ความเสี่ยงความปลอดภัยทุกบริษัท ทีมรักษาความปลอดภัยมีผลิตภัณฑ์ที่ช่วยให้ค้นพบและจัดการแอป SaaS ที่พนักงานใช้อยู่ อย่างไรก็ตาม ปัญหาคือผลิตภัณฑ์เหล่านี้ยังคงใช้สมมติฐานที่ล้าสมัยว่าบริษัทควบคุมอุปกรณ์ปลายทาง การเข้าถึงเครือข่าย หรือวิธีการตรวจสอบความถูกต้อง
ซีไอโอจำนวนมากขึ้นเรื่อย ๆ เริ่มยอมรับไอทีที่เป็นผู้นำทางธุรกิจและสิ่งนี้มีนัยยะสำคัญต่อการรักษาความปลอดภัย เนื่องจาก SaaS ทำให้การประเมิน การนำไปใช้งาน และการเป็นเจ้าของเทคโนโลยีในบริษัทต่างๆ เป็นประชาธิปไตย ผู้นำธุรกิจจึงใช้วิธีลงมือทำด้วยตัวเอง เพราะช่วยให้ดำเนินการได้รวดเร็วขึ้นและลดระยะเวลาของโครงการ ฝ่ายไอทีได้ประโยชน์เนื่องจากไปป์ไลน์โครงการลดลง และพวกเขาสามารถโฟกัสทรัพยากรไปที่โครงการที่มีแต่พวกเขาเท่านั้นที่ทำได้ การย้ายออกจากการซื้อเทคโนโลยีแบบรวมศูนย์ทำลายวิธีที่บริษัทจนถึงตอนนี้จัดการความเสี่ยงด้านความปลอดภัยและโปรแกรมการปฏิบัติตามกฎระเบียบที่เกี่ยวข้องกับการซื้อเทคโนโลยี
ทีมรักษาความปลอดภัยมีผลิตภัณฑ์ที่ช่วยให้ค้นพบและจัดการแอป SaaS ที่พนักงานใช้อยู่ อย่างไรก็ตาม ปัญหาคือผลิตภัณฑ์เหล่านี้ยังคงใช้สมมติฐานที่ล้าสมัยว่าบริษัทควบคุมอุปกรณ์ปลายทาง การเข้าถึงเครือข่าย หรือวิธีการตรวจสอบความถูกต้อง ผลิตภัณฑ์แบบลงชื่อเข้าใช้ครั้งเดียว (SSO)เป็นตัวอย่างที่ดีที่บริษัทควบคุมวิธีการรับรองความถูกต้อง แต่ด้วยเหตุผลหลายประการSSO จึงไม่เพียงพอสำหรับแอปหลายร้อยแอปที่พนักงานใช้ ซึ่งหลายๆ แอปอาจมีผู้ใช้เพียงไม่กี่คน ผลิตภัณฑ์นายหน้าความปลอดภัยการเข้าถึงระบบคลาวด์ (CASB) ยังใช้กันทั่วไป แต่CASB มีข้อจำกัดที่สำคัญและไม่ได้ออกแบบมาเพื่อควบคุมการ แพร่กระจาย ของ SaaS
สิ่งที่เห็นได้ชัดคือแนวทางของอุตสาหกรรมในการรักษาความปลอดภัย SaaS จำเป็นต้องได้รับการนิยามใหม่ ในการรักษาความปลอดภัย SaaS อย่างถูกต้องนั้นจำเป็นต้องมีการเปลี่ยนแปลงทางสถาปัตยกรรม ซึ่งจะมีระนาบควบคุมความปลอดภัยของ SaaSที่ค้นหา จัดลำดับความสำคัญ รักษาความปลอดภัย และควบคุมการรักษาความปลอดภัย การใช้กลยุทธ์ด้วยวิธีนี้สามารถช่วยให้บริษัทต่างๆ จัดการกับความเสี่ยง 5 ประการต่อไปนี้ที่ทุกบริษัทจำเป็นต้องจัดการ
1. การรับรองความถูกต้องโดยใช้ข้อมูลประจำตัวของแอปในเครื่อง
