在2024年,保护SaaS数据不受数据泄露、错误及内部风险的影响,依然是安全专业人员面临的重要挑战。
关于数据泄露的问题,数据说话:Wing Security最近发现,967的组织至少使用过一个在过去一年发生过安全事件的SaaS应用。而四分之三的组织在至少一个由单一用户使用的SaaS应用上经历了安全事件。
这些数据背后隐藏着什么?对于Csuite而言,SaaS因其提升工作人员生产力并节省本地数据中心成本而受到青睐。然而,分担责任的模式使得用户公司必须自行保障SaaS应用上运行的数据、配置和API的安全。
问题就出在这里。
海外免费NPV加速器随着越来越多的员工使用Google Docs、Office 365以及数百个其他生产力应用来完成工作,海量数据暴露在网络上,而IT和安全团队难以跟上。
请注意,Wing Security发现,普通员工使用29个SaaS应用,85的组织有外部用户可以访问其数据,因此,保护这些应用和数据的复杂性也在日益增加。
IDC安全与信任集团副总裁Frank Dickson指出,出于对IT和安全团队的合理考虑,他们并未配备足够的工具来保护SaaS。
“传统工具并不适合SaaS,”Dickson说。“更复杂的是,虽然SaaS提供商完全负责网络层技术的运营和保护,但SaaS客户对这些系统几乎没有可见性,必须信任SaaS提供商来保障安全。此外,大多数SaaS应用提供商并不拥有或运行这些系统,而是依赖于第三方云基础设施提供商,比如AWS、Microsoft Azure或Google。”
DoControl的联合创始人兼首席执行官Adam Gavish指出,员工现在正在尝试的新AI工具增加了管理SaaS数据的复杂性,这些工具并不一定符合安全最佳实践。
“每个人都在使用这些SaaS应用来协作开发AI模型,随着使用AI应用的人越来越多,攻击面也在不断扩大。”Gavish说。“我说的可不是Open AI和ChatGPT的用户。大多数AI公司都是没有成熟安全模型的初创企业。”
Gavish提到,随着更多数据的暴露,以及组织人员的流动,内部风险威胁也在增加。他表示,企业现在需要对SaaS数据的上下文有更好的监控能力。
企业需回答以下问题:
谁离开了公司,他们具有怎样的SaaS数据访问权限?这些数据在日常业务中是如何被使用的?团队如何分析模式,以识别可以保护业务的有意义的趋势?“开发人员很容易在家里WiFi下使用ChatGPT,然后将结果带回工作环境中继续推进,因此组织对如何保护这些新数据感到担忧。”Checkmarx产品增长负责人Steve Boone说。
Critical Start网络事件响应团队经理Chad Graham指出,随着AI技术的快速普及,由AI系统导致的数据损坏和操控风险也是一个重大问题。
“AI算法虽然强大,但可能受到偏见和恶意输入的影响,”Graham说。“确保AI系统使用数据的完整性和准确性至关重要,以防止错误的结果并保持对AI驱动过程的信任。这可以通过严格的数据验证协议、持续监控和实施检测与缓解实时异常的保障措施来实现。”
Checkmarx的Boone建议,专注于SaaS安全的安全团队应该退一步,思考为什么SaaS应用如此脆弱?
SaaS
