廣為認(rèn)可的軟件即服務(wù) ( SaaS ) 交付模式存在顯著缺陷，并且正“悄然助長(zhǎng)網(wǎng)絡(luò)攻擊者的行為”，引入的廣泛漏洞可能會(huì)破壞全球經(jīng)濟(jì)體系的穩(wěn)定，該觀點(diǎn)出自一位知名金融服務(wù)公司首席信息安全官 ( CISO )。

在本周致第三方供應(yīng)商的公開(kāi)信中，摩根大通 ( JPMorgan Chase ) CISO Patrick Opet 批評(píng)軟件公司將 SaaS 定為默認(rèn)、甚至往往唯一的軟件交付方式，這使得客戶被迫依賴服務(wù)提供商，并將風(fēng)險(xiǎn)集中到這些組織身上。

他表示，盡管這種模式在效率和創(chuàng)新上具有優(yōu)勢(shì)，但如今已經(jīng)清楚地表明它“放大了任何薄弱環(huán)節(jié)的影響……形成了單點(diǎn)故障，可能引發(fā)災(zāi)難性的系統(tǒng)級(jí)后果”。

Opet 寫道：“在摩根大通 ( JPMorgan Chase )，我們親眼目睹了預(yù)警信號(hào)。在過(guò)去三年中，我們的第三方供應(yīng)商在其環(huán)境中經(jīng)歷了多起安全事件。這些發(fā)生在我們供應(yīng)鏈中的事件迫使我們必須迅速果斷地采取行動(dòng)，包括隔離部分已被攻破的供應(yīng)商，并投入大量資源進(jìn)行威脅緩解?！?

盡管他并未在過(guò)去幾年里眾多供應(yīng)鏈?zhǔn)录悬c(diǎn)名指責(zé)任何供應(yīng)商，Opet 仍然感嘆問(wèn)題似乎不但沒(méi)有改善，反而在惡化，因?yàn)檐浖?yīng)商在多項(xiàng)固有于 SaaS 的問(wèn)題上屢屢失責(zé)，例如未能對(duì)存在漏洞的身份驗(yàn)證 Token 進(jìn)行安全防護(hù)，在未經(jīng)適當(dāng)同意或透明度不足的情況下自行獲得訪問(wèn)客戶系統(tǒng)的特權(quán)，以及將下游第四方供應(yīng)商引入其系統(tǒng)中。

他補(bǔ)充說(shuō)，自動(dòng)化和人工智能 ( AI ) 進(jìn)一步加劇了這些問(wèn)題，而這些漏洞對(duì)對(duì)手來(lái)說(shuō)都是眾所周知的，這一點(diǎn)從中國(guó)威脅行為者戰(zhàn)術(shù)的變化中可以得到印證，他們?cè)絹?lái)越傾向于針對(duì)那些對(duì)客戶群擁有深度訪問(wèn)權(quán)限的組織。

三步計(jì)劃

在公開(kāi)信中，Opet 提出了 SaaS 供應(yīng)商在問(wèn)題變得不可克服之前應(yīng)采取的三個(gè)核心步驟。

他呼吁業(yè)界在設(shè)計(jì)階段就將網(wǎng)絡(luò)安全放在首位，默認(rèn)內(nèi)置或啟用安全功能;對(duì)安全架構(gòu)進(jìn)行現(xiàn)代化改造，以優(yōu)化 SaaS 集成從而有效降低風(fēng)險(xiǎn);并加強(qiáng)合作，共同遏制威脅者對(duì)互聯(lián)系統(tǒng)的濫用行為。

AcceleTrex 聯(lián)合創(chuàng)始人兼首席技術(shù)官 Mark Townsend 表示，Opet 的公開(kāi)信反映出客戶普遍對(duì) IT 供應(yīng)商在確保其產(chǎn)品與服務(wù)安全方面做得不夠感到不滿。

Townsend 說(shuō)：“在追求領(lǐng)先競(jìng)爭(zhēng)對(duì)手的過(guò)程中，多年來(lái)已經(jīng)暴露出不少問(wèn)題。市場(chǎng)上需要找到一種平衡并向外界展示這種平衡。”

“購(gòu)買 SaaS 實(shí)際上就是在購(gòu)買一個(gè)由供應(yīng)商部署的系統(tǒng)，你需要將數(shù)據(jù)托付給他們。許多供應(yīng)商會(huì)提供年度滲透測(cè)試報(bào)告，并展示其與 SOC2 等標(biāo)準(zhǔn)的一致性，但正如作者所指出的，在這一年內(nèi)，這些應(yīng)用及其支持的基礎(chǔ)設(shè)施中會(huì)發(fā)生很多事情?！?

“這些系統(tǒng)的安全性較為不透明，供應(yīng)商與消費(fèi)者之間需要有更多關(guān)于如何保障數(shù)據(jù)安全的透明溝通?！?

Townsend 補(bǔ)充道：“如果不給供應(yīng)商留出退路，就不能過(guò)于苛刻。這種開(kāi)放的討論能激發(fā)建設(shè)性對(duì)話，而我認(rèn)為這是既必要又重要的?！?

Reversec 的 Donato Capitella 和 Nick Jones，分別擔(dān)任首席咨詢師和研究負(fù)責(zé)人，他們?cè)谕ㄟ^(guò)電子郵件向 Computer Weekly 發(fā)表評(píng)論時(shí)表示，Opet 正確地指出了行業(yè)在采用 SaaS 時(shí)所面臨的關(guān)鍵挑戰(zhàn)，尤其是風(fēng)險(xiǎn)集中于少數(shù)大供應(yīng)商以及可見(jiàn)性降低，導(dǎo)致客戶在主動(dòng)檢測(cè)和響應(yīng)事件時(shí)更加困難。

他們向 Computer Weekly 表示：“在實(shí)際操作中，SaaS 應(yīng)用存在兩個(gè)非常常見(jiàn)且未能提供足夠安全措施的問(wèn)題。其一是將單點(diǎn)登錄功能設(shè)在需要額外費(fèi)用或‘企業(yè)’價(jià)位計(jì)劃之后，迫使用戶在足夠的身份安全和成本之間做出妥協(xié)?！?

“其二是全面且高保真的審計(jì)日志記錄，這通常也被限制在昂貴的計(jì)劃或附加組件之中(如果有的話)。這些限制阻礙了組織預(yù)防、檢測(cè)和應(yīng)對(duì)針對(duì)其 SaaS 資產(chǎn)的攻擊?！?

Capitella 和 Jones 補(bǔ)充道：“我們希望 SaaS 供應(yīng)商能將這封公開(kāi)信視為一場(chǎng)集結(jié)號(hào)，努力為消費(fèi)者提供默認(rèn)安全、經(jīng)過(guò)強(qiáng)化的體驗(yàn)?！?