SaaS安全

许多SaaS公司最初专注于缩短收入的时间 - 这通常会在背部燃烧器上留下信息安全。即使终于解决了安全性,它通常通常是必要/紧急的基础而不是战略性的。听起来有点熟?

作为SaaS提供商,您的客户希望了解他们的数据与您有安全。获得前沿的信任可能是您需要关闭更多交易所需的竞争优势。

多年来,Pivot Point Security已经使用了100多个SaaS公司,帮助他们定义和实现他们的信息安全目标。以下是我们从SaaS公司听到的一些常见问题的答案,基于我们所学到的:

SaaS业务方法应该如何信息安全?

SaaS公司应该从根本上渴望尽早将安全性“左” - 发生烘焙保障进入开发生命周期。这种外观如何取决于您的发展方法。但是,尽可能地推动安全性,因此可以证明是一种非常有效和高效的方式来构建,部署和改进安全应用程序。

例如,如果您订阅了敏捷开发方法,则您将具有集成到您的每个故事中的安全性,这是敏捷Sprint的一部分。验证安全性将集成到您的管道和迭代过程中;例如,以自动代码扫描的形式作为每次迭代的一部分。

您的开发人员有必要的安全培训和意识也是关键。实用选项是将开发方法与开放,可信的框架或指导保持一致,例如OWASK提供。

为了使开发人员意识到基本安全问题,我们推荐OWASP前10名作为一个良好的起点。除此之外,OWASP应用安全验证标准(余值)提供更严格和主动的开发和测试指导。问题所在OWASP打算解决ASVWeb应用程序测试中缺乏流程成熟。作为测试Web应用程序的标准,它提供了三个级别,因此您可以将您的需求与您的申请风险概况一致。

最终关键建议是在定期基础上获得一定程度的独立,第三方评估和证明您的成功。这为客户,投资者,监管机构和管理和平提供,也可以确保您认为您的位置。这两种结果都是赋予的业务 - 鉴于信任是成长为SaaS的一切。

是什么让SaaS信息安全独特?

SaaS安全的一个独特方面是您需要保护的软件也是您的产品,安全问题是使用您的产品或投资贵公司的最大障碍。这种情况有助于获得最佳的第三方安全认证;例如,ISO 27001证书或SOC 2类型2报告。

理想情况下,这种证明也将伴随着OWASP ASVS级别1或2级评估,以使其意味着更多。事实上,首先关注SaaS应用程序之前,它经常有意义,在包装安全控制和进程(如ISO 27001 ISMS)周围。

SaaS安全的另一个独特方面是,每个SaaS公司,根据定义,处理客户端数据。如果该数据包括个人信息(PI),个人健康信息(PHI),高业务影响数据等,您的业务对高冲击网络安全事件的风险明显更大 - 这意味着您需要设置安全栏更高。

萨斯公司需要提升其安全的另一个原因是客户对您竞争更大的压力来迭代您的解决方案,也许每天甚至多次甚至多次。这本质地推动了需要更大的形式,确保安全过程是强大的,并且遵循。

如何评估我的SaaS的安全性?

如何评估SaaS应用程序和相关基础设施的安全性是潜在客户和投资者如何看待与您开展业务的可取性的中央因素。能够满足安全要求,并证明合规是您扩展业务和推动增长的能力的核心。

众所周知和广泛尊重的第三方安全证明形式,如OWASP ASVS评估,a 冠冕对齐渗透测试或ISO 27001证书(特别是ISO 27701.privacy extension如果您处理PI)是建立信任的所有强度保证。

信任是润滑剂,通过加速SaaS商业交易,包括客户合同和风险资金。

哪种安全证明是我的萨斯的权利?

信任可以制作或打破SaaS提供商。安全静止萨斯采用的顶级障碍,您的安全姿势是否使前景信心他们可以信任您的数据?

如果是,您有一个主要的竞争优势。如果不是,你的业务是(潜在的)危险。

激励信任的好方法是展示你已经获得了它。从认可的第三方获得广泛尊重的独立安全认证的好比如何更好?

您应该选择哪种信息?这可能是一个棘手的问题,特别是如果您听到不同监管机构,客户和其他利益相关者的不同合规性要求。

根据我们支持各种行业的100多个萨斯提供商的经验,这是我们的顶级选择,按顺序:

