业目前安全态势缺乏洞察力。企业在考虑是否部署SaaS时,可以先回答这样几个问题:“企业目前使用了多少SaaS应用程序?团队对于SaaS的管理能力和成本控制能力是否足够?需要SaaS解决哪些风险挑战?......
01
被破坏的SaaS应用程序仍在使用
大多数SaaS应用程序都需要被授予能够查看并编辑企业内部数据的权限,数据安全成为最大议题。如今,SaaS应用程序已经成为恶意行为者的主要攻击目标,因此了解企业正在使用哪些SaaS应用程序以及这些应用程序的安全性,对于防止数据遭到恶意删除或泄露至关重要。
02
攻击者利用SaaS应用程序实现横向移动
SaaS应用程序互通互联,在节约成本、提升企业运营效率的同时,也形成了一个足以危及整个企业安全的SaaS影子网络。在攻击者获得某个SaaS应用程序的控制权限后,可以进一步访问或控制其他应用程序,以窃取企业敏感数据或资源。
03
SaaS管理难度大
平均每家中小企业至少要使用数百个SaaS产品,在大型企业中,这个数字可以达到数千。解决SaaS影子IT问题,不仅仅需要了解正在使用的应用程序,还需要了解这些应用程序可以或应该做什么。
据分析发现,大部分企业的SaaS堆栈中都存在着几十个风险应用程序,不仅有已被恶意行为者破坏的,还包括那些安全性不高、不满足隐私合规性或是不提供任何公共应用程序编程接口(API)。对于可用资源相对不足的安全团队而言,以手动方式逐个应用程序管理应用程序几乎不可能设置安全策略和监控活动。
对于SaaS的保护说简单也简单,就像EDR系统可以解决端点安全问题、云安全解决方案可以保护云使用、AST可以确保应用程序安全,正确的SSPM解决方案也可以为企业的SaaS安全态势中的潜在风险提供深入的可见性和补救措施。安全419了解到,2023版SaaS安全态势管理(SSPM)终极检查清单已发布,可为企业建立安全防线提供相应参考,或是借助SaaS供应商的安全防御措施,如悬镜云鲨SaaS化版本,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,从而避免频繁误报造成防护无效,消减配置实现降本增效以及使应用实时自我防护更加灵活高效。
