从2022年的0ktapus威胁运动到影响Twilio、Plex、Dropbox、Signal、优步和Digital Ocean等公司的网络钓鱼、smishing和vishing计划，网络攻击和SaaS漏洞给企业带来了各种困扰。

企业SaaS层，正成为攻击者觊觎的焦点，他们在此寻找身份漏洞、重复的凭据，发起网络钓鱼和欺诈活动，甚至将危害迅速扩散至数十种SaaS和云服务。

更为严峻的是，以业务为导向的企业数字化战略，无疑强化了SaaS身份信息的蔓延，进而塑成了更多的安全隐患与数据泄露风险。

Gartner Says More Than 80% of Enterprises Will Have Used Generative AI APIs or Deployed Generative AI-Enabled Applications by 2026

Gartner认为，到2026年，超过80%的企业将使用生成人工智能API或部署生成人工智能应用程序。

至2030年，高达80%的企业SaaS服务将转变为业务主导的SaaS模式。这意味着，业务团队将在组织的IT选择、采购或安全监督之外，须自行识别和采购SaaS技术服务。

这无疑给安全团队带来了前所未有的挑战——他们需要在不拥有、不控制甚至不知道存在的技术环境中，竭尽所能保护敏感数据、业务运营，并遏制身份信息的无序蔓延。

随着企业将越来越多的数字业务交给SaaS服务，用户的凭证也散落至各种隐匿的企业SaaS层，这些因素相互交织，使得风险不断加剧。如今，分布式身份结构已成为企业与SaaS服务和应用连接的关键纽带，决定了它们如何、何时、何地相互连接。

因此，面对SaaS的安全挑战，安全领导者必须聚焦于身份安全措施，将SaaS服务进入企业环境的入口作为防守的重中之重。

有没有先进企业已经遇到类似问题并予以应对的？

有，我们来看看谷歌。

谷歌，其庞大的业务运营离不开SaaS服务的支持，SaaS层面对的安全威胁难以避免且日益增多，谷歌深知保护数据和业务安全的重要性，因此采取了以下主要措施：

第一、入口。谷歌对于身份验证和访问控制尤为重视。它运用多因素身份验证技术，确保只有经过严格授权的用户才能访问SaaS应用程序和数据。

同时，谷歌实施了严谨的访问控制机制，通过精细的角色管理和权限设置，让每位用户仅能访问到其所需的数据和功能。

第二、流动。在数据加密方面，谷歌采用先进的加密技术，对SaaS平台上存储和传输的数据进行全方位保护。无论是用户的个人信息、业务数据还是敏感文件，谷歌都运用高强度的加密算法进行加密，确保数据不会被黑客窃取或即便拿到了也无法篡改。确保端到端的数据加密，让数据在传输和存储过程中保持安全。

第三、证据。谷歌注重安全审计和日志分析。它建立了系统性的安全审计机制，对SaaS平台上的所有操作进行详尽的记录和分析。通过实时监控和日志分析，谷歌能够迅速发现异常行为和潜在的安全威胁，并采取相应的措施进行应对，从而降低了可能带来的损失。

当你想把握SaaS安全时，对其安全考察可以借鉴谷歌从此三处入手。

以制造业为例，从工厂运营到金融服务，从人力资源到营销管理、IT管理，企业的运营活动皆高度依赖于SaaS平台。

各领域典型SaaS举例如下：

1 SAP Plant Maintenance在工厂运营中备受推崇，助力企业制定维护计划、记录维修历史并分析故障原因，提升运营效率。Infor SyteLine作为制造行业ERP系统的佼佼者，实现了工厂管理的精细化和高效化。

2 在金融服务领域，Salesforce Financial Services Cloud以客户关系管理为核心，整合客户信息、追踪销售机会并推荐产品，增强客户满意度和业绩。Oracle Financial Services Applications则提供全面的风险管理和合规性管理解决方案，确保金融机构稳健运营。

3 LTD营销枢纽专注内容营销，提供内容创作、价值传递及获客解决方案，构建优质营销物料，数据化表达产品优势，吸引消费者兴趣。

4 瑞人云等SaaS平台在人力资源领域大放异彩，实现用户权限分配、在线合同签署及社保薪酬跟踪，推动智能服务与数据联通。Workday、ADP等平台提供全方位的人力资源管理服务，提升管理效率。

