?現(xiàn)代SaaS應(yīng)用程序提供商每天都在處理敏感的用戶信息，從客戶姓名和電子郵件地址到應(yīng)用程序代碼和第三方API機(jī)密。因此，對(duì)于Web應(yīng)用程序而言，遵守最高安全標(biāo)準(zhǔn)比以往任何時(shí)候都更加重要，這不僅是為了維護(hù)企業(yè)聲譽(yù)和避免經(jīng)濟(jì)損失，而且也是為了保護(hù)用戶的利益。

客戶通信是SaaS安全性中經(jīng)常被忽視的組成部分之一。以下將介紹企業(yè)應(yīng)該密切關(guān)注客戶通信的安全性的原因，并對(duì)企業(yè)發(fā)送給用戶的電子郵件、推送通知和其他通信實(shí)施嚴(yán)格的安全措施。此外還提供一些建議，幫助企業(yè)走上安全之旅。

現(xiàn)代SaaS應(yīng)用程序中的安全性是什么樣的?

許多現(xiàn)代SaaS應(yīng)用程序托管在云平臺(tái)上，并通過(guò)Web界面和API訪問(wèn)。他們還可能依賴第三方托管服務(wù)，例如通過(guò)AWS公司提供的云服務(wù)。此類服務(wù)的示例包括數(shù)據(jù)庫(kù)、計(jì)算資源和機(jī)器學(xué)習(xí)模型的部署。在為應(yīng)用程序設(shè)計(jì)安全控制時(shí)，需要考慮所有這些組件。

在傳統(tǒng)的內(nèi)部部署軟件中，軟件供應(yīng)商只開(kāi)發(fā)軟件，而不負(fù)責(zé)托管或信息存儲(chǔ)服務(wù)。軟件的最終用戶(或者更確切地說(shuō)是他們的IT部門(mén))在部署他們購(gòu)買(mǎi)的軟件時(shí)負(fù)責(zé)其數(shù)據(jù)的安全。然而在云中的數(shù)據(jù)安全由SaaS提供商負(fù)責(zé)。SaaS應(yīng)用程序可以成為最終用戶應(yīng)用程序堆棧的核心部分，并因此處理個(gè)人識(shí)別信息(PII)，例如客戶和員工記錄、應(yīng)用程序代碼或第三方機(jī)密和API密鑰。因此，針對(duì)當(dāng)今SaaS服務(wù)的專門(mén)安全措施對(duì)于保護(hù)所有敏感信息至關(guān)重要。

在云中運(yùn)行的早期SaaS應(yīng)用程序需要哪些類型的安全措施?在理想情況下，應(yīng)用程序應(yīng)該從一開(kāi)始就以安全思維方式構(gòu)建。如果企業(yè)的應(yīng)用程序依賴于云服務(wù)商或其他服務(wù)提供商，尤其是AWS等云計(jì)算巨頭，他們將擁有嚴(yán)格的安全性。但是企業(yè)需要確保其應(yīng)用程序和云計(jì)算提供商之間的每個(gè)可能的連接點(diǎn)都受到保護(hù)，應(yīng)該明確描述這些云服務(wù)商的責(zé)任和數(shù)據(jù)所有權(quán)。企業(yè)需要檢查云計(jì)算云提供商的文檔以了解安全最佳實(shí)踐，并始終遵循這些實(shí)踐。

企業(yè)需要在應(yīng)用程序和基礎(chǔ)設(shè)施中實(shí)施的措施包括加密(對(duì)數(shù)據(jù)進(jìn)行加密，以便只有擁有正確密鑰的人才能解密信息)和令牌化(將敏感信息交換為使用的令牌)。雖然令牌化或加密不能保證完全防止違規(guī)，但它們可以防止實(shí)際可用的信息在發(fā)生數(shù)據(jù)違規(guī)時(shí)被盜。

所有客戶數(shù)據(jù)也應(yīng)該進(jìn)行安全備份。對(duì)于企業(yè)而言，數(shù)據(jù)丟失事件可能與網(wǎng)絡(luò)攻擊事件一樣糟糕，因此從現(xiàn)代SaaS應(yīng)用程序中的備份恢復(fù)信息的能力對(duì)于成功的服務(wù)恢復(fù)至關(guān)重要。

為了快速響應(yīng)任何事件或安全漏洞并及早預(yù)防問(wèn)題，還需要對(duì)整個(gè)基礎(chǔ)設(shè)施進(jìn)行持續(xù)監(jiān)控。

為什么安全性對(duì)于客戶溝通尤為重要

SaaS提供商的客戶通信基礎(chǔ)設(shè)施必須能夠訪問(wèn)姓名、電子郵件和電話號(hào)碼等個(gè)人識(shí)別信息(PII)，以便能夠向其用戶發(fā)送任何有價(jià)值的信息，并保持他們的參與。因?yàn)槿绻麗阂庑袨檎咴O(shè)法獲取個(gè)人信息，他們可以非常有效地使用這些信息，因此需要保護(hù)用戶數(shù)據(jù)。任何客戶數(shù)據(jù)的泄露，無(wú)論是由惡意行為者故意造成的，還是由SaaS公司本身無(wú)意造成的，都可能對(duì)所有相關(guān)方造成災(zāi)難性的后果。

