SaaS 应用安全隐患警示

关键要点

• SaaS 市场在过去 12 年中增长超过 1000%，平均每个组织现在使用约 843 个 SaaS 应用。
• 大多数组织的网络安全措施未能跟上应用的快速增长步伐。
• 管理员常常对接入的第三方应用缺乏清晰的了解，导致潜在的安全隐患未被及时发现。
• 安全团队需要宏观和微观的可见性，以全面保护系统安全，发现“隐形 SaaS” 及其带来的风险。
• 企业必须进行定期的 SaaS 应用监控，以保障与企业网络连接的所有应用的安全性。

近年来，SaaS（软件即服务）市场的快速发展为组织带来了便利，但也成为网络犯罪者的新目标。根据报告，目前平均每个组织已经使用了约843个SaaS应用，然而，许多组织的网络安全却未能与之同步提升。

尽管管理员通常会对第三方应用保持警惕，他们却常常认为主要的商业系统是安全的，尤其是微软产品里的应用。由于缺乏警觉性，管理员可能不清楚与企业系统相连的具体应用。例如，Salesforce用户可以在不实际安装应用的情况下“连接”应用；尽管可以使用该应用，相关信息却被记录在用户名下，而非应用名下，这让追踪或调查问题变得相当困难。

更糟糕的是，如果用户在未先断开连接的情况下重新安装应用，旧的API密钥通常不会失效。然而，若密钥被遗失、泄露或被盗，重新安装应用并不能消除安全漏洞。以前的令牌会被隐藏，也不容易通过界面访问，产品所有者甚至可能对此一无所知。因此，管理员必须对失落、泄漏或被盗的密钥保持警惕，以便立即撤销它们。

然而，大部分组织在宏观和微观可视性方面存在不足，难以全面保障其系统的安全。安全团队需要宏观可见性，以看到其在任何时间点所使用的“影子SaaS”服务。其实，大多数公司对其所有连接的第三方应用或共享的API令牌往往缺乏全面了解。另外，安全团队也需要微观可见性，以理解各个SaaS服务的作用及其所拥有的权限。例如，销售促进工具的读写权限可以随意与Salesforce同步。

缺乏这些可见性，管理者无法全面了解其快速扩展的应用生态系统的行为，也难以识别潜在的恶意活动。这个问题比大多数管理员认识到的要严重得多。最近，北卡罗来纳州立大学扫描了13%的公共GitHub库，发现超过10万个库中包含API密钥和密码令牌，黑客可以使用这些信息从各自的系统中提取数据。

长期以来，网络威胁行为者能够利用即使是最知名和最受信任的系统来针对用户实施高级攻击。例如，在2019年，流行的Jira项目管理软件由于配置错误，导致数百家公司的大量数据被暴露，包括NASA、谷歌、雅虎等知名公司。更糟的是，暴露的URLs被谷歌抓取，这也让举报者发现了敏感数据。

现在所称的“隐形SaaS”变得比许多网络安全专业人士预期的更为常见。众多在线平台，包括SaaS和社交网络，近年来不断合并、转型或彻底关闭。黑暗网络上存在一个持续活跃的市场，销售已经停用的在线平台，为所有类型的威胁行为者提供了进入点。随着服务停业、资产被出售，或未能续订域名，冗余平台的库存不断更新。

安全团队需要首先了解员工实际使用哪些SaaS服务。接着，确认这些服务的目的、位置和所有权是否发生了变化。如果是，则需再进行一次评估。若服务不安全，安全团队就必须立即停止其在组织内的使用。

虽然安全团队必须与员工直接沟通，以保持对所有类型第三方应用的警惕，但他们也应该考虑使用一种自动化智能系统，检查所有进出组织网络的连接，甚至连接到隐形SaaS平台的域名。

尽管要鼓励员工使用来自可信开发者的SaaS应用，从提高效率和成本