71%組織經歷SaaS資安事件  SEC祭新法規成資安長一大挑戰

編譯／Cynthia

美國證券交易委員會（United States Securities and Exchange Commission，SEC）宣布針對軟體即服務（Software as a Service，SaaS）的新資安法規，對於上市企業將產生深遠的影響。這項新法規要求所有上市公司，必須對存放在SaaS系統中的資料及相連的第三和第四方應用程式進行資安透明度和備戰措施，SEC視此為一項極為重要的項目。

SaaS安全現實與感知

組織自認SaaS安全成熟度高，但實際上71％的組織曾經歷SaaS資安事件，顯示感知與現實差距極大。SEC對SaaS資安感到擔憂，特別強調資安事件的明顯增加，而全球組織使用130個SaaS應用程式的普及性更加放大這個風險。

更多新聞：降低SaaS安全風險的5種方法

SaaS到SaaS連接風險的重要性

除了SaaS本身的風險外，SaaS到SaaS的連接也變得相當重要。這樣的連接形成未經批准的IT解決方案，讓組織在提高生產力的同時，面臨治理挑戰和隱藏的風險。這樣的複雜連接，例如CircleCI的違規事件，使得與之相連的企業都可能面臨風險。SEC強調資料保護的重要性，將「資料追蹤」視為一項新的重要趨勢，取代以往的「金流追蹤」的概念。

SEC新法規的挑戰和機會

SEC新法規除了強調資訊公開的要求外，更加明確地指定預防措施。資安長（CISO）需要描述對資安威脅風險的評估和管理，同時分享企業高層和管理層在資安風險和威脅監控中的角色。這不僅僅是SEC法規的推動，更是鼓勵SaaS客戶提升資安標準，以增進投資者的信心，確保法令遵從，同時促進積極的資安文化。

應對SEC法規的關鍵

在SaaS領域，最強大的安全措施就是建立一道堅固而無法突破的防線。評估和管理每個SaaS系統以及SaaS到SaaS的連接，以降低對敏感資料的風險，這不僅是法定要求，更是避免資料違規和減輕損害影響的必要手段。引入SaaS 安全狀態管理（SSPM）工具是一個明智的選擇，可以輕鬆減輕手動評估SaaS資安風險的負擔，同時監控設定和權限的變動，以確保SaaS的安全狀態保持在正確的軌跡上。

SaaS安全性升級不可或缺

SEC的新法規或許尚未揭曉執行方式，但提升SaaS安全性仍然是保護市場和投資者的核心。因此，資安長和團隊應該善用SSPM工具，簡化SaaS安全評估和威脅檢測，確保資料不受侵害，同時促進組織資安文化的主動建構。在SaaS領域，積極的資安管理是保護投資者信心的最佳策略，防守的同時不失攻擊的能動性。

資料來源：The Hacker News

瀏覽 947 次