廣為認可的軟件即服務 ( SaaS ) 交付模式存在顯著缺陷,并且正“悄然助長網絡攻擊者的行為”����,引入的廣泛漏洞可能會破壞全球經濟體系的穩定�����,該觀點出自一位知名金融服務公司首席信息安全官 ( CISO )。
在本周致第三方供應商的公開信中,摩根大通 ( JPMorgan Chase ) CISO Patrick Opet 批評軟件公司將 SaaS 定為默認�����、甚至往往唯一的軟件交付方式����,這使得客戶被迫依賴服務提供商,并將風險集中到這些組織身上��。
他表示�����,盡管這種模式在效率和創新上具有優勢��,但如今已經清楚地表明它“放大了任何薄弱環節的影響……形成了單點故障�����,可能引發災難性的系統級后果”���。
Opet 寫道:“在摩根大通 ( JPMorgan Chase )���,我們親眼目睹了預警信號���。在過去三年中�����,我們的第三方供應商在其環境中經歷了多起安全事件����。這些發生在我們供應鏈中的事件迫使我們必須迅速果斷地采取行動��,包括隔離部分已被攻破的供應商,并投入大量資源進行威脅緩解�����?!?
盡管他并未在過去幾年里眾多供應鏈事件中點名指責任何供應商,Opet 仍然感嘆問題似乎不但沒有改善���,反而在惡化,因為軟件供應商在多項固有于 SaaS 的問題上屢屢失責�,例如未能對存在漏洞的身份驗證 Token 進行安全防護�,在未經適當同意或透明度不足的情況下自行獲得訪問客戶系統的特權,以及將下游第四方供應商引入其系統中����。
他補充說�,自動化和人工智能 ( AI ) 進一步加劇了這些問題���,而這些漏洞對對手來說都是眾所周知的����,這一點從中國威脅行為者戰術的變化中可以得到印證,他們越來越傾向于針對那些對客戶群擁有深度訪問權限的組織��。
三步計劃
在公開信中��,Opet 提出了 SaaS 供應商在問題變得不可克服之前應采取的三個核心步驟��。
他呼吁業界在設計階段就將網絡安全放在首位,默認內置或啟用安全功能;對安全架構進行現代化改造��,以優化 SaaS 集成從而有效降低風險;并加強合作��,共同遏制威脅者對互聯系統的濫用行為����。
AcceleTrex 聯合創始人兼首席技術官 Mark Townsend 表示�,Opet 的公開信反映出客戶普遍對 IT 供應商在確保其產品與服務安全方面做得不夠感到不滿����。
Townsend 說:“在追求領先競爭對手的過程中,多年來已經暴露出不少問題����。市場上需要找到一種平衡并向外界展示這種平衡���?����!?
“購買 SaaS 實際上就是在購買一個由供應商部署的系統��,你需要將數據托付給他們。許多供應商會提供年度滲透測試報告����,并展示其與 SOC2 等標準的一致性�����,但正如作者所指出的,在這一年內�����,這些應用及其支持的基礎設施中會發生很多事情�。”
“這些系統的安全性較為不透明,供應商與消費者之間需要有更多關于如何保障數據安全的透明溝通�?����!?
Townsend 補充道:“如果不給供應商留出退路�����,就不能過于苛刻�����。這種開放的討論能激發建設性對話,而我認為這是既必要又重要的。”
Reversec 的 Donato Capitella 和 Nick Jones��,分別擔任首席咨詢師和研究負責人���,他們在通過電子郵件向 Computer Weekly 發表評論時表示����,Opet 正確地指出了行業在采用 SaaS 時所面臨的關鍵挑戰,尤其是風險集中于少數大供應商以及可見性降低,導致客戶在主動檢測和響應事件時更加困難���。
他們向 Computer Weekly 表示:“在實際操作中,SaaS 應用存在兩個非常常見且未能提供足夠安全措施的問題�����。其一是將單點登錄功能設在需要額外費用或‘企業’價位計劃之后���,迫使用戶在足夠的身份安全和成本之間做出妥協���?�!?
“其二是全面且高保真的審計日志記錄����,這通常也被限制在昂貴的計劃或附加組件之中(如果有的話)����。這些限制阻礙了組織預防�、檢測和應對針對其 SaaS 資產的攻擊?���!?
Capitella 和 Jones 補充道:“我們希望 SaaS 供應商能將這封公開信視為一場集結號���,努力為消費者提供默認安全�����、經過強化的體驗����。”
