社区编辑申请
注册/登录
2022年三大SaaS安全威胁
安全 云安全
通过 SaaS安全态势管理(SSPM)平台,你能够防止此类攻击,并且可以自动执行优先级排序和修复过程,以解决任何配置错误问题。

以下是我们所看到的三大SaaS安全态势挑战:

—、混乱的错误配置管理

有一个好消息和一个坏消息。好消息是,越来越多的企业正在使用诸如GitHub、Microsoft 365、Salesforce、Slack、SuccessFactors、Zoom等SaaS应用程序,使员工能够在最具挑战性的环境下,依然保持生产力。而坏消息是,许多公司都难以充分应对不断变化的应用程序安全风险。

这一挑战源于一个简单的误判——企业命令安全团队,要确保每个应用程序的安全配置都被设置正确。

虽然,这个选择看起来很符合逻辑,但正如“没有两片雪花是相同的”那样,每一个应用程序的都是独特的,其配置也同样如此。并且,SaaS环境中包含了数百个应用程序,这更是加剧了挑战。所有这些加起来,这个不切实际的负担,落在了安全团队的肩上。

在没有SaaS安全态势管理(SSPM)解决方案的情况下,这些团队没有超人般的的计算能力,无法每天监控成百上千的配置和用户权限,来保护组织的SaaS 应用程序堆栈。

二、用户!随处可见的特权用户

我们只需要考虑没有经过安全措施培训的典型雇员,以及他们的访问或特权会如何增加敏感数据被盗、暴露或泄露的风险。SaaS应用程序的部署和采用非常容易。并且由于员工在各地工作,所以非常需要加强对特权访问的治理。

这一需求已经存在了不少时间,而工作环境的变化进一步加快了这一进程。多年以来,SaaS的应用不断取得进展。如今,企业需要获得个人帐户、权限以及跨其SaaS资产特权活动的统一可视性,来降低过度特权用户访问带来的风险,并简化用户访问应用程序的审核。

三、通过SaaS进行勒索的软件

当不法分子打算攻击你的SaaS应用程序时,他们会使用更基本,更复杂的方法。正如Kevin Mitnick 在他的“勒索云”视频中所说的那样, 通过SaaS应用程序攻击商业电子邮件帐户的传统路线遵循以下方式:

  • 网络不法分子发送包含OAuth应用程序的钓鱼邮件
  • 用户点击该链接
  • 用户登录自己的帐户
  • 应用程序请求用户允许访问阅读电子邮件和其他功能
  • 用户点击“接受”
  • 这会创建一个OAuth令牌,直接发送给网络不法分子。
  • OAuth令牌使网络不法分子能够控制基于云的电子邮件或驱动器等。 (取决于所获取权限的范围)
  • 不法分子通过 OAuth来访问电子邮件或者驱动等,并将其加密。
  • 用户再次登录到他们的邮箱和驱动时,就会发现自己的信息已被加密。勒索软件生效了。
  • 用户收到勒索信息:他们的信息已被加密,必须通过付钱来恢复权限。

这是一种通过SaaS来进行攻击的特定类型。然而,通过 OAuth应用程序的其他恶意攻击也可能发生在企业环境中。

最后的想法

2021年,Gartner将该领域命名为“组成Gartner云安全技术成熟度模型的四项必备技术”之一。

通过 SaaS安全态势管理(SSPM)平台,你能够防止此类攻击,并且可以自动执行优先级排序和修复过程,以解决任何配置错误问题。

点评

经过多年来的发展,SaaS逐渐被运用于各大企业,不但降低了成本,也方便了软件的维护。由于SaaS的数据和服务均部署在云端,所以用户可以打破空间的限制,随时随地地通过浏览器来办公。但这同时也带来了更多的安全隐患。提高效率和便利的同时,我们更要把安全放在首位,否则只会得不偿失。

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-06-24 11:34:38

云计算应用安全

2022-07-05 16:33:19

2022-07-04 14:31:25

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-30 18:19:46

2022-07-01 17:19:33

网络安全零信任

2022-07-07 13:39:25

安全运营SOC模式

2022-03-03 10:40:00

网络安全零信任

2022-06-08 13:50:17

云计算云安全数据泄露

2022-04-07 18:47:36

网络安全网络攻击勒索软件

2022-05-20 14:07:56

云安全SaaS 安全

2022-02-14 18:31:21

2022-03-04 23:55:33

安全架构结构

2022-07-29 09:00:00

SaaS安全认证

2022-08-08 13:58:17

网络安全网络攻击

2022-01-03 23:03:18

2022-05-04 00:07:37

SaaS网络安全云安全

2022-05-11 09:37:11

网络安全云计算

2022-04-15 11:36:03

2022-06-10 14:18:41

同话题下的热门内容

一篇文章让你了解 AWS 安全基础AWS公司首席安全官分析和探讨AWS公司的规范性安全性

编辑推荐

云端创新如何改变灾难恢复关于云安全的三个鲜为人知的秘密8个非常好的云安全解决方案Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!2018年的十大云宕机事件,你中枪没?
我收藏的内容
点赞
收藏

51CTO技术栈公众号