信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全419”，作者/荏珺。

“影子IT”并不是一個(gè)新興概念，其伴隨云計(jì)算和移動(dòng)技術(shù)消費(fèi)IT的普及而興起，并隨現(xiàn)代工作環(huán)境的變化而不斷發(fā)展。簡(jiǎn)單來(lái)說(shuō)，影子IT是指在未經(jīng)IT部門(mén)參與或批準(zhǔn)的情況下引入企業(yè)的設(shè)備和服務(wù)。但當(dāng)今的影子IT并不止于設(shè)備和服務(wù)，還包括了軟件。

隨著90年代后期軟件即服務(wù)（SaaS）產(chǎn)品的推出，影子IT風(fēng)險(xiǎn)挑戰(zhàn)進(jìn)一步擴(kuò)大和深化，SaaS影子IT成為一項(xiàng)新的安全挑戰(zhàn)。根據(jù)Gartner數(shù)據(jù)顯示，SaaS仍然是最大的公共云服務(wù)細(xì)分市場(chǎng)，預(yù)計(jì)2023年最終用戶(hù)支出將達(dá)到2080億美元。

SaaS受歡迎的原因主要在于分散性。任何人、在任何地方都可以輕松地設(shè)置和使用應(yīng)用程序，再加上易用性，企業(yè)在SaaS上的支出和使用率出現(xiàn)爆炸式增長(zhǎng)。但因缺少I(mǎi)T部門(mén)的參與，企業(yè)業(yè)務(wù)部門(mén)隨意購(gòu)買(mǎi)服務(wù)將導(dǎo)致SaaS影子IT的出現(xiàn)，給企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)挑戰(zhàn)。

SaaS影子IT的三大風(fēng)險(xiǎn)

由于企業(yè)IT和安全團(tuán)隊(duì)缺乏對(duì)SaaS使用方式的可見(jiàn)性，導(dǎo)致對(duì)企業(yè)目前安全態(tài)勢(shì)缺乏洞察力。企業(yè)在考慮是否部署SaaS時(shí)，可以先回答這樣幾個(gè)問(wèn)題：“企業(yè)目前使用了多少SaaS應(yīng)用程序？團(tuán)隊(duì)對(duì)于SaaS的管理能力和成本控制能力是否足夠？需要SaaS解決哪些風(fēng)險(xiǎn)挑戰(zhàn)？......

01

被破壞的SaaS應(yīng)用程序仍在使用

大多數(shù)SaaS應(yīng)用程序都需要被授予能夠查看并編輯企業(yè)內(nèi)部數(shù)據(jù)的權(quán)限，數(shù)據(jù)安全成為最大議題。如今，SaaS應(yīng)用程序已經(jīng)成為惡意行為者的主要攻擊目標(biāo)，因此了解企業(yè)正在使用哪些SaaS應(yīng)用程序以及這些應(yīng)用程序的安全性，對(duì)于防止數(shù)據(jù)遭到惡意刪除或泄露至關(guān)重要。

02

攻擊者利用SaaS應(yīng)用程序?qū)崿F(xiàn)橫向移動(dòng)

SaaS應(yīng)用程序互通互聯(lián)，在節(jié)約成本、提升企業(yè)運(yùn)營(yíng)效率的同時(shí)，也形成了一個(gè)足以危及整個(gè)企業(yè)安全的SaaS影子網(wǎng)絡(luò)。在攻擊者獲得某個(gè)SaaS應(yīng)用程序的控制權(quán)限后，可以進(jìn)一步訪(fǎng)問(wèn)或控制其他應(yīng)用程序，以竊取企業(yè)敏感數(shù)據(jù)或資源。

03

SaaS管理難度大

平均每家中小企業(yè)至少要使用數(shù)百個(gè)SaaS產(chǎn)品，在大型企業(yè)中，這個(gè)數(shù)字可以達(dá)到數(shù)千。解決SaaS影子IT問(wèn)題，不僅僅需要了解正在使用的應(yīng)用程序，還需要了解這些應(yīng)用程序可以或應(yīng)該做什么。

據(jù)分析發(fā)現(xiàn)，大部分企業(yè)的SaaS堆棧中都存在著幾十個(gè)風(fēng)險(xiǎn)應(yīng)用程序，不僅有已被惡意行為者破壞的，還包括那些安全性不高、不滿(mǎn)足隱私合規(guī)性或是不提供任何公共應(yīng)用程序編程接口（API）。對(duì)于可用資源相對(duì)不足的安全團(tuán)隊(duì)而言，以手動(dòng)方式逐個(gè)應(yīng)用程序管理應(yīng)用程序幾乎不可能設(shè)置安全策略和監(jiān)控活動(dòng)。

對(duì)于SaaS的保護(hù)說(shuō)簡(jiǎn)單也簡(jiǎn)單，就像EDR系統(tǒng)可以解決端點(diǎn)安全問(wèn)題、云安全解決方案可以保護(hù)云使用、AST可以確保應(yīng)用程序安全，正確的SSPM解決方案也可以為企業(yè)的SaaS安全態(tài)勢(shì)中的潛在風(fēng)險(xiǎn)提供深入的可見(jiàn)性和補(bǔ)救措施。安全419了解到，2023版SaaS安全態(tài)勢(shì)管理(SSPM)終極檢查清單已發(fā)布，可為企業(yè)建立安全防線(xiàn)提供相應(yīng)參考，或是借助SaaS供應(yīng)商的安全防御措施，如懸鏡云鯊SaaS化版本，借助強(qiáng)大的應(yīng)用上下文情景分析能力，可捕捉并防御各種繞過(guò)流量檢測(cè)的攻擊方式，提供兼具業(yè)務(wù)透視和功能解耦的內(nèi)生主動(dòng)安全免疫能力，從而避免頻繁誤報(bào)造成防護(hù)無(wú)效，消減配置實(shí)現(xiàn)降本增效以及使應(yīng)用實(shí)時(shí)自我防護(hù)更加靈活高效。