在过去几年中,企业中的软件即服务应用从涓涓细流转变为洪水。根据Gartner的研究,企业平均使用600到1000个SaaS应用程序 - 但大多数IT部门只能了解其中7%。其他93%属于Shadow IT类别。这个应用程序使IT团队无法跟踪它,创造了一个完全暴风雨式的网络安全漏洞,危及组织和他们的客户。
Rogue SaaS采用会带来一系列风险,包括未受保护的公司数据,包括个人身份识别的员工或客户信息,支付卡详细信息和知识产权,浪费未使用的SaaS订阅的IT支出。当IT部门具有SaaS盲点时,它可能无法捕获监管违规的情况,或者在员工离开公司时撤销应用程序权限。
每个月,新的SaaS供应商涌现,以满足用户对满足特定行业,组织角色或用例需求的应用程序的需求。越多员工自己采购SaaS应用程序,就有越多的第三方可以访问组织的数据,完美的风暴成为了SaaS海啸。
然而,尽管有这些威胁,这种现象还是有好处的。在大多数情况下,员工未经批准的应用程序使用的意图是好的;他们渴望能够帮助他们更快,更聪明,更协作地工作的资源。忽视SaaS海啸的组织可能会被其力量扫除,但那些采取行动的组织有机会不仅避免危机,而且开启商业价值。
随着来自少数供应商(包括OneLogin)的云身份和访问管理解决方案的出现,组织不必在安全性和生产力之间进行选择。商业和IT安全领导者可以采取四个具体步骤来摆脱风暴:
第一步:跟踪钱;讽刺的是,有一个快速和有效的非技术方式组织可以暴露影子应用程序采用:更新您的会计流程。事实是,很少有员工购买他们自己的SaaS订阅并且没有支付它们。通过在企业费用报告中添加“SaaS订阅”类别,您可以设置协议,以便在处理新应用购买时通知IT。
第二步:实施云访问安全代理;云访问安全代理(CASB)可以作为IT部门的SaaS声纳,发现用户正在运行的未授权应用程序。坐在终端用户(即他们的浏览器和移动设备)和云供应商之间,CASB可以让IT了解企业数据在云中的情况,并通过监控威胁和合规差距来扩展治理策略。
第三步:推广单点登录(SSO)的最终用户利益;对于员工改变他们的行为,他们需要了解他们的内容。跟踪几十个应用程序密码(或在许多情况下,同一个密码上的几十个变体)已成为云时代的主要挫折。这为IT提供了一个机会,让用户了解SSO解决方案的生产力,这些解决方案通过任何设备提供一键式访问所需的所有应用程序。
第四步:拥抱身份即服务(IDaaS);与云访问安全代理和单点登录配对,IDaaS支持组织防御恶意应用程序使用的危险。 IDaaS可确保更高程度的密码复杂性,在用户从新的或不寻常的位置登录时实施多重身份验证,并允许IT根据特定事件(例如,员工退出时)快速调整访问权限。
成功地通过SaaS海啸并不是一个游戏。通过正确的战略,企业可以比起始时更强大。
本文转自d1net(转载)
