社区编辑申请
注册/登录
新的SaaS安全报告深入探讨CISO在2021年的重点和计划
安全 应用安全 SaaS
2021年SaaS安全调查报告的结果展示了普遍存在的SaaS应用程序安全问题,并揭示了组织在尝试管理大量SaaS安全配置时正在转向非优秀实践的事实。

多年来,安全专业人员已经认识到增强SaaS安全性的必要性。然而,随着2020年软件即服务(Software-as-a-Service)应用程序在2020年的指数级采用,情况又发生了较大的变化。

组织管理着从35到100不等的多个应用程序。从Slack和Microsoft Teams等协作工具到SAP和Salesforce等关键任务应用程序,SaaS应用程序充当现代企业的基础。2020年迫切需要能够缓解SaaS错误配置风险的安全解决方案。

认识到SaaS安全的重要性之后,Gartner命名了一个新类别,即SaaS安全态势管理(SSPM),以区分能够对SaaS应用程序部署过程中产生的安全风险进行持续评估的解决方案。

为了了解安全团队目前如何处理他们的SaaS安全状况以及他们的主要关注点是什么,一个较为先进的SSPM解决方案Adaptive Shield委托了一项独立调查,调查对象是来自北美和西欧的300名信息安全专业人士,调查范围从500到10,000多名员工不等。

2021年SaaS安全调查报告的结果展示了普遍存在的SaaS应用程序安全问题,并揭示了组织在尝试管理大量SaaS安全配置时正在转向非优秀实践的事实。

了解SaaS安全管理格局

SaaS 应用程序提供易于使用、可扩展的解决方案,这些解决方案提供了多种本机安全控制。但是,所有设置、用户权限和合规性的配置最终都由安全专业人员来管理。

SaaS配置错误的担忧

在2021年SaaS安全调查报告中,85%的受访者将SaaS配置错误列为其组织面临的三大风险之一。有趣的是,排在首位的其他安全风险——账户劫持和数据泄露——以及名单上的许多其他安全风险,也可能直接源于SaaS的配置错误。例如,Jira中的错误配置导致了许多财富500强公司的数据泄露,包括电子邮件地址和ID、员工角色、当前项目和里程碑等的潜在暴露。

更多的应用意味着更少的监控

尽管起初看起来似乎违反直觉,但经过进一步思考,“更多的应用程序意味着更少的监控”对于手动处理监控过程的组织来说是很常见的。调查的受访者报告说,随着组织继续加载更多应用程序,组织在监控其应用程序方面的成功率降低。事实上,根据受访者的说法,在使用50-99个应用程序的公司中,只有12%每周进行错误配置检查。

由于每个应用程序都有自己的设计、设置、用户角色和独特的权限,并且在员工稳定流动、软件自动更新和复杂的跨部门需求的动态环境中,组织可能会失去对其安装的更多应用程序的控制。

委托安全影响风险

随着SaaS应用程序资产组合的范围不断扩大,52%的受访者表示将定期检查和维护SaaS安全性的责任交给SaaS所有者。责任方通常位于销售、营销或产品等领域。不幸的是,这些利益相关者通常几乎没有安全背景或技能。

SSPM是2021年的重中之重

SSPM的关键功能可实现安全的云配置:

  • 合规性评估
  • 运行监控
  • 风险识别
  • 政策执行
  • 威胁评估

由于CSPM和CASB工具不是为应对SaaS环境的挑战而构建的,因此SSPM已上升到企业议程的首位,并且是2021年优先事项的首位。48%的受访者将SSPM工具列为#他们的优先事项清单上的第一项。

安全团队希望对其SaaS应用程序安全状况有全面和持续的可见性,而SSPM解决方案提供了这些功能。

使用Adaptive Shield实现SaaS安全自动化

安全设置和控制的自动化维护可以使安全团队能够控制他们的SaaS应用程序。

SaaS安全态势管理(SSPM)与Adaptive Shield一样,提供了一个功能强大的平台,其独特设计使安全团队能够在其互连的、不同的SaaS应用程序领域主动维护持续安全。

自适应地管理SaaS应用程序安全意味着整个SaaS应用程序领域(从视频会议平台和客户支持工具到人力资源管理系统、仪表板和工作区等等)的完整可见性和威胁。自适应屏蔽:

  • 利用内置的安全设置/控制来发现所有漏洞并主动自动修复它们。
  • 持续监控全局设置和用户权限,以验证是否存在违规或偏差。
  • 提供全面的SaaS应用程序集成库,每周添加更多SaaS应用程序。
  • 从头到尾快速修复SaaS安全问题。
  • 在一处显示组织SaaS安全态势的健康状况,以便进行数据驱动的决策。
  • 只需几分钟即可部署,实现零业务中断

通过使用Adaptive Shield自动化监控和执行,安全团队不再需要将责任委派给应用程序所有者,或者对SaaS安全设置的管理不可见。

本文翻译自:https://thehackernews.com/2021/07/new-saas-security-report-dives-into.html

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2022-06-15 08:21:49

Linux运维工程师

2022-06-07 10:09:42

新技术人工智能5G

2022-06-20 13:34:46

漏洞网络攻击

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-16 15:42:16

攻击面管理ASM

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-27 17:46:53

PythonFlask

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-02 15:28:42

网络安全信息通信数据保护

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-30 10:56:18

字节云数据库存储

2022-06-21 10:34:56

芯片短缺供应链问题

2022-06-25 21:22:30

编程Rust代码

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 09:01:20

半导体芯片

2022-06-23 09:49:16

火绒安全英特尔

2022-06-20 14:57:50

漏洞安全威胁

2022-06-20 15:31:11

GoogleSOC网络安全

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-22 10:23:42

互联网用户IE浏览器退休

同话题下的热门内容

QQ大批账号被盗,网络安全该如何维护?为什么智能建筑IoT网络安全标准很重要?区块链在网络信任体系中的应用研究Web 3.0 对软件行业的影响你安装的 Chrome 扩展的组合可以跟踪你黑客用AI换脸技术应聘 人工智能安全问题不容忽视如何把个人信息“安全堤”筑得更牢供应链的模糊如何为网络攻击者打开大门以及如何关闭

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号