SaaS整合的安全隐患：企业亟需关注

主要观点

• 平均每个组织拥有917个SaaS到SaaS的第三方整合，近48%闲置未用。
• 废弃的整合容易成为供应链攻击的目标。
• 企业需要加强对这些整合的管理，特别是API和OAuth令牌的风险。

根据和的最新报告，平均每个组织拥有917个SaaS到SaaS的第三方整合，其中接近48%这些整合处于闲置状态，主要原因是未能在成功的概念验证过程后进行妥善的撤离。这样的情况敲响了警钟，让企业必须对其数据安全保持警惕。

研究人员指出，这些SaaS之间的第三方整合，对于核心业务应用（如Microsoft 365、GoogleWorkspace和Salesforce）以及其中的关键业务数据，可能会开放供应链攻击的风险。

Valence Security的联合创始人兼首席执行官YoniShohet表示，无论是安全专业人士还是SaaS安全供应商，在应对这一威胁方面的努力都显得滞后。他表示：“接近50%的SaaS对SaaS的第三方整合被遗弃，这应该提醒们。尽管对核心SaaS应用的人工访问可能是安全的，但对于那些未经管理的非人类身份，仍然可以访问‘王国之钥’。这些API和OAuth令牌显著增加了SaaS供应链攻击的风险。”

其他调查的主要发现包括：

关键数据 | 统计
—|—
无合适的第三方风险管理流程 | 53%
认为SaaS安全重要性中等或高 | 91%
对当前SaaS网络可视性和风险减少解决方案不满 | 86%

nVisium的资深网络安全顾问JonGaines指出，SaaS已经成为超过十年的热门技术，未来也没有放缓的迹象。他强调，SaaS能够将维护和责任转移到另一个组织，这是其竞争优势所在。但他也警告道：“然而，供应链攻击仍然会对您的组织造成损害。例如，一键式SaaS的可用性（如OAuth）使授予访问权限变得轻而易举。随著技术债务的增加，移除这些访问权限的必要性可能就不再那么简单了。因此，这可能成为一个巨大的漏洞，并成为攻击者横向渗透信息系统的途径。”

持续的安全漏洞提醒企业必须加强对SaaS整合的管理，以保护其敏感数据和业务运营的安全。