政府意識(shí)到企業(yè)處理個(gè)人識(shí)別信息(PII)會(huì)有數(shù)據(jù)泄露的風(fēng)險(xiǎn)，制定了保護(hù)客戶數(shù)據(jù)的指導(dǎo)方針。例如在歐盟，通用數(shù)據(jù)保護(hù)條例(GDPR)于2018年生效。它概述了安全管理用戶數(shù)據(jù)的具體準(zhǔn)則，以及如果企業(yè)不遵守這些準(zhǔn)則將受到的處罰。例如加利福尼亞州頒布了2018年《加利福尼亞州消費(fèi)者隱私法》(CCPA)，以使該州居民能夠更好地控制企業(yè)收集和處理客戶個(gè)人信息的方式。其嚴(yán)格的規(guī)定類似于GDPR法規(guī)。2021年，弗吉尼亞州也效仿嚴(yán)格的隱私法，授權(quán)《消費(fèi)者數(shù)據(jù)保護(hù)法》(CDPA)于2023年生效。

SaaS提供商必須比以往任何時(shí)候都更加關(guān)注數(shù)據(jù)保護(hù)和安全性，這不僅要保護(hù)他們的業(yè)務(wù)和用戶的數(shù)據(jù)，還要避免對(duì)可能被阻止的違規(guī)行為進(jìn)行大規(guī)模處罰。

與通信相關(guān)的安全漏洞有多常見(jiàn)?

安全漏洞的數(shù)量和范圍逐年增長(zhǎng)，并且自從轉(zhuǎn)向遠(yuǎn)程工作以來(lái)顯著增加。根據(jù)身份盜竊資源中心2022年的一項(xiàng)研究，2021年的數(shù)據(jù)泄露數(shù)量比2020年高出68%，比之前的歷史最高水平高出23%。這一增長(zhǎng)是驚人的。他們研究中的有趣的一點(diǎn)是，受害者的數(shù)量實(shí)際上已經(jīng)減少，據(jù)稱是因?yàn)楹诳透雨P(guān)注商業(yè)機(jī)密和專業(yè)數(shù)據(jù)。

2021年8月，Microsoft Exchange電子郵件服務(wù)器被黑客通過(guò)安全漏洞進(jìn)行攻擊。在微軟公司知道這些漏洞的幾個(gè)月內(nèi)，這些漏洞并沒(méi)有得到修復(fù)，而且微軟公司自己的客戶也沒(méi)有被適當(dāng)?shù)馗嬷@些漏洞的嚴(yán)重性。另外，在過(guò)去的幾年中，微軟的Office 365服務(wù)出現(xiàn)了大量惡意獲取機(jī)密信息的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。

在2022年3月18日，企業(yè)用來(lái)管理營(yíng)銷和銷售的CRM工具Hubspot通過(guò)員工賬戶遭到黑客攻擊。行業(yè)媒體在3月的報(bào)道，專門(mén)為企業(yè)提供云計(jì)算軟件用于訪問(wèn)管理的Okta公司在兩個(gè)月前就遭到了黑客攻擊。Okta公司將違規(guī)行為歸咎于一家提供客戶支持并獲得Okta內(nèi)部信息訪問(wèn)權(quán)限的簽約公司。

解決通信安全問(wèn)題的最佳方法是什么?

隨著黑客不斷改進(jìn)其攻擊方法，云計(jì)算應(yīng)用程序的安全性也越來(lái)越突出，例如互聯(lián)網(wǎng)安全中心的控制v8指南，針對(duì)最佳安全實(shí)踐的建議也在不斷制定。針對(duì)客戶通信的嚴(yán)格安全實(shí)踐(如通知)尤其重要，因?yàn)樗鼈兪呛诳屠梦床煊X(jué)用戶進(jìn)行攻擊的很容易的切入點(diǎn)。

作為通知提供者，安全服務(wù)商在安全措施方面投入了大量精力。以下分享了有關(guān)一般安全控制最佳實(shí)踐的主要建議。

(1) 內(nèi)部審核和流程

第一個(gè)建議是在企業(yè)內(nèi)建立內(nèi)部審查和流程，這可以是安全審查清單的形式。內(nèi)部審查應(yīng)涵蓋密碼創(chuàng)建和多因素身份驗(yàn)證、特權(quán)訪問(wèn)管理和一般訪問(wèn)控制，以及新員工入職流程的政策。更具體地說(shuō)，審核企業(yè)的員工在內(nèi)部的訪問(wèn)權(quán)限，將訪問(wèn)權(quán)限限制在需要知道的基礎(chǔ)上，并為對(duì)特權(quán)帳戶的任何受限訪問(wèn)設(shè)置批準(zhǔn)工作流程。最后，確保企業(yè)的員工使用多重身份驗(yàn)證并創(chuàng)建強(qiáng)密碼。

