五项检查有效避免 SaaS 安全配置错误

企业依赖SaaS应用执行无数功能，例如协作、市场营销、文件共享等等。但问题是，企业往往缺乏配置这些应用的资源，无法阻止网络攻击、数据渗漏及其他风险。

SaaS安全配置错误可能引发损失惨重的灾难性数据泄露。威瑞森《2020数据泄露调查报告》发现，错误是数据泄露第二大原因，三分之一的数据泄露都是由错误引起的。

其中又以错误配置最为常见，常常直接导致云服务上的数据库或文件系统内容暴露。

企业网络安全由其SaaS应用安全配置最弱的一环决定。举个例子，Adaptive Shield团队发现，SaaS设置错误令很多公司对网络商业间谍敞开大门，暴露出整个云上数据，以及在家办公时代的大量视频会议数据。

IT安全团队必须更加努力，减少错误配置的SaaS应用所带来的的风险，保护企业免遭数据泄露威胁。下列五项SaaS配置错误最为常见，应加强检查，按需纠正：

1) 确保SaaS系统管理员使用多因子身份验证（MFA），即使已启用单点登录（SSO）。

单点登录已成为SaaS应用安全访问的一大主要功能；然而，仍有一些用户能够天然绕过这一控制措施。出于维护需要，尽管已启用单点登录，但大多数SaaS供应商仍允许系统拥有者以用户名和密码登录。必须确保这些超级用户强制进行多因子身份验证。如果你的管理员靠用户名和密码登录，而某个管理员的登录凭证被盗，攻击者就能访问这个超级账户了。

2) 共享邮箱就是围栏外的果子，很容易被黑客摘取。应杜绝邮箱共享现象。

很多公司用共享邮箱传递财务、客户和其他类型的敏感信息，平均每20名员工就有一个共享邮箱。这些邮箱没有明确的拥有者，每个用户都拿着密码，而又没人会去修改密码，问题便出现了。此类问题十分严重，以致微软甚至建议阻止共享邮箱账户登录。

3) 管理有权访问内部信息的外部用户。

很多公司如今采用协作工具交换信息。尽管外部共享是连接供应商和合作伙伴的好办法，但也伴随着公司数据失管失控的风险。应定义明确的外部用户协作规则，为所有SaaS应用设置恰当的限制。

4) 看不见就不了解；启用审计，最大化可见性与控制。

作为安全专家，你必须注意到自己遗漏的信息。尽管默认审计动作对某些企业而言已足够，但对其他企业而言就可能是巨大的安全漏洞。确保你知道自己没看到的东西，查缺补漏。

5) 杜绝数据实体未知匿名访问。

保持完全控制企业数据并不容易。添加SaaS应用后会变得更难。查找哪些资源是公开暴露的，比如控制面板、表单、讨论事项，或其他任何数据实体，发现一个修复一个。

如何最终管控SaaS安全

虽然SaaS平台内置诸多安全配置控制，正确设置的责任却落在客户身上。面对所有应用成千上万个设置项，安全团队已不堪重负。

原创：nana 数世咨询
原文链接：https://mp.weixin.qq.com/s/G1rF9nQr8lWHNsh...