中小企业增强SaaS安全性的四个步骤

尽管2022年全球经济波动、企业安全预算紧张，但软件即服务 （SaaS）市场仍处于上升趋势。据Gartner 预测，随着2023年越来越多企业选择在其IT堆栈中增添SaaS 平台，SaaS 的用户支出将增长16.8%。

随着企业以最小化风险和优化成本加速IT现代化计划，中小企业正在拥抱SaaS。但对于IT安全资源并不丰富的中小型企业来讲，这是一个艰巨的安全挑战。根据Netsurion的调查数据显示，每一家小型企业平均使用47个SaaS应用程序。对于大型企业，这些数字增长到三位数。但每一个应用程序都代表着一个攻击面，一旦遭到攻击，就很可能使得SMB和个人身份信息 （PII）、个人健康信息（PHI）或信用卡等敏感数据面临暴露的风险。

因此，中小企业可以将用于本地资源的网络安全监测、合规性检测、威胁检测和响应等应用于云基础架构以低成本保障SaaS应用安全。但问题在于，云安全环境仍存在不确定性。为降低使用SaaS应用程序时的安全漏洞风险，中小企业可以采取以下四个步骤：

几乎每个主要的云服务提供商 （CSP） 都有自己的云安全责任共担模型版本，该模型定义了CSP和企业的责任分配范围。该模型的建立具体取决于所使用的云服务类型：基础架构即服务（IaaS），平台即服务（PaaS）或SaaS。

对于以上三种云服务类型，CSP始终负责其数据中心设施，主机硬件和软件以及用于运行云服务的网络的安全性。在某些模型中，CSP 全权负责应用层的安全性，企业对数据和用户访问及身份负全部责任。在其他模型中，CSP和企业则共同负责应用程序级控制、身份和访问管理 （IAM） 以及端点保护。虽然这是一项共同的责任，但企业始终对数据保护和风险管理负全部责任。

与所有软件产品一样，SaaS 应用程序带有默认配置，企业需要考虑接受这些默认值或更改以满足安全要求。同样的，还有SaaS应用程序与其他应用程序之间集成的安全性。当然，随着产品更新或企业需求，这些配置数据可能出现变动，因此定期查看SaaS应用程序数据非常重要。

由于预算或人员的不足，许多中小企业都会选择托管服务提供商来补充稀缺的IT管理资源或帮助进行IT安全操作。为降低SaaS安全风险，企业与服务提供商共同制定责任共担模型，包括事件响应等。

集成平台可以支持在复杂信息环境下的应用开发和系统集成运行。如果没有这种集成，企业可能无法及时察觉攻击事件。一旦形成时间差，网络攻击的破坏程度将成倍增长。企业安全运营中心 （SOC）或安全信息和事件管理平台（SIEM）应从SaaS 应用、防火墙或本地资源中接收遥测数据。

SaaS应用程序是中小企业必不可少的加速器，尽管扩大了攻击面、造成一定安全盲点。但中小企业可以通过CSP、托管服务提供商的云安全能力和专业知识，充分发挥SaaS应用程序的优势。

https://www.helpnetsecurity.com/2023/02/20/close-saas-security-gaps/