เมื่อผู้ใช้สร้างบัญชีสำหรับแอป SaaS บางครั้งพวกเขามีตัวเลือกที่จะใช้และผู้ให้บริการข้อมูลประจำตัว (IdP) เช่น Google หรือ Microsoft AzureAD หรือสร้างชื่อผู้ใช้และรหัสผ่านของตนเอง ผู้ใช้หลายคนเลือกที่จะทำอย่างหลัง ซึ่งหมายความว่าพนักงานเท่านั้นที่สามารถเข้าถึงบัญชีได้ ผลิตภัณฑ์ SSO และ IdP ไม่สามารถลดความเสี่ยงนี้ได้เนื่องจากไม่ได้ใช้งาน SSO ต้องการการผสานรวมกับแอปพลิเคชัน SaaS และวิธีการตรวจสอบสิทธิ์ IdP เป็นไปตามความสมัครใจ แม้ว่านโยบายอย่างเป็นทางการของบริษัทอาจกำหนดให้ปฏิบัติตาม แต่มีแนวโน้มต่ำมาก
2. การใช้งาน SaaS แบบ Zero Day
ประมาณการว่ามีบริษัท SaaS ประมาณ 25,000 แห่งและในปี 2564 มีบริษัท SaaS 4,459 แห่งที่ทำข้อตกลงด้วยเงินลงทุน 9.4 หมื่นล้านดอลลาร์ ซึ่งหมายความว่ามีบริษัท SaaS ใหม่หลายพันแห่งถูกสร้างขึ้นทุกปี ผลิตภัณฑ์รักษาความปลอดภัย SaaS จำนวนมากพึ่งพาแค็ตตาล็อก SaaS ซึ่งจะเห็นได้ชัดเจนเมื่อมีการสร้างแอปใหม่หลายร้อยรายการทุกเดือน
3. การเข้าถึง SaaS จากอุปกรณ์ที่ไม่มีการจัดการ
SaaS สามารถเข้าถึงได้จากทุกที่จากทุกอุปกรณ์ ซึ่งรวมถึงอุปกรณ์ที่ไม่มีการจัดการหรืออุปกรณ์ส่วนตัว พนักงานมองว่าสิ่งนี้เป็นข้อได้เปรียบ เนื่องจากพวกเขาไม่มีแล็ปท็อปสำหรับทำงานตลอดเวลา และพวกเขาสามารถทำงานได้จากทุกที่ ทีมรักษาความปลอดภัยมองว่าสิ่งนี้เป็นความเสี่ยง เนื่องจากข้อมูลของบริษัทที่เข้าถึงได้จากจุดสิ้นสุดที่ไม่มีการจัดการอาจส่งผลให้เกิดการละเมิดหากจุดสิ้นสุดถูกบุกรุก การใช้ SSO หรือ IdP ช่วยให้มองเห็นประเภทอุปกรณ์และตำแหน่งที่ตั้งได้บ้าง อย่างไรก็ตาม ผลิตภัณฑ์เหล่านั้นไม่มีความครอบคลุมที่จำเป็นในการแก้ปัญหาความเสี่ยงของ SaaS ที่นำโดยธุรกิจซึ่งใช้งานบนอุปกรณ์ที่ไม่มีการจัดการ
4. เพิ่มแอป SaaS ที่มีความเสี่ยงสูงใน SSO
SSO สามารถเป็นโซลูชันที่มีประสิทธิภาพสำหรับแอป SaaS หลักที่จำเป็นต้องตรวจสอบและควบคุมการเข้าถึงอย่างใกล้ชิด บริษัทโดยเฉลี่ยที่มีพนักงาน 1,000 คนใช้แอป SaaS มากกว่า150 แอป แอปบางแอปไม่จำเป็นต้องอยู่ใน SSO แต่แอปที่มีความเสี่ยงสูงสุดควรเพิ่มและควบคุมโดยผลิตภัณฑ์ SSO ปัจจัยที่ต้องพิจารณาเมื่อจัดลำดับความสำคัญว่าแอป SaaS สำหรับ SSO ได้แก่:
· จำนวนพนักงานทั้งหมดที่ใช้แอป
· การเติบโตของการยอมรับของผู้ใช้
· จำนวนแผนกที่ใช้
· การรับรองความถูกต้องโดยใช้ข้อมูลประจำตัวของแอปในเครื่อง
· ประเภทของข้อมูลที่แอปใช้
5. ความตระหนักของพนักงานเกี่ยวกับนโยบายความปลอดภัย
พนักงานส่วนใหญ่ต้องผ่านการว่าจ้างใหม่บางประเภทซึ่งอาจรวมถึงการฝึกอบรมนโยบายความปลอดภัยหรือไม่ก็ได้ นโยบายของบริษัทส่วนใหญ่กำหนดให้พนักงานแจ้งฝ่ายไอทีเมื่อลงชื่อสมัครใช้แอป SaaS ใหม่และบันทึกข้อมูลผู้ขาย สิ่งนี้แทบจะไม่เกิดขึ้นเลย เพราะการใช้ SaaS ใหม่เป็นเพียงวิธีการทำงานของผู้คนในทุกวันนี้ ถามพนักงานทุกคน รวมถึงผู้เชี่ยวชาญด้านความปลอดภัย ว่าพวกเขาสามารถทำงานได้โดยใช้เฉพาะแอปที่บริษัทอนุญาตอย่างเป็นทางการหรือไม่ และคำตอบเกือบจะแน่นอนว่าเป็น “ไม่”