5 在IT管理领域，ServiceNow提供完整的IT服务管理方案，确保系统稳定运行；而Zabbix则专注IT基础设施监控，实现实时监控、警报触发及自动化修复，保障信息安全稳定。

这些平台共同助力企业实现高效、安全的管理和运营。

你确定能看到监控屏幕的只有你吗？

SaaS最大的核心难题：身份。同时，身份作为与SaaS服务保持持久关系的企业资产唯一标签，其安全性至关重要。

近年来，企业纷纷拥抱SaaS服务，向云端迁移的步伐愈发坚定。

然而，企业的SaaS层是多样化且复杂的，随之而来的是全球身份结构也日益庞大且错综复杂，身份在其中蔓延、重复、妥协于安全策略，涉及数百个SaaS关系，让人难以窥其全貌。这庞杂混乱的状态恰恰让身份成为了攻击者眼中的尚好猎物，且其攻击范围还在不断扩大。 

要保障SaaS安全，最佳实践方法应以身份级别为导向，紧密关联相关的SaaS身份风险，并致力于消除安全漏洞。

以下为主要实践指南：

1 组织必须全面梳理SaaS关系中的所有身份，包括那些可能存在悬空访问或凭据暴露风险的历史用户账户。

1. 悬空访问风险：假设一个员工离职后，其公司账号被禁用。然而，由于系统存在漏洞，该员工的访问令牌在多个缓存或会话中仍然有效。攻击者通过某种方式获得了这些令牌，并成功使用该令牌登录系统，获取了本不应有的访问权限。

   
   

2. 凭据暴露风险：一个在线商店的应用程序在调试模式下运行，将用户的登录凭据（包括用户名和密码）记录到了服务器的日志文件中。这些日志文件对攻击者来说是可访问的，因此攻击者能够轻易获取到这些凭据，并使用它们登录到用户的账户中。

2 基于身份的防护策略至关重要。例如，“双盲凭据”机制便是一种创新的身份验证方式。它摒弃了传统的静态凭据，采用动态、不断变化的身份验证机制，使得每个用户的身份不再依赖于固定的、易于破解的凭据。这种机制有效提升了系统的安全性，即使攻击者截获了某一时刻的凭据，也无法利用它进行长期或持续的访问。

3 背景风险分析是确保SaaS安全的关键一环。企业须通过review历史服务过程，从多年的用户与SaaS关系中捕捉SaaS身份风险，以便能够更深入地了解SaaS服务、用户、组、租户以及现实环境的安全策略落实情况，从而迅速消除长期积累的风险。

4 在初步识别和消除风险后，组织应进一步打造其SaaS安全规划，识别访问控制、用户访问审查以及身份验证方法（如IdP、OAuth、OIDC、密码等）中的安全漏洞。这一过程应全面覆盖所有SaaS服务、用户、组和租户，确保安全无死角。

5 安全部门需仔细研究并实施有效的身份验证方法。面对身份风险带来的潜在安全威胁，企业必须采取有力措施，防止攻击者轻易获取凭据或进行未授权访问。即便许多业务驱动的SaaS应用并不直接受控于IT和安全团队，安全部门也应积极制定并在组织范围内执行一系列策略，确保身份安全在整个组织中得到有效推广和保护。

可见性是第一个难题。

随着员工开始使用各种SaaS服务，比如项目管理工具、协作平台、客户关系管理系统等，企业的SaaS层逐渐变得庞大而复杂。由于这些服务可能来自不同的供应商，且员工可能通过不同的方式（如直接登录、API集成等）进行访问，对于大多数安全领导者来说，很难全面掌握哪些SaaS服务正在被使用，以及它们是如何被访问的。

因此，安全领导者往往对身份蔓延和SaaS蔓延一无所知。在这种情况下，近四分之三的凭据都是重复的，平均每个用户拥有超过100个重复的密码。

这就好比是在一个漆黑的房间里摸索。他们可能知道企业大概使用了哪些SaaS服务，但很难确定每个服务的具体使用情况、访问频率、用户行为等关键信息。这使得他们难以评估潜在的安全风险，也难以制定有效的安全策略。

