Skip to Main Content

SaaS 蔓生的危險:無安全防護的應用程式如何威脅安全

本篇部落格文章是探討「何為 SaaS 管理?」三篇系列文章的第一篇。本文將深入講解 SaaS 的崛起、對身分安全日益增加的衝擊,以及 IT 團隊受到的影響。

若要問現代企業有何共通點,那就是軟體即服務 (SaaS) 極為普及。隨著公司擁抱數位轉型,SaaS 採用的簡便讓公司能快速規模化成長、反應更迅速、成本控管優化。採用的速度只會越來越快,目前預估 90% 的企業在 2022 年時將幾乎完全倚賴雲端應用程式

SaaS 應用程式提供了敏捷度,使得員工能夠提高生產力,尤其是疫情期間,全球幾乎每間公司都必須因應並轉為以遠端為優先的環境。員工受到必要性驅使,一直大量登入使用雲端工具,以便完成工作,IT 部門卻得設法跟上這一大批新 SaaS 應用程式的採用步伐。

越多 SaaS 代表風險越高

面對眾多的新應用程式,IT 團隊與安全團隊的棘手任務是設法支援新出現的彈性,同時保護企業及其資產安全。IT 部門如何取得可見性,瞭解數百員工目前使用但是未經許可的應用程式呢? (而此類應用的控管程度相較之下則更低,其數量時常是 IT 團隊所知的 3-4 倍。)

貴組織如何因應急速惡化的「影子 IT」問題?

顯然,毫無作為並不是選項之一。SaaS 蔓生只會不斷擴大,像一輛失速列車,少了護欄後可能變得更加失控。未能應對的話,將直接導致風險以指數增加:隨著更多員工將敏感資料整合進未經許可的 SaaS 應用程式 (以及給予程式不受限制的存取),無數的第三方組織可能已經掌握了貴企業系統的不當存取權限。

這表示,組織可能面臨來自廠商的入侵,卻根本不知道廠商能存取自己的資料,這就是所謂的供應鏈攻擊。隨著資料隱私的更多相關規範出台,上述情況對貴團隊來說可能是一場災難。貴組織可能碰上關鍵資料突然遺失或遭竊,伴隨著嚴重的隱私問題及重大的法規遵循罰金,全都是因為員工正在使用貴組織不知道而且未加治理的 SaaS 應用程式。

除了安全風險,還有支出浪費的問題。一般的中型公司 在 SaaS 上每年為每位員工得支出 4,379 美元左右。不過,目前預估有 30% 的授權其實都使用不足,某些情況下更是完全未加使用。令人擔憂的估算數據說明,過度佈建也有可能產生數十萬美元的不必要開銷,而大型全球公司則達數百萬美元。這聽起來是很瘋狂,但我可以保證,這對哪怕是最為縝密運作的 IT 團隊來說也是家常便飯。

維持 SaaS 環境井然有序

該從何做起?首先,採用人工方式只會招致失敗。使用試算表等工具的人是不可能掌握全局的;一間企業的 SaaS 環境每天都在變化。等到任何一種調查完成時,早已經過時了。就算有方法加速進行人工稽核,又該如何對待員工已經忘記 (或是不願揭露) 的應用程式呢?如何把這些應用程式全部找出來?

答案是自動化:經由特別自動化的發現與管理。組織只要善用擁有這類功能的自動化工具,就能取得不中斷而且精確的可見性,瞭解整個 SaaS 環境,即時並完整掌握每一個使用中的 SaaS 應用程式。這就叫做「SaaS 管理」,這是每間企業都必須處理的環節,因為可見性提供了公司推動成功的網路安全計畫所需要的基礎。

這種程度的深度洞見讓管控措施得以實施,治理所有 SaaS 的存取,管理每個應用程式上的身分,提升軟體支出的管控效率,最終降低風險。這裡提到的風險包含將敏感資料儲存在缺失安全防護的應用程式中,以及過度佈建員工不需要或不該獲得的存取權限。

SaaS 管理能直接處理上述問題,讓企業採取能為全公司帶來正向漣漪效應的主動方法。想像一下,IT、財務、採購、銷售、行銷部門全部徹底掌握使用中的應用程式、使用者身分、使用方式、相關成本。對於任何追求創新及成長的公司來說,這可謂強大的競爭優勢。

邁向 SaaS 安全之道

在採取行動之前,需要一些策略,因為從長遠來看,快速解決方案不會帶來回報。 公司需要做的是全面思考——SaaS 管理如何融入整體網路安全計劃? – 這意味著將其作為綜合身份安全策略的一部分。 好消息:不僅像這樣的完全自動化的解決方案已經存在,而且其成功已被全球領先品牌一次又一次地證明。

這正是貴企業不可錯過的長久 SaaS 安全祕訣。

敬請鎖定本系列第二篇文章:「SaaS 管理對身分安全的重要性。」


Discussion