安全審查清單還應(yīng)包括評(píng)估基礎(chǔ)設(shè)施的范圍，例如網(wǎng)絡(luò)、設(shè)備以及與第三方提供商的任何其他連接。在企業(yè)進(jìn)行評(píng)估時(shí)，為問(wèn)題或違規(guī)創(chuàng)建事件響應(yīng)計(jì)劃，并使用它們來(lái)檢測(cè)其基礎(chǔ)設(shè)施中任何可能的漏洞。確保定期測(cè)試這些事件響應(yīng)計(jì)劃，以確保它們保持最新?tīng)顟B(tài)。

這些步驟應(yīng)該被合并到企業(yè)的文檔中，作為它們正在實(shí)施的過(guò)程的證明。而擁有清晰的文檔意味著員工更有可能遵守企業(yè)的安全協(xié)議。

當(dāng)企業(yè)為上述項(xiàng)目編寫(xiě)文檔和具體審查流程時(shí)，還應(yīng)為公眾定義其隱私政策。在發(fā)生違規(guī)之前，讓企業(yè)的用戶了解其收集和處理的數(shù)據(jù)以及這對(duì)他們意味著什么可能會(huì)有所幫助。

(2) 持續(xù)監(jiān)控

第二個(gè)建議是對(duì)企業(yè)的基礎(chǔ)設(shè)施進(jìn)行持續(xù)監(jiān)控。如果沒(méi)有進(jìn)行監(jiān)控，企業(yè)對(duì)安全漏洞的響應(yīng)可能為時(shí)已晚。監(jiān)控不僅使其開(kāi)發(fā)團(tuán)隊(duì)能夠在出現(xiàn)任何問(wèn)題或警報(bào)時(shí)快速做出響應(yīng)，而且還可以提供有關(guān)如何改進(jìn)整體安全控制的見(jiàn)解。由于SaaS應(yīng)用程序結(jié)合了多個(gè)不同的提供程序或組件，因此能夠可視化應(yīng)用程序的總體運(yùn)行狀況尤為重要。企業(yè)應(yīng)該監(jiān)控用戶訪問(wèn)和行為以及管理訪問(wèn)和行為，因?yàn)閮烧叨伎赡鼙砻鱏aaS應(yīng)用程序存在漏洞。目前，市場(chǎng)上有許多安全監(jiān)控提供商。例如使用Datadog來(lái)觀察應(yīng)用程序的組件。

(3) 自動(dòng)化

第三個(gè)建議是軟件自動(dòng)化可以幫助簡(jiǎn)化企業(yè)的安全流程。如果企業(yè)需要允許臨時(shí)訪問(wèn)特權(quán)帳戶或信息，可以將審批工作流程實(shí)施自動(dòng)化以提高效率。協(xié)作控制也可以實(shí)現(xiàn)自動(dòng)化，這樣員工就不會(huì)無(wú)意中共享機(jī)密信息。如果企業(yè)希望證明其符合數(shù)據(jù)管理合規(guī)標(biāo)準(zhǔn)，例如SOC2、ISO270001或GDPR等法規(guī)，還可以選擇由Vanta或Drata公司等服務(wù)提供商進(jìn)行的自動(dòng)監(jiān)控。

(4) 外部審計(jì)

如果想加強(qiáng)安全控制，第四個(gè)建議是讓第三方服務(wù)審核其基礎(chǔ)設(shè)施和流程是否存在任何漏洞。企業(yè)可以聘請(qǐng)顧問(wèn)或使用應(yīng)用程序漏洞掃描程序，其示例包括Probely或Tenable。如果希望獲得任何合規(guī)性認(rèn)證，這些安全審計(jì)可以通過(guò)為其提供對(duì)最佳實(shí)踐的主動(dòng)見(jiàn)解來(lái)提供先機(jī)。

以安全為核心進(jìn)行開(kāi)發(fā)

隨著數(shù)據(jù)泄露數(shù)量的增加和安全攻擊變得更加復(fù)雜，將最新的安全實(shí)踐集成到其應(yīng)用程序和企業(yè)中是絕對(duì)必要的。要采取更多安全控制措施并專注于發(fā)展其業(yè)務(wù)，尤其是在世界各地頒布了嚴(yán)格的法律和法規(guī)的情況下，將會(huì)對(duì)違規(guī)行為施加嚴(yán)厲的處罰和罰款。

正如以上回顧的那樣，數(shù)據(jù)泄露的風(fēng)險(xiǎn)現(xiàn)在包括企業(yè)聲譽(yù)、財(cái)務(wù)損失以及對(duì)用戶的身份盜用等方面的進(jìn)一步損害。企業(yè)的客戶通信可能是網(wǎng)絡(luò)攻擊者利用的主要漏洞來(lái)源之一，任何SaaS提供商在發(fā)展過(guò)程中都要將安全放在首位。