如何为SaaS用户通信建立安全保障的方法介绍

方石剑
348 阅读10分钟

如何为你的SaaS用户通信建立安全保障

以下是为什么你应该密切关注你的客户通信的安全程度,并对你发送给用户的任何信息实施严格的安全措施。

现代SaaS应用提供商每天都在处理敏感的用户信息,从客户姓名和电子邮件地址到应用程序代码和第三方API机密。因此,网络应用程序坚持最高的安全标准比以往任何时候都重要,这不仅是为了维护其商业信誉和避免经济损失,也是为了保护其用户。

客户通信是SaaS安全中经常被忽视的组成部分之一。在这篇文章中,我们介绍了为什么你应该密切关注你的客户通信的安全性,并对电子邮件、推送通知以及你发送给用户的其他通信实施严格的安全措施。我们还提供了一些建议,让你开始这个安全之旅。

现代SaaS应用程序的安全是什么样子的?

许多现代SaaS应用被托管在一个云平台上,并通过网络接口和API访问。它们也可能依赖于第三方管理的服务,如通过亚马逊网络服务(AWS)提供的服务。这种服务的例子是数据库、计算资源和机器学习模型的部署。在为一个应用程序设计安全控制时,需要考虑所有这些组件。

在传统的企业内部软件部署中,软件供应商只负责开发软件,但不负责托管或信息存储。软件的最终用户(或者说,他们的IT部门)在部署他们购买的软件时,要对他们的数据安全负责。然而,在云中,SaaS供应商要负责。SaaS应用可以成为最终用户应用堆栈的核心部分,因此会处理个人身份信息(PII),如客户和雇员记录、应用代码或第三方机密和API密钥。因此,今天的SaaS服务的专门安全措施对于确保所有这些敏感信息的安全是绝对关键的。

在云中运行的早期SaaS应用需要哪些类型的安全措施?理想情况下,应用程序从一开始就应该以安全的心态来构建。如果你的应用程序依赖于云或其他服务提供商,特别是像AWS这样的巨头,他们会有严格的安全性。但你需要确保你的应用程序和云供应商之间的每一个可能的连接点都受到保护。与这些供应商的责任和数据所有权应明确划分。检查你的云供应商的文档,了解安全的最佳实践,并始终如一地遵循它们。

你需要在你的应用程序和基础设施内实施的措施包括加密,它可以扰乱数据,以便只有那些拥有正确密钥的人才能破译信息,以及代币化,即敏感信息被交换为代币,而被使用。虽然令牌化或加密不能保证完全防止漏洞,但它们可以防止在漏洞发生时任何实际可用的信息被盗。

所有的客户数据也应该被安全地备份起来。数据丢失事件对企业的影响不亚于安全事件,因此在现代SaaS应用中,从备份中恢复信息的能力对成功恢复服务至关重要。

对整个基础设施的持续监控也是必要的,以便对任何事件或安全漏洞作出快速反应,并及早预防问题。

为什么安全对客户通信特别重要

SaaS供应商的客户通信基础设施必须能够访问PII,如姓名、电子邮件和电话号码,以便能够向其用户发送任何有价值的东西并保持他们的参与。由于个人信息可以被恶意行为者非常有效地利用,如果他们设法获得这些信息,用户数据需要得到保护。任何客户数据的泄露,无论是恶意行为者有意造成的,还是SaaS公司本身无意造成的,都会对所有相关方造成灾难性的影响。

各国政府意识到公司通过处理PII而暴露出来的风险,并且已经制定了确保客户数据安全的准则。例如,在欧盟,《通用数据保护条例》(GDPR)于2018年生效。它概述了安全管理用户数据的具体准则,以及如果一个组织不遵守将受到的惩罚。在加州,2018年《加州消费者隐私法》(CCPA)的颁布,是为了让加州居民对企业如何收集和处理客户的个人信息有更多的控制。其严格的规定与GDPR的规定相似。2021年,弗吉尼亚州也效仿严格的隐私法,授权《消费者数据保护法》(CDPA)于2023年生效。

SaaS供应商必须比以往更加重视数据保护和安全,不仅要保护他们的业务和用户的数据,而且要避免因可能被防止的违规行为而受到大规模的处罚。

与通信有关的安全漏洞有多普遍?

