兩輛奔馳的火車:SaaS 競賽及保護非結構化資料
記得這樣一個古老的 SAT 考題:「如果兩輛奔馳的火車以不同的速度朝同一方向行駛,它們多久後會相撞?」就很多層面來說,這很像企業 IT 現今面臨採用 SaaS 應用程式的現實處境。SaaS 應用程式的使用持續加速,但公司保護全部相關資料的能力卻未跟上。
平均來說,一間公司所使用的 SaaS 應用程式比 IT 部門所知道的多 3 到 4 倍,而且預估到 2022 年,90% 的企業將依賴 SaaS 應用程式來執行企業目標。缺乏對 SaaS 應用程式的深入可見性則是問題所在,加之缺乏對誰擁有權限存取該等應用程式及其中的敏感資訊的掌控,這切實突顯了公司安全情勢的漏洞。
大多時候,各組織並不會擴展其身分安全原則以包括工作人員對 SaaS 應用程式及儲存在這些應用程式中的資料的存取權限。當 SaaS 應用程式囊括大量的結構化和非結構化資料時,其中非結構化資料讓企業感到最為棘手。這也是為什麼說非結構化資料是安全性威脅增多、最終導致「大規模火車事故」的主因。
為了更好地瞭解非結構化資料的狀態,及周邊的安全實作,我們最近透過 進行了問卷調查。我們發現超過 9 成的公司正在將非結構化資料移往雲端。不只如此,約 76% 的公司曾面臨保護非結構化資料的挑戰,包含未授權存取、資料遺失、法遵罰款等。
近乎每一間受調查的公司皆回報管理非結構化資料困難重重,面對諸多挑戰,如缺乏適用多個儲存庫的單一存取解決方案、太多資料,以及缺乏可見性 (針對存取權限、資料位置、擁有者是誰等)。再者,超過
根據這些數字,不意外的是 Canalys 報告發現在過去一年間各公司為保護我們經歷的快速數位轉型,花費總和為史上最高。然而,成功的資安攻擊數也持續創高。具體來說,Canalys 報告指出「過去 12 個月內打破的記錄比過去 15 年的總和還要多」。
很容易可以找到以上這些發現與以下趨勢之間的關聯性:使用雲端採用率上升、位於雲端的應用程式及系統之中的非結構化資料增多,以及 IT 人員更多地嘗試保護這個巨大的資訊網路。我們的調查也發現超過四分之一的公司未對使用者存取權限進行定期審查。不僅於此,三分之一的公司無法在非結構化資料被未經授權存取時即時示警。
值得欣慰的是,透過在實施階段擴展身分安全以管理資料存取,許多流程可以經自動化以加快存取驗證,並為您的身分解決方案饋送資訊。當 IT 人員擁有關於組織內使用者及其存取權限 (對於應用程式及資料) 的所有資訊時,他們將可以在發生資料外洩事件時迅速做出正確的決策。
作為前 CISO,我知道隨時注意公司的整個數位生態系統是很困難的,尤其是在雲端採用以及向 SaaS 結構的轉移急劇加速的情況下。這個安全癥結點正是 SailPoint 深入瞭解的,因此我們最近採取行動,透過併購 Intello,確保我們可以持續協助客戶減輕風險,不論是現在該是在未來。
優秀領導者都知道員工優先,但作為其業務推動力的資料緊追在後。許多我交談過的 IT 主管皆對於保護非結構化資料倍感煎熬,尤甚者,沒有將非結構化資料視為整體身分安全措施的一部份,這顯然是一大錯誤。我認為如果我們巧妙地將安全實作與預測的趨勢相統一並防範未然,上述問題將迎刃而解。
Discussion