[[438002]]

SSPM(全稱SaaS Security Posture Management，即SaaS安全配置管理)，Gartner將其定義為“持續(xù)評(píng)估安全風(fēng)險(xiǎn)和管理SaaS應(yīng)用程序安全態(tài)勢(shì)的工具”。其核心功能包括報(bào)告本機(jī)SaaS安全設(shè)置的配置，并為改進(jìn)配置、降低風(fēng)險(xiǎn)提供建議。

當(dāng)前，企業(yè)SaaS應(yīng)用安全的主要痛點(diǎn)源于：

• 缺乏對(duì)不斷增長(zhǎng)的SaaS應(yīng)用程序資產(chǎn)的控制;
• SaaS應(yīng)用生命周期(從購(gòu)買到部署、運(yùn)維)缺乏治理;
• 缺乏對(duì)SaaS應(yīng)用程序資產(chǎn)所有配置的可見性;
• 云安全技能缺口;
• 數(shù)百到數(shù)千(甚至數(shù)萬)個(gè)設(shè)置和權(quán)限帶來的繁重和壓倒性的工作量。

雖然SaaS應(yīng)用程序的原生安全控制通常很強(qiáng)大，但確保正確設(shè)置所有配置(從全局設(shè)置到每個(gè)用戶角色和權(quán)限)的責(zé)任落在了企業(yè)組織身上。企業(yè)安全團(tuán)隊(duì)需要負(fù)責(zé)了解每個(gè)應(yīng)用程序、用戶和配置，并確保它們完全符合行業(yè)和企業(yè)政策。否則，只需一名不知情的SaaS管理員更改設(shè)置或共享錯(cuò)誤報(bào)告，就會(huì)暴露高度機(jī)密的企業(yè)數(shù)據(jù)。

一些優(yōu)秀的SSPM解決方案提供對(duì)企業(yè)SaaS安全態(tài)勢(shì)的全面可見性，檢查其是否符合行業(yè)標(biāo)準(zhǔn)和企業(yè)政策，甚至有的可以提供從方案內(nèi)部進(jìn)行修復(fù)的能力。比如在復(fù)雜的SaaS資產(chǎn)中自動(dòng)修復(fù)錯(cuò)誤配置，顯著提高安全團(tuán)隊(duì)的效率并保護(hù)企業(yè)數(shù)據(jù)。不過，并非所有的SSPM解決方案都如此優(yōu)秀。

在選擇SSPM解決方案時(shí)，需要特別注意的幾個(gè)事項(xiàng)：

可見性和洞察力

企業(yè)需進(jìn)行全面的安全檢查，以清楚地了解企業(yè)SaaS環(huán)境

對(duì)于SSPM解決方案而言，首要功能是能夠與企業(yè)所有SaaS應(yīng)用程序集成。每個(gè)SaaS應(yīng)用程序都有自己的框架和配置，只要有訪問用戶和企業(yè)系統(tǒng)的權(quán)限，就應(yīng)該納入到企業(yè)組織的監(jiān)控范圍。因?yàn)槿魏螒?yīng)用程序都可能帶來風(fēng)險(xiǎn)，即便是非關(guān)鍵業(yè)務(wù)應(yīng)用程序也存在風(fēng)險(xiǎn)。需要注意的是，通常較小的應(yīng)用程序可以作為攻擊的入口。

優(yōu)秀SSPM解決方案的另一個(gè)衡量標(biāo)準(zhǔn)是其安全檢查的廣度和深度，SSPM應(yīng)該跟蹤和監(jiān)控的領(lǐng)域和配置包括：身份和訪問管理、惡意軟件防護(hù)、數(shù)據(jù)泄露防護(hù)、審計(jì)、外部用戶的訪問控制、隱私控制、合規(guī)政策、安全框架和基準(zhǔn)等。

持續(xù)監(jiān)控和修復(fù)

通過持續(xù)監(jiān)督和快速修復(fù)錯(cuò)誤配置來應(yīng)對(duì)威脅

企業(yè)組織修復(fù)商業(yè)環(huán)境中的問題是一項(xiàng)復(fù)雜而微妙的任務(wù)。SSPM解決方案應(yīng)提供每個(gè)配置的深層上下文關(guān)系，并使企業(yè)組織能夠輕松監(jiān)控和設(shè)置警報(bào)，以幫助安全團(tuán)隊(duì)隨時(shí)了解情況、有效溝通、快速關(guān)閉漏洞、保護(hù)企業(yè)系統(tǒng)。持續(xù)監(jiān)控的內(nèi)容具體包括：24/7全天候持續(xù)監(jiān)控、活動(dòng)監(jiān)視器、警報(bào)、修復(fù)、隨時(shí)間推移而不斷變化的安全態(tài)勢(shì)等。

易部署

使安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序

企業(yè)SSPM解決方案應(yīng)易于部署，并允許安全團(tuán)隊(duì)輕松添加和監(jiān)控新的SaaS應(yīng)用程序。優(yōu)秀的安全解決方案應(yīng)與企業(yè)應(yīng)用程序和現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施輕松集成，以創(chuàng)建針對(duì)網(wǎng)絡(luò)威脅的全面防御。這些功能主要包括：自助服務(wù)向?qū)?、?qiáng)大的API、低誤報(bào)、非侵入式、分層使用等。

SSPM解決方案類似于日常“刷牙”，它是企業(yè)創(chuàng)建預(yù)防性保護(hù)狀態(tài)所需的基本要求。出色的SSPM解決方案能夠?yàn)槠髽I(yè)組織提供針對(duì)所有SaaS應(yīng)用程序的持續(xù)、自動(dòng)化監(jiān)控，并配置內(nèi)置知識(shí)庫(kù)，以確保最高等級(jí)的SaaS安全，防止企業(yè)遭遇下一次攻擊。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文