五項檢查有效避免 SaaS 安全配置錯誤

企業依賴SaaS應用執行無數功能，例如協作、市場營銷、文件共享等等。但問題是，企業往往缺乏配置這些應用的資源，無法阻止網絡攻擊、數據滲漏及其他風險。

SaaS安全配置錯誤可能引發損失慘重的災難性數據泄露。威瑞森《2020數據泄露調查報告》發現，錯誤是數據泄露第二大原因，三分之一的數據泄露都是由錯誤引起的。

其中又以錯誤配置最為常見，常常直接導致云服務上的數據庫或文件系統內容暴露。

企業網絡安全由其SaaS應用安全配置最弱的一環決定。舉個例子，Adaptive Shield團隊發現，SaaS設置錯誤令很多公司對網絡商業間諜敞開大門，暴露出整個云上數據，以及在家辦公時代的大量視頻會議數據。

IT安全團隊必須更加努力，減少錯誤配置的SaaS應用所帶來的的風險，保護企業免遭數據泄露威脅。下列五項SaaS配置錯誤最為常見，應加強檢查，按需糾正：

1) 確保SaaS系統管理員使用多因子身份驗證（MFA），即使已啟用單點登錄（SSO）。

單點登錄已成為SaaS應用安全訪問的一大主要功能；然而，仍有一些用戶能夠天然繞過這一控制措施。出于維護需要，盡管已啟用單點登錄，但大多數SaaS供應商仍允許系統擁有者以用戶名和密碼登錄。必須確保這些超級用戶強制進行多因子身份驗證。如果你的管理員靠用戶名和密碼登錄，而某個管理員的登錄憑證被盜，攻擊者就能訪問這個超級賬戶了。

2) 共享郵箱就是圍欄外的果子，很容易被黑客摘取。應杜絕郵箱共享現象。

很多公司用共享郵箱傳遞財務、客戶和其他類型的敏感信息，平均每20名員工就有一個共享郵箱。這些郵箱沒有明確的擁有者，每個用戶都拿著密碼，而又沒人會去修改密碼，問題便出現了。此類問題十分嚴重，以致微軟甚至建議阻止共享郵箱賬戶登錄。

3) 管理有權訪問內部信息的外部用戶。

很多公司如今采用協作工具交換信息。盡管外部共享是連接供應商和合作伙伴的好辦法，但也伴隨著公司數據失管失控的風險。應定義明確的外部用戶協作規則，為所有SaaS應用設置恰當的限制。

4) 看不見就不了解；啟用審計，最大化可見性與控制。

作為安全專家，你必須注意到自己遺漏的信息。盡管默認審計動作對某些企業而言已足夠，但對其他企業而言就可能是巨大的安全漏洞。確保你知道自己沒看到的東西，查缺補漏。

5) 杜絕數據實體未知匿名訪問。

保持完全控制企業數據并不容易。添加SaaS應用后會變得更難。查找哪些資源是公開暴露的，比如控制面板、表單、討論事項，或其他任何數據實體，發現一個修復一個。

如何最終管控SaaS安全

雖然SaaS平臺內置諸多安全配置控制，正確設置的責任卻落在客戶身上。面對所有應用成千上萬個設置項，安全團隊已不堪重負。

原創：nana 數世咨詢
原文鏈接：https://mp.weixin.qq.com/s/G1rF9nQr8lWHNsh...