云的好處是彈性、易用，因而也更具成本效益。軟件即服務(wù)(SaaS)是未來(lái)，通過(guò)這種訂閱式的在線服務(wù)，用戶可以節(jié)省管理、更新和保護(hù)應(yīng)用程序所需的時(shí)間、精力和資源。然而，SaaS有個(gè)明顯的壞處，安全風(fēng)險(xiǎn)。

事實(shí)上，基于云的服務(wù)現(xiàn)在是惡意軟件最常見(jiàn)的交付方式。據(jù)SASE廠商N(yùn)etskope的統(tǒng)計(jì)調(diào)查，近70%的黑客和漏洞攻擊都是從云服務(wù)下載的，97%的云應(yīng)用程序是在未經(jīng)安全團(tuán)隊(duì)授權(quán)甚至是不知情的情況下使用的。

如何評(píng)估SaaS應(yīng)用的安全性

首先，企業(yè)要考慮所使用在線服務(wù)的可見(jiàn)性。上文中97%的統(tǒng)計(jì)數(shù)字，并非危言聳聽(tīng)。許多企業(yè)正在使用數(shù)量如此多的SaaS應(yīng)用，以至于安全團(tuán)隊(duì)很難跟蹤它們，最終導(dǎo)致安全事件的發(fā)生。還有一個(gè)令人意外的統(tǒng)計(jì)(https://track.g2.com/resources/shadow-it-statistics)，由于缺乏SaaS應(yīng)用的可見(jiàn)性，僅英美兩國(guó)的機(jī)構(gòu)，每年為并未使用的SaaS和不同賬戶使用重復(fù)的SaaS，多掏了340億美元的訂閱費(fèi)。

在線服務(wù)本身的安全性是一個(gè)非常常見(jiàn)且重要的問(wèn)題。安全團(tuán)隊(duì)?wèi)?yīng)該考慮登錄信息是否使用了足夠的加密，檢查在線服務(wù)過(guò)去是否遭到過(guò)黑客攻擊，如果是的話，提供商做出了哪些響應(yīng)措施。即使把這些工作都做完，也要注意，在線服務(wù)的安全性還取決于人們使用它的方式。如確保員工在登錄SaaS服務(wù)和網(wǎng)絡(luò)時(shí)使用不同的憑證，并且員工之間不能共享帳戶或憑證，員工離職后要及時(shí)吊銷(xiāo)賬戶。

SaaS安全性需要考慮的另一個(gè)方面是不同SaaS應(yīng)用之間的交互，即SaaS的連接性，包括應(yīng)用程序和服務(wù)相互發(fā)送通知等功能，往深里想一下，其實(shí)這就是一個(gè)潛在的數(shù)據(jù)隱私漏洞。組織是否了解員工如何使用多個(gè)應(yīng)用程序和附加組件，以及集成和通知需要哪些權(quán)限?

SaaS的使用也會(huì)影響整體網(wǎng)絡(luò)安全。例如，有些應(yīng)用服務(wù)經(jīng)常會(huì)在用戶設(shè)備上安裝代碼或cookie。這里需要考慮的是，該代碼是否包含可能干擾IT系統(tǒng)的最佳運(yùn)行?該服務(wù)是否與第三方共享有關(guān)用戶活動(dòng)的數(shù)據(jù)，這些第三方是否安全?一項(xiàng)服務(wù)是否會(huì)在其活動(dòng)中潛在地?fù)p害組織的資源(不管是有意還是無(wú)意)?

結(jié)論

企業(yè)中的SaaS應(yīng)用問(wèn)題比比皆是，很難找到所有的答案，但在解決問(wèn)題之前，企業(yè)至少要意識(shí)到問(wèn)題，而不是無(wú)視問(wèn)題。這種安全意識(shí)這將有助制定適當(dāng)?shù)陌踩呗?，并將安全預(yù)算投入到最符合企業(yè)需求的安全解決方案上。

SaaS或其他基于云的服務(wù)每年可以為企業(yè)節(jié)省大量資金，除了成本以外，云還可以提高靈活性、提高效率、更好地利用數(shù)據(jù)和更好的為客戶服務(wù)。然而，所有這些都可能以安全為代價(jià)。通過(guò)增加對(duì)SaaS在組織內(nèi)活動(dòng)的可見(jiàn)性，安全團(tuán)隊(duì)可以確保在充分享受這些服務(wù)的同時(shí)，避免風(fēng)險(xiǎn)。