根据AppOmni联合创始人兼首席执行官Brendan O'Connor的说法,基于云的软件即服务(SaaS)应用程序中存在潜在的安全漏洞,可能会使企业面临他们不了解的风险。
AppOmni于4月3日正式脱颖而出,带来了一种新模式,可以保护云SaaS应用程序免受潜在的数据丢失和漏洞攻击。由于Salesforce的CSO帮助维持信任,O'Connor对SaaS世界并不陌生。AppOmni的平台在API级别上与SaaS平台挂钩,从而深入了解谁在询问数据以及数据的使用方式。
“我从Salesforce和ServiceNow的时间看到的是,SaaS公司通常会向业务部门销售产品,而安全团队并不太了解SaaS安全的工作原理,”O'Connor告诉eWEEK。“而且业务线往往是管理所有安全控制和配置。
O'Conner表示,SaaS平台本身通常是安全的,但风险来自用户以及组织如何配置自己的服务。增加SaaS安全性的复杂性是每个应用程序都有自己的访问数据的方式,自己的API和模式集,安全控制和权限。O'Connor指出,SaaS安全模型并不像人们习惯的Linux,Windows或Mac安全模型。
“我们已经确定了数千个无意中通过云API泄露数据的网站,而且这并不是SaaS提供商的失败,”奥康纳说。“这是一个过度使用公开暴露的API的人。”
AppOmni如何运作
要正确理解SaaS应用程序的运行情况,需要了解启用它的云API。应用程序编程接口(API)是核心计算结构,它使应用程序能够扩展到各种服务和具有不同功能的接口。
“我们深刻理解云API,以及SaaS应用程序的底层配置设置和架构,”O'Connor说。“我们建立了360度访问权限模型,我们可以最终确定地回答,谁可以访问哪些数据,以及为什么他们可以访问这些数据。”
使用AppOmni,SaaS提供商的API既可以作为经过身份验证的用户进行扫描,也可以仅通过公共互联网进行扫描,以便深入了解可用的数据。O'Connor说,理解API安全性与组织在应用程序的表示层通过自己的浏览器界面看到的有些不同。
“有人可能会混淆他们在表示层看到的与API或数据访问层实际发生的事情,”他说。“他们可能只在屏幕上看到五个字段,但实际上,该API拥有50个字段的特权,而且它们都是可读写的。”
O'Connor解释说,传统的Web应用程序漏洞扫描程序会查看表示层,例如SQL注入和跨站点脚本(XSS)等缺陷,但这不是AppOmni所看到的。在他看来,大多数SaaS提供商已经做好了防范Web应用层问题的工作。
“我们不会关注网络或HTML或JavaScript层中的漏洞,”他说。“我们正在考虑在API或数据访问层识别错误配置。”
SaaS应用程序及其用户不是静态实体,这就是AppOmni系统采用连续监视方法的原因。奥康纳表示,AppOmni始终处于开放状态,希望找出与公共互联网相关的政策和数据泄露的偏差。他解释说,该系统可以与组织为安全起见的现有工作流程集成,包括使用安全信息和事件管理(SIEM)平台。AppOmni还集成了控件映射功能,可帮助组织将其SaaS使用与不同法规遵从工作所需的控制相结合。
“我们认为SaaS是企业软件当前和未来的首选交付模式,我们希望帮助客户充分利用软件即服务,并保持他们期望的安全级别,”O'Connor说过。
