研究表明，現代組織將越來越多地利用 SaaS 解決方案來推動其許多關鍵運營。根據 Gartner的數據，SaaS 市場將從 2021 年起增長 21.7%，到 2022 年達到 4820 億美元。組織必須將特定于 SaaS 的安全流程集成到其現有的信息安全策略中，否則如果到 2025 年無法控制公共云的使用，90% 的組織將面臨不恰當地共享敏感數據的風險。

以下是您的組織可以有效管理 SaaS 安全風險并避免代價高昂的數據泄露的 7 種方法。

1. 實施云安全機制

鼓勵組織采用安全訪問服務邊緣 (SASE)，以提高對云安全控制和安全策略的可見性。SASE 是一種新興的云安全架構，可提供比傳統網絡安全解決方案更先進的云數據保護功能。SASE 架構通過啟用最小權限原則和身份訪問管理 (IAM) 機制（如云基礎設施授權管理 (CIEM)和多因素身份驗證 ）來推動零信任網絡訪問 (ZTNA) 。SASE 還促進使用現代云安全解決方案來管理跨 SaaS 應用程序的訪問控制，包括：

• 防火墻即服務 (FWaaS)
• 安全 Web 網關 (SWG)
• 云訪問服務代理 (CASB)
• 云安全態勢管理 (CSPM)

2. 建立事件響應計劃

即使有強大的信息安全策略，安全事件仍然會發生。如果數據泄露發生在 SaaS 供應商手中，組織必須盡量減少其影響以避免代價高昂的損失。您組織的事件響應計劃應涵蓋從惡意軟件感染到客戶數據泄露等特定場景。有效的事件響應計劃具有以下作用：

• 概述所有關鍵利益相關者
• 簡化數字取證
• 縮短恢復時間
• 保護組織的聲譽

3. 進行徹底的盡職調查

組織必須在供應商生命周期的所有階段定期評估 SaaS 供應商的安全狀況，而不僅僅是在審查過程中。由于大多數大型組織管理著成百上千的供應商，因此在整個供應商生態系統中有效地進行盡職調查會很快變得復雜。

實施供應商分層流程是您的安全團隊在例行風險評估期間優先考慮高風險供應商（如 SaaS 提供商）的最有效方式。供應商風險管理平臺使供應商分層流程自動化，使安全團隊能夠有效地擴展他們的工作，而不會隨著供應商生態系統的發展而忽視盡職調查。

4. 可視化第三方攻擊面

組織只能對他們看到的網絡威脅做出反應。隨著創新的 SaaS 解決方案繼續簡化業務功能，您的組織可能擁有越來越多的供應商。很容易失去對攻擊面的可見性——隨著供應商庫存的增加，您的安全團隊不一定會效仿。自動實時發現、監控和跟蹤組織供應商的安全狀況。

5. 提供員工培訓

COVID-19 大流行迫使許多組織采用在家工作 (WFH) 模式，這種模式一直存在。這種向遠程工作的轉變增加了在工作場所網絡上運行的端點數量，例如個人電話和筆記本電腦。引入這些額外的攻擊向量會擴大攻擊面并造成安全不一致，因為管理員無法直接控制個人設備設置。

貴組織的信息安全政策應包括員工教育計劃，以使所有員工了解安全要求。培訓應涵蓋各種主題，例如：

• 社會工程策略：向員工介紹常見的社會工程網絡攻擊，例如網絡釣魚和魚叉式網絡釣魚。
• 清潔辦公桌政策：確保所有工作技術和材料在工作時間之外被帶走或安全存放。
• 可接受的使用：闡明員工可以和不能在工作設備和網絡上使用/訪問的內容。

6. 定期評估合規性

組織必須發送例行安全調查問卷，以確保高風險供應商（例如 SaaS 提供商）遵守所有必要的監管要求。手動記錄數百個響應并跟蹤每個供應商的合規狀態是一個非常耗時的過程。預建問卷庫包括廣泛采用的網絡安全法規和框架的模板，例如GDPR、ISO 27001、PCI DSS、NIST 網絡安全框架等。組織可以將問卷響應映射到每個框架的要求，以驗證供應商的合規性并要求對已識別的不合規領域進行及時補救。

7. 考慮第四方風險

您的供應商會產生第三方風險——他們的供應商也是如此。流行的 SaaS 提供商使用成百上千的關鍵供應商，為已經乏味的第三方生態系統增加了另一層復雜性。識別您的第四方供應商可能很困難，因為通常取決于您的服務提供商來披露它們。保持準確的庫存需要與供應商不斷修訂和反復來回。