誰擁有控制權:SaaS 應用程序管理員悖論
想象一下:公司范圍內的 CRM 鎖定,例如 Salesforce,因為組織的外部管理員試圖為自己禁用 MFA。他們不考慮與安全團隊協商,也不考慮安全隱患,只考慮團隊使用登錄所需的便利性。
但是,此 CRM 將 MFA 定義為頂級安全設置;例如,Salesforce 具有“高保證登錄值”配置,并立即鎖定所有用戶作為安全預防措施。整個組織陷入停頓,感到沮喪和困惑。
令人深感擔憂的是,這不是一次性的事件,關鍵業務 SaaS 應用程序的管理員通常坐在安全部門之外并擁有深刻的控制權。這些未經培訓且不專注于安全措施的管理員正在努力實現其部門 KPI。例如,Hubspot 通常歸營銷部門所有,同樣,Salesforce 通常歸業務部門所有,等等。業務部門擁有這些應用程序,因為它可以讓他們有效地完成工作。然而,矛盾之處在于,保護組織的 SaaS 應用程序堆棧是安全團隊的責任,如果沒有對 SaaS 應用程序的完全控制,他們就無法有效地執行此任務。
由 CSA 和 Adaptive Shield 運行的2022 年 SaaS 安全調查報告深入探討了這一悖論的現實,展示了當今 CISO 和安全專業人員的數據。本文將探討受訪者的重要數據點,并討論安全團隊的解決方案可能是什么。
業務部門手中的SaaS應用
在一個典型的組織中,使用了廣泛的 SaaS 應用程序(見圖 1),從云數據平臺、文件共享和協作應用程序到 CRM、項目和工作管理、營銷自動化等等。每個 SaaS 應用程序的需求都填補了組織所需的特定利基角色。如果不使用所有這些 SaaS 應用程序,企業可能會發現自己落后或需要更多時間來實現其 KPI。
圖 1. 使用的應用程序類型,2022 年 SaaS 安全調查報告
2022年SaaS 安全調查報告報告稱,這些應用中有 40% 由非安全團隊管理和擁有,例如銷售、營銷、法律等(見圖 2)。雖然據報道安全和 IT 團隊是 SaaS 應用程序管理的主要目的地,但 40% 的業務部門也參與其中并擁有完全訪問權限,這使威脅形勢復雜化。
安全團隊無法剝奪這種所有權,因為業務應用程序的所有者需要保持對其相關 SaaS 應用程序的高水平訪問以實現最佳使用。然而,如果沒有對安全或既得利益(反映其工作產品的安全 KPI)的深入了解,安全團隊期望企業所有者確保其 SaaS 中的高水平安全性是不合理的。
圖 2. 管理 SaaS 應用程序的部門,2022 年 SaaS 安全調查報告
解開 SaaS 應用所有權悖論
當被問及配置錯誤導致的安全事件的主要原因時(圖 3),調查報告的受訪者在前四名中提到了這些:(1)有太多部門可以訪問安全設置;(2) 安全設置更改時缺乏可見性 (3) 缺乏 SaaS 安全知識;(4)盜用用戶權限。所有這些原因,無論是公開的還是暗示的,都可以歸因于 SaaS 應用所有權悖論。
圖 3. 安全事件的主要原因,2022 年 SaaS 安全調查報告
由錯誤配置引起的安全事件的主要原因是有太多部門可以訪問安全設置。這與下一個原因密切相關——安全更改發生變化時缺乏可見性。業務部門可能會更改應用程序設置以優化其易用性,而無需咨詢或通知安全部門。
此外,盜用用戶權限很容易源于掌舵的業務部門負責人,他們沒有認真注意應用程序的安全性。通常,用戶會被授予他們甚至不需要的特權。
安全團隊如何重新獲得控制權
通過這種責任共擔模型,彌合這種溝通差距的唯一有效方法是通過 SaaS 安全狀態管理平臺 (SSPM)。被譽為“2021 年 Gartner 云安全炒作周期的 4 項必備技術”中持續評估安全風險和管理 SaaS 應用程序安全狀況的必備解決方案,這樣的解決方案可以在任何情況下提醒安全團隊應用程序所有者進行的應用程序配置更改,并提供有關如何通過票務或協作管理系統修復它的明確指示。
借助由組織的安全團隊擁有和管理的 SSPM 解決方案,安全團隊可以全面了解公司的所有 SaaS 應用程序及其安全設置,包括用戶角色和權限。W
組織可以更進一步,讓應用程序所有者加入 SSPM 平臺,這樣他們就可以主動控制和監督其擁有的應用程序中的所有配置。通過使用范圍管理功能(圖 4),安全團隊可以授予應用程序所有者訪問他們擁有的應用程序的權限,并可以在他們的監督和指導下修復安全問題。
圖 4. Adaptive Shield 的 SSPM 平臺中的 Scoped Admin 功能
沒有辦法消除業務部門對 SaaS 應用程序安全設置的訪問,雖然應該對整個組織的用戶進行基本 SaaS 安全性教育,以降低業務部門可能發生的風險,但這并不總是發生,或者只是不夠。組織需要實施一種解決方案,通過為安全團隊啟用可見性和控制、對配置漂移發出警報、提供對 SaaS 應用程序和范圍管理員內操作的洞察力的審計日志來幫助避免這些情況。