因此，对于大多数安全领导者来说，提高企业SaaS层的可见性是一项迫切而重要的任务。他们需要借助技术和工具，比如SaaS管理平台、安全信息和事件管理（SIEM）系统等，来实时监控和分析SaaS服务的使用情况，以便及时发现并应对潜在的安全威胁。

复杂性是第二个难题。如今，大多数组织都在一个复杂的环境中运营，包括多个操作系统、多种多样的SaaS服务以及各式各样的安全工具、仪表板和门户。即便存在控制措施，操作这些技术也需要各种技能和专业知识，以便在IT和安全团队中为多个“所有者”部署分散的保护措施。

成本是第三个难题。保护身份和SaaS关系的成本已经形成了一个庞大的产业，规模高达230亿美元（据Gartner 2022年报告）。大多数组织都拥有冗余的身份提供者、单点登录、多因素认证和目录。

而最让人头疼的是“单点登录税”。如果一家企业决定采用了多个SaaS服务，为提升用户体验和安全性，企业希望员工能够使用SSO功能，只需一次登录就能访问所有这些服务。

然而，许多SaaS供应商会对其SSO版本进行收费。这意味着，除了基本的SaaS订阅费用外，企业还需要为SSO功能支付额外的费用。这些额外的费用就是所谓的“单点登录税”。

在初次引入这些SaaS服务时，企业可能并未充分考虑到这些额外的SSO费用，或者认为这些费用相对较低，可以承受。但随着商业主导的SaaS和现代工作方式的普及，企业可能需要使用更多的SaaS服务，并且更加重视员工的工作效率和安全性。因此，这些额外的SSO费用会不断累积，使得企业的运营成本逐渐上升。

此外，由于不同的SaaS供应商可能有不同的SSO收费标准和实施方式，这也增加了企业的管理复杂性。企业需要与多个供应商进行谈判和协调，以确保SSO功能的顺利实施和费用的合理控制。

实施SaaS已成为数字化转型的重要一环。

它深刻影响着企业的基础架构和员工日常应用。与以往的技术变革不同，现在的转型更多地是由业务需求牵引，而非单纯由IT或安全团队主导。

然而，随着企业数字组织中SaaS服务的迅猛增长，安全团队和领导者们面临着前所未有的挑战。为了应对这些挑战，IT和IT安全领导者们必须采取与现代工作方式相契合的治理和风险管理策略。

全面发现并识别整个企业SaaS层的使用和身份风险变得尤为重要。我们需要深入了解SaaS的使用历史、身份认证方法、薄弱凭据以及潜在的恶意或废弃服务。通过基于身份的发现，安全团队能够实时掌握SaaS的真实使用情况。

掌握了足够的数据后，我们需要对SaaS身份风险进行优先级排序。这需要考虑SaaS的关键能力、当前实施的缓解措施以及用户的操作行为。例如，当启用了SSO等控制措施或记录了使用理由时，风险可能会降低；而当用户使用具有关键控制功能的SaaS时，风险则会相应增加。

为了保障安全，我们需要通过普及强凭据和身份安全来应对这些风险。这意味着我们要将SaaS身份变成攻击者难以攻破的堡垒。让用户能够轻松登录各种SaaS并获得自适应保护，而安全团队则能够在面临SaaS病毒入侵、网络钓鱼活动或高风险服务时迅速作出响应。通过优先保护身份，我们的安全程序能够保持对SaaS变化的适应性和灵活性。

同时，我们必须认识到变化是常态。新的SaaS不断进入企业环境，旧的SaaS被淘汰，员工离职或转岗，这些都可能导致身份和访问权限的变化。因此，我们需要持续监控和检测SaaS环境的变化，确保身份访问和使用始终安全无虞。

最后，为了提升效率和效果，我们需要将SaaS安全管理与现有的控制、技术、人员和程序相结合。通过自动化SaaS安全管理和制定详尽的行动手册，我们可以更好地应对入职、离职、制裁等场景下的身份管理需求。同时，利用集成的策略执行、治理、风险和法规遵从性工具，我们能够更精准地响应SaaS风险洞察。