เหตุใด IT SaaS ที่นำโดยธุรกิจจึงมีความเสี่ยง
SaaS ที่ฝ่ายไอทีไม่รู้จักอาจเป็นความเสี่ยงอย่างมาก โดยเฉพาะอย่างยิ่งหากมีการใช้ข้อมูลของบริษัทในแอป หากไม่ติดตามหรือลดความเสี่ยงนี้ บริษัทจะเสี่ยงต่อการไม่ปฏิบัติตามนโยบายของบริษัทเอง สถานการณ์ใดๆ ด้านล่างนี้อาจละเมิดนโยบายของบริษัทส่วนใหญ่
· ฝ่ายไอทีไม่ทราบว่ามีการใช้ข้อมูลของบริษัทในแอป SaaS ซึ่งผู้ให้บริการอาจไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัยของบริษัท
· หากพนักงานต้องลาออก และพวกเขายังสามารถเข้าถึงแอป SaaS และข้อมูลใดๆ ที่จัดเก็บหรือใช้งานโดยแอป
· ข้อมูลประจำตัวของแอป SaaS ถูกขโมย และผู้ใช้ทุกคนต้องรีเซ็ตรหัสผ่านของตน แต่ทีมรักษาความปลอดภัยไม่สามารถระบุผู้ใช้ทั้งหมดของแอปได้
นิยามใหม่ของการรักษาความปลอดภัย SaaS
การรักษาความปลอดภัย SaaS เป็นหนึ่งในความท้าทายเร่งด่วนที่สุดที่ CISO กำลังเผชิญอยู่ในปัจจุบัน ทุกวัน พนักงานสมัครใช้งาน SaaS มากขึ้น ทำให้บริษัทมีความเสี่ยงมากขึ้น น่าเสียดายที่ความเสี่ยงนี้ส่วนใหญ่มองไม่เห็นและเพิ่มขึ้นเรื่อย ๆ โดยไม่ได้ลดลง วิธีแก้ปัญหาไม่ใช่การปิดกั้นสิ่งแวดล้อม แต่สนับสนุนธุรกิจด้วยธรรมาภิบาลและการป้องกัน ในการทำเช่นนี้ บริษัทจำเป็นต้องปรับปรุงสถาปัตยกรรมความปลอดภัยให้ทันสมัยด้วยเลเยอร์ที่จัดการกับความท้าทายเฉพาะของการรักษาความปลอดภัย SaaS
เครื่องบินควบคุมความปลอดภัยของ Grip SaaS ทำเช่นนั้น เป็นโซลูชันที่สร้างขึ้นตามวัตถุประสงค์ซึ่งใช้ประโยชน์จากโครงสร้างพื้นฐานที่มีอยู่และได้รับการออกแบบมาเพื่อลดความซับซ้อนของการดำเนินงานด้านความปลอดภัยของ SaaS ด้วยระบบอัตโนมัติในตัวและนอกกรอบที่เน้นการจัดการข้อมูลประจำตัวที่ทำงานบนอุปกรณ์ที่มีการจัดการหรือไม่มีการจัดการและแอปพลิเคชัน SaaS ทั้งหมด ด้วยระบบอัตโนมัติที่เป็นแกนหลัก ส่วนควบคุมความปลอดภัย SaaS จะประสานงานและดำเนินการกระบวนการรักษาความปลอดภัยโดยอัตโนมัติ และช่วยให้ทีมรักษาความปลอดภัยปรับขนาด ลดภาระงาน และบังคับใช้นโยบายการจัดการความเสี่ยงในระบบที่แตกต่างกัน Grip นำเสนอแพลตฟอร์มแบบ end-to-end ที่ระบุเหตุการณ์ มอบตัวเลือกการแก้ไข และทำให้การดำเนินการเป็นแบบอัตโนมัติ ตั้งแต่การแจ้งเตือนจนถึงผลลัพธ์ด้านความปลอดภัย
Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
