SaaS 在每家公司中的使用量都很大，甚至是不是公司統一購買部署，而是掌握在個別員工手上。他們日常會使用大量 SaaS 應用，用來輔助工作或生活。而過去談 SaaS 安全性，主要集中在 SaaS 供應商風險上，即公司會擔心數據存儲在哪里，并擔心供應商的安全性，實際上SaaS 在過去 10 年發生了顯著變化。

　　有評論稱，當前 SaaS 風險將由企業特定因素驅動，且大多數公司仍然沒有將其納入風險評估當中，因為風險仍然被評估為供應商風險是最重要的因素。結果是大多數公司使用過時的框架管理 SaaS，并且存在巨大的盲點。

　　以下清單由數百名 CISO 合作開發，它確定了 CISO 應了解的關鍵風險因素，以有效管理其 SaaS 風險：

　　01 發現正在使用的 SaaS 應用程序

　　任何 SaaS 安全計劃的基礎都需要一個完整的 SaaS 應用程序清單。許多公司使用單點登錄 （SSO）或身份提供者 （IdP），這是一個好的開始。但是，在員工使用本地應用程序憑據創建帳戶的情況下，大多數人都沒有很好的 SaaS 清單。CASB確實提供了另一層數據，但是，它們無法辨別員工是創建了帳戶還是只是訪問了該站點。此 SaaS 清單還應涵蓋由仍活躍的前員工創建的帳戶。這比大多數人想象的要普遍得多。

　　02 識別 SaaS 應用程序中使用的數據

　　數據安全治理是現代企業運營環節的重要一環，而 SaaS 使這變得特別困難。識別將使用的數據類型的最佳來源是用戶自己。但是，從每個用戶那里為他們注冊的每個 SaaS 應用程序收集這些信息既繁瑣又耗時。自動化可以使其成為 SaaS 入職流程的一部分，并且收集此信息對于任何強大的 SaaS 安全計劃都至關重要。

　　03 使用 SaaS 應用程序監控員工數量

　　SaaS 的易用性導致公司使用的應用程序數量急劇增加。以北美為例，估計就有超過 15,000 家 SaaS 公司，平均每家公司使用近 200 種不同的 SaaS 應用程序。一名員工使用的應用程序可能比多名員工使用的應用程序帶來的風險更小。了解使用 SaaS 應用程序的員工數量有助于公司更準確地評估其風險級別并確定任何合規措施的優先級。

　　04 SaaS 應用程序采用

　　SaaS 應用程序的用戶數量會隨著時間而變化，用戶數量急劇增加的應用程序值得關注，以確保用戶遵守公司的安全策略。用戶可能在同一個部門或完全不同的辦公室。功能內的用戶密度也是應用程序帶來的風險的一個因素。例如，如果 10 個財務人員正在使用一個應用程序并共享數據，那么這是一個非常高的風險。但是，如果 10 個不同部門的 10 個人在很少或沒有協作的情況下使用該應用程序，那么這帶來的風險較小。關鍵是監控采用率的增長，以便準確評估風險。

　　05 用于 SaaS 應用程序的身份驗證方法

　　創建 SaaS 帳戶時，用戶通常可以選擇使用 IdP 或本地憑據對自己進行身份驗證。盡管公司政策可能是用戶必須使用官方 IdP，但許多用戶會使用他們的電子郵件并重復使用其中一個密碼。了解使用的身份驗證方法后，安全團隊可以聯系并要求用戶使用 IdP 并遵守公司政策。包括 CASB 在內的現有解決方案無法收集這些信息。

　　06 不再使用的 SaaS 應用程序或帳戶的數量

　　在 SaaS 安全中，很多人關注的是正在使用的 SaaS 應用程序，而沒有得到太多關注的是不再使用的 SaaS 應用程序或帳戶的數量。這可能是員工流動的結果，其中離職流程未涵蓋員工未使用 IdP 的未經批準的 SaaS 應用程序。或者可能只是員工更改了應用程序，例如從 Trello 轉移到 Monday.com。休眠的 SaaS 帳戶是一個常見的盲點，CASB 等現有解決方案無法發現或幫助保護它們。

　　07 SaaS 應用程序風險隨時間的變化

　　SaaS 風險不是靜態的，它會隨著時間而變化。用戶可以從功能有限的免費增值版本開始，然后升級到功能更高級的版本。如前所述，單個用戶可能開始使用應用程序，然后開始邀請同事也開始使用該應用程序。憑借成千上萬的潛在應用程序，一流的 SaaS 安全風險管理程序可以監控風險隨時間的變化，并幫助安全團隊確定資源和工作的優先級。

更多信息可以來這里獲取==>>電子技術應用-AET<<