企业CISO肩负着重大责任。他们需要实施一系列最佳实践，以助力企业实现数字化转型，同时平衡风险管理政策与业务目标。

以下安全最佳实践可参考翻阅：

1. NIST Special Publication 800-53: Security and Privacy Controls for Federal Information Systems and Organizations

2. CSA Security Guidance for Critical Areas of Focus in Cloud Computing

3. CIS Controls for Effective Cyber Defense

4. ISO/IEC 27001: Information Security Management Systems

5. Gartner's Top 10 Security Projects for 2023

6. OWASP Top Ten Project

7. SANS Institute Reading Room

8. Cloud Security Alliance (CSA) Research

9. ENISA (European Union Agency for Cybersecurity) Publications

10. The SaaS Security Checklist by Google Cloud

11. Microsoft Azure Security Best Practices

12. AWS Security Best Practices

13. IBM Cloud Security Best Practices

基于上述安全指导文件，重要的与SaaS安全相关的最佳实践总结如下：

1、企业要主动识别新的SaaS应用。如今的员工追求工作效率，甚至可能自行购买使用SaaS应用。因此，企业需要密切监控员工用于工作的所有设备，无论他们是通过VPN还是ZTNA接入。SaaS安全平台需要能够更全面地持续发现风险，无论员工使用何种设备或接入网络。

2、自动化SaaS业务论证。一旦发现潜在的SaaS风险，企业需要进行风险评估。这要求员工向IT/安全部门报告其业务需求以及使用的数据类型。通过自动化调查，企业能够高效地处理大量的SaaS应用，并根据风险等级采取相应的策略。

3、实施身份和访问管理。大多数企业采用IdP或SSO解决方案，要求员工使用这些方式访问SaaS应用。这样做不仅提高了安全性，还为IT/安全团队提供了集中的可见性和访问控制。尽管有相关政策，但仍有员工使用传统的登录和密码方式。因此，了解并执行IAM方法至关重要，SaaS安全平台应能够提供更全面的数据支持。

4、多因素身份认证。它要求用户除了用户名和密码外，还需提供其他验证信息。虽然大多数SaaS应用支持该手段，但安全团队仍要识别并阻止那些不支持的应用。

5、单点登录（SSO）的集成。它提高了员工的工作效率，减少了泄露风险，并提供了必要的审计跟踪。然而，由于许可成本等因素，SSO的自动添加并不现实。因此，IT/安全团队需要了解哪些SaaS应用被广泛使用且风险较高，并予以提供的数据支持和安全管控。

6、监控账户共享。多个用户共享SaaS账户存在巨大风险，尤其是在员工离职时。因此，企业需要确保在人员变动时账户的安全。

7、删除休眠（僵尸）账户。员工可能拥有众多不再使用的SaaS账户，这些账户可能成为潜在的攻击目标或存储敏感信息。因此，企业需要定期发现并删除这些休眠账户，新型的SaaS安全平台能够在这方面提供有效支持。

8、实施密码策略。当SaaS应用程序不支持公司的IdP或SSO时，用户名和密码往往成为唯一选择。然而，大多数用户习惯在多个应用程序中重复使用密码，且鲜少定期更换，这无疑增加了安全风险。

员工往往难以遵守密码强度和更换准则。因此，须通过安全平台将IdP或SSO策略扩展至所有SaaS应用程序，并统一实施风险管理策略。

在SaaS安全领域，并没有一劳永逸的解决方案。定期检测SaaS应用程序是首要任务，但后续的挑战在于保持一致性并通过自动化减少人为错误。

随着业务环境的复杂性不断增加，安全和风险团队需要借助各种工具和技术来适应新的挑战。传统安全控制基于网络结构，对于身份和SaaS劫持问题显得力不从心，因此迫切需要一种新型安全体系结构模型。