安全漏洞的数量和范围每年都在增长,并且在向远程工作转变后大大增加。根据身份盗窃资源中心2022年的一项研究,2021年的数据泄露数量比2020年高出68%,"比以前的历史最高点高出23%"。这是很惊人的。他们的研究中一个有趣的观点是,受害者的数量实际上已经减少了,据称是由于黑客更加关注商业机密和专业数据。

2021年8月,微软Exchange电子邮件服务器被黑客通过安全漏洞加以利用。在微软知道这些漏洞的几个月里,这些漏洞没有得到财产上的修补,而微软自己的客户也没有被正确告知这些漏洞的严重性。另外,在过去几年里,微软的Office 365服务出现了大量的鱼叉式网络钓鱼攻击,以恶意获取机密信息。

最近,在2022年3月18日,Hubspot,一个公司用来管理营销和销售的CRM工具,通过一个员工账户被黑。同月,还有消息称,为企业提供专门用于访问管理的云计算软件Okta,早在两个月前就被一个团体黑掉了Okta将这一漏洞归咎于一家提供客户支持的合同公司,该公司被赋予了对Okta内部信息的访问权。

解决通信安全问题的最佳方式是什么?

在黑客改进他们的方法和云应用变得更加突出的同时,关于最佳安全实践的建议也在不断发展,例如互联网安全中心的Controls v8指南。严格的客户通信安全实践,如通知,尤其重要,因为它们是黑客利用不知情的用户的一个容易的入口。

作为一个通知供应商,我们在安全措施上花了很多心思。在这里,我们分享我们关于一般安全控制的最佳做法的首要建议。

内部审查和程序

我们的第一个建议是在组织内建立内部审查和流程。这可以是安全审查清单的形式。内部审查应包括密码创建和多因素认证的政策,特权访问和一般访问控制的管理,以及新员工的入职流程。更具体地说,审计你的员工在组织内的访问,将这种访问限制在需要知道的基础上,并为任何对特权账户的有限访问设置一个批准工作流程。最后,确保你的员工正在使用多因素认证和创建强密码。

安全审查清单还应该包括评估基础设施的范围,如网络、设备和任何其他与第三方供应商的连接。当你评估时,为问题或漏洞创建事件响应计划,并使用它们来检测基础设施中任何可能的漏洞。确保定期测试这些事件响应计划,以确保它们保持最新状态。

这些步骤应该被纳入你的文件中,作为它们被实际执行的过程证明。有了明确的文件,意味着员工更有可能贯彻执行你的安全协议。

当你为上述项目编制文件和具体的审查程序时,也要争取为公众界定你的隐私政策。在出现漏洞之前,让你的用户了解你所收集和处理的数据以及这对他们意味着什么,可能对他们有帮助。

持续监控

我们的第二个建议是对你的基础设施进行持续监控。如果没有监控,你对安全漏洞的反应可能会太晚。监控不仅使你的开发团队能够在任何问题或警报出现时迅速作出反应,而且还可以提供关于如何改善你的安全控制的见解。随着SaaS应用程序结合了几个不同的供应商或组件,能够可视化你的应用程序的总体健康状况是特别重要的。用户的访问和行为以及管理访问和行为都应该被监控,因为这两者都可能表明SaaS应用的漏洞。目前,市场上有许多安全监控供应商。例如,我们使用Datadog来观察我们应用程序的组件。

自动化

第三,软件自动化可以帮助简化你的安全流程。如果你需要允许临时访问特权账户或信息,审批工作流程可以自动化以提高效率。协作控制也可以自动化,这样员工就不会在无意中分享机密信息。如果你想对你的组织进行数据管理合规标准的认证,如SOC2、ISO 270001或GDPR,你也可以选择由服务提供商如VantaDrata进行自动监控。

外部审计

我们的第四个建议是,如果你想大力加强你的安全控制,请第三方服务机构对你的基础设施和流程进行审计,以发现任何漏洞。你可以雇用一个顾问或使用应用程序漏洞扫描器。例子包括ProbelyTenable。如果你想获得任何合规性认证,这些安全审计可以为你提供最佳实践的主动洞察力,从而提供一个良好的开端。

以安全为前提进行开发

随着数据泄露数量的增加和安全攻击变得更加复杂,将最新的安全实践融入你的应用程序和你的公司组织中是绝对必要的。再也不可能为了专注于发展你的业务而吝啬于安全控制了,特别是当世界各地都颁布了严格的法律和法规,将对不遵守规定的行为进行严厉的处罚和罚款。

正如我们在这篇文章中所回顾的,数据泄露的风险现在包括你的公司声誉、财务损失和进一步的损害,如你的用户的身份被盗。你的客户通信可以成为攻击者利用的关键漏洞来源之一。任何SaaS供应商的发展方向都是把安全放在第一位。

avatar
文章
阅读
粉丝