云安全新挑战：应对SaaS的风险管理

关键要点

• 传统网络安全方法未能适应迅猛增长的SaaS使用。
• SaaS市场份额激增，安全机制失效。
• 企业必须自动化管理SaaS的使用、评估及风险，确保安全。
• CSA的最佳实践为SaaS安全提供了基础框架，但实施面临挑战。

传统的网络安全方法论已经适应了云服务模型的快速使用（IaaS、PaaS、DaaS、SaaS），每种模型都有其特定的风险水平、盲点以及发现、评估和修复的挑战。现代工作场所经历的剧变，尤其是远程工作的普及，使得用户与其组织的管理员、基础设施和内部网络之间的距离加大，促使SaaS在现代企业中显著超过IaaS和PaaS，成为首选的。

根据的数据显示，SaaS已经成为最大的公共云市场细分，许多大型企业报告使用超过288个SaaS应用。这种SaaS采用的指数级增长带来了显著的商业利益，但治理这一扩散并保护随之而来的资产的安全机制却显得极其不足。安全性未能跟上业务的需求和规模化效率的要求，使安全团队感到沮丧，并引发了组织攻击面令人担忧的扩张。

全球网络安全界理解到，传统的网络安全范式制约了行业发展，但正在积极采取措施以跟上变化。然而，在实施诸如NIST网络安全框架和来自云安全联盟（CSA）的时，其重要见解和实用建议往往无法适应当前SaaS的规模和范围。我们必须将SaaS安全视为独特的，其安全风险打破了传统安全框架的界限。

CSA的SaaS治理最佳实践为安全专业人士评估和提升其态势提供了极好的工具，但其主要关注领域——发现、评估、管理与安全性，在当前及未来的SaaS采用速度下难以通过现有解决方案来实现。这些构成大规模SaaS安全态势的关键元素需要自动化和对身份、终端或网络的控制，以满足治理和执行的要求。以下是CSA最佳实践的基本要素：

发现

将跨组织映射SaaS使用情况作为SaaS安全态势的核心要素。在Grip的研究中，我们发现安全团队对公司员工SaaS使用的范围和深度感到惊讶，随着用户量的增加，这一现象更加明显。SaaS应用的庞大数量成为CISO在生成全面SaaS清单时面临的首个挑战，而现有的方法极为有限。

当前的CISO希望成为整个组织的资产，利用安全来赋能业务，并寻找创新解决方案以确保业务连续性。然而，现有的SaaS发现产品却通过将所有潜在SaaS的安全监督放在IT和安全团队之前，损害了其能力。这显然已经变得不可持续和短视，因为安全团队几乎没有时间或资源来集中和有效地完成这项工作。另一种发现的方法是分析和评估来自防火墙和CASB的日志。不幸的是，像CASB这样的传统产品有显著的盲点，且从未为每个员工都能决定使用何种SaaS应用的模式而设计。

SaaS安全服务应为组织提供来自SaaS使用核心的全面信息，涉及数据在SaaS集成中的流动、数据的位置、监督和使用情况，以及可能造成潜在损害的shadowSaaS的存在。

评估

安全团队必须参与评估哪些SaaS应用是组织和用户在采购前推动业务增长所必需的。如果未考虑安全因素，仅考虑业务需求，可能导致漫长的安全“补救”过程和不可避免的挫败感，因为如果