2022年，安全领导者纷纷表达了对整体云安全暴露和风险的担忧。进入2023年，可见性、风险和访问控制依然是首要挑战。

以下业界面对SaaS安全平台的实践探索，蜂拥而出，作为参考指南：

• 云安全态势管理（CSPM）：自动化数据安全解决方案，专注于监控、识别、警报和补救云环境中的合规性风险和错误配置，以实现目标安全状态。

• 云基础架构授权管理（CIEM）：监控和管理用户账户到云基础架构（IaaS）的账户权限，识别不必要的授权并采取补救措施。

• 云工作负载保护平台（CWPP）：以工作负载为中心的解决方案，保护各种应用程序目标，包括物理服务器、虚拟机、容器等。

• 云原生应用程序保护平台（CNAPP）：整合云安全工具的关键功能，涵盖容器安全、基础架构即代码扫描、运行时工作负载保护等，提高效率和协作。

• SaaS安全控制枢纽（SSCP）：确保对SaaS服务的统一可见性和控制，自动化管理SaaS服务，识别恶意或废弃的服务。

• SaaS安全态势管理（SSPM）：持续评估特定SaaS应用程序的安全风险，报告配置故障或暴露问题，提供基准测试功能。

• SaaS交付的身份和访问管理（IAM）：提供单点登录访问控制和治理，实现便捷、安全的用户访问管理，进一步提升SaaS交付的IAM工具的价值。

众所周知，将数据存储于SaaS厂商，难免让人心生疑虑，担心数据的安全。若是钱庄不守信誉，偷盗客户钱财，岂能长久经营？SaaS厂商自律是必要的，否则这个业务做不长久。

但仅靠自律是不够的，我国已有多部法律法规对网络服务商的数据安全保障责任进行了明确规定。SaaS服务商作为提供云端应用程序的企业，需要遵守这些法规政策，确保服务的安全可靠。

1. 《网络安全法》：规定了网络安全的基本要求和相关责任，要求网络运营者保护用户信息安全，防范网络攻击和数据泄露。

2. 《个人信息保护法》：保护个人信息安全，规定了个人信息的收集、使用、存储和保护的要求，明确了个人信息的权利和义务。

3. 《数据安全法》：强调数据安全的重要性，规定了数据的分类、存储、传输和处理要求，要求企业保护数据安全。

4. 《信息安全技术个人信息保护规范》：明确了个人信息的收集和使用规范，要求企业严格遵守个人信息保护的相关规定。

5. 《电子商务法》：规定了电子商务活动的相关规范和责任，要求电子商务平台保障用户信息安全和交易安全。

6. 《云计算安全管理规范》：针对云计算服务提供商和用户，规定了云计算服务的安全管理要求和措施。

7. 《信息系统安全等级保护条例》：规定了信息系统安全等级保护的相关要求，要求各类信息系统根据安全等级采取相应的安全措施。

8. 《互联网信息服务管理办法》：规范了互联网信息服务的管理，要求互联网信息服务提供者保护用户信息安全和网络安全。

9. 《计算机信息系统安全保护条例》：明确了计算机信息系统安全的保护要求和责任，规定了计算机信息系统的安全管理措施。

10. 《电子数据交易安全管理办法》：规定了电子数据交易的安全管理要求，要求电子数据交易平台保障数据安全和隐私保护。

采购SaaS服务已成为市场常态，如前所述，它已深入嵌入企业运营之中，为业务带来便利的同时，也带来了潜在的安全风险。因此，如何管理这些安全风险，特别是在外包过程中，显得尤为关键。

1、明确责任与义务是基础。在签订外包合同时，双方应明确各自在信息安全方面的责任与义务，确保SaaS服务商提供必要的信息安全保护措施，而企业也需承担起自身的信息安全责任。

2、评估服务商的信息安全能力是重要环节。企业应深入了解服务商的安全标准、认证情况以及历史安全记录，确保其具备足够的安全保障能力。

3、数据传输与存储的安全同样不容忽视。企业应要求服务商采用先进的加密技术，确保数据在传输过程中的安全；同时，提供安全稳定的数据存储环境，防止数据泄露或被非法访问。

4、严格的访问控制与权限管理机制也是必不可少的。服务商应确保只有经过授权的人员才能访问敏感数据，并提供审计日志功能，便于企业监控和追溯数据访问情况。

5、为应对可能的数据丢失或损坏风险，数据备份与恢复能力同样重要。服务商应定期备份数据，确保在意外情况下能够迅速恢复数据，保障企业业务的连续性。

6、定期的信息安全检查与评估也是必要的。这有助于及时发现并解决潜在的安全风险，确保服务商的信息安全管理始终符合企业的安全要求。

7、制定应急响应计划是应对信息安全事件的最后防线。该计划应涵盖事件的识别、报告、处置和恢复等各个环节，确保在发生信息安全事件时能够迅速、有效地应对。

在构建SaaS安全性时，服务商需从服务器端、网络、应用程序与软件等多个维度出发，打造全方位的安全防护体系。

通过采用高级加密技术、严格的访问控制机制以及定期的安全审计等手段，为企业的数据安全提供坚实保障。