  1. ISO 27001.-国际 ”黄金标准“在跨行业的信息安全,收入(和保持)ISO 27001.证书需要正式审计,年度监测审计。因为它专注于管理系统,而不是特定的控制,通常认为SaaS的独立安全证明的最强和最全面的单一形式。
  2. SoC 2类型2 - 对于主要在美国经营的萨斯公司,aSoC 2类型2报告是AN.优秀的证明选项这为您的利益相关者以详细报告的形式提供了关于您的安全态度的全面保证,这些报告的形式可以包括“信托原则”,除了安全性之外的隐私,可用性,机密性和/或处理完整性。
  3. OWASP ASVS. - 专为SaaS启动,它可以更有意义,可以在Web应用程序上关注初始安全工作并稍后担心您的基础架构。在这方面,OWASP ASVS为您提供开放式,标准化,全面和可调框架,用于测试,硬化和验证您的Web应用程序安全性。 OWASP不提供对ASV的正式证明或认证。但它确实定义了一系列“级别”和覆盖区域,以适应任何SaaS用例。此外,您仍然可以利用像Pivot Point Security这样独立的实体,以将您的“一致性”记录到ASVS范围。
  4. CSA星 - 在2013年被云安全联盟的曝光,CSA星证明计划侧重于“标准透明度,严格审计和协调的关键原则”。它提供了三个保证级别:自我评估,独立审计和“不断审计”(仍在开发)。 CSA Star的目的是扩展ISO 27001对云环境的规范指导。

有关决定ISO 27001,SOC 2或两者的更多详细信息,点击这里查看我们的电子指南。

SaaS的共同责任模型是什么?

共享责任模型只是一种确认,在任何云部署方案中,每个方逻辑上都有一定的安全性和合规性义务。

领先的云服务提供商(CSP)喜欢亚马逊微软做了一份很好的工作,说明了云与安全“在”云中的安全性如何。最简单地,CSP负责云基础架构的安全性,而最终客户负责保护其存储在云中的数据。

在SaaS的情况下,依赖于CSP的服务但必须确保自己的解决方案,您的云服务提供商(CSP)之间存在三种“共享责任三角形”(假设您外包托管)和你的萨斯。

简单来说:

  • 您的CSP负责保护您的服务/解决方案运行的云基础架构,包括虚拟操作系统,虚拟化/容器图层和物理/设施安全性。
  • 您的客户负责保护其数据,保护它们的配置和维护身份和访问控制,以管理其用户和端点设备以防止未经授权的访问。
  • 您负责保护您的SaaS平台,应用程序,“内部”网络和相关的虚拟和物理基础架构以及您自己的数据。如何配置和使用CSP的内置安全工具(例如,Web应用程序防火墙,加密)也最终是您的责任。

在共享责任模型中,责任和控制是同一硬币的两侧。控制被抽象的地方,负责人是责任。在何处,SaaS提供商负责,您可以使用权力和控制来创建强大的安全姿势。

从这个角度来看,共享责任模型不是责任,而是一个机会 - 将业务区分从竞争对手,使您的利益相关者能够安心,并确保您能够有效阻止威胁,修复问题并尽量减少攻击对保护品牌的影响。声誉和商业的可行性。

最高的SaaS安全风险是什么?

SaaS公司存储很多客户数据,这使其成为网络犯罪目标。添加至于重点是时候收入到数据保护,很容易看出为什么SaaS面临重大的安全风险。

以下是日益增长的SaaS的最重要担忧:

  • 未能强制执行对数据的最低权限。缺乏最重要的特权访问的可执行策略通常会导致访问更多数据的用户而不是它们需要(AKA“特权蠕动“)。当内部人士“走动”或外人妥协特权凭据时,这成为一个问题。如果涉及客户数据或实例,则确实是一个非常大的问题。配置安全组以限制对系统,应用程序和数据存储的非要求访问是此问题的直接解决方案。
  • 未使用多因素身份验证(MFA)。依托密码将您的数据置于风险,即使您执行了一个强密码政策。实施MFA可确保密码,这很容易对海盗或蛮力,不是您对账户收购的唯一防守。
  • 未能修补漏洞。修补是网络安全的基础,但是强大的修补程序可以难以实现启动和越来越多的公司。对于Saa来说,将您的系统(包括虚拟和集装箱环境)敞开到黑客侵害已知的漏洞是死亡的吻。唯一的追索性是优先考虑修补程序,理想情况下,与系统和网络的分离结合,以限制违规损害。
  • 未能在SaaS提供的缺陷。如果您没有主动将安全意识和测试集成到软件开发生命周期(SDLC)的最早阶段,则您将在工作应用程序中留下反应性地发现安全漏洞。更糟糕的是,您的测试可能是有限的或临时。应用安全测试服务像对OWASP ASV的渗透测试或验证是减少SaaS风险的首次步骤。
  • 未能教育您的客户。鼓励客户实施MFA以减少账户收购威胁是他们安全使用其服务的核心。同样,一部分阻碍了共享责任模型的结束,使客户了解其安全责任,以及您的安全责任。如果是他们的责任,为什么担心您的客户数据安全性?因为95%+云安全漏洞是由误导和其他客户错误引起的 - 即使他们不是“你的错”,这些违规可能会影响你的品牌形象。
  • 未能在合同中删除或抵制安全责任。如果您有弱势或不存在的安全策略,以及/或缺乏第三方证明以展示强大的安全姿势,您的合同可能最终对不同的客户有反应性对不同的东西;例如,如何处理违规通知或负责安全控制/风险的责任。如果您无法跟踪合同合规性,这可以让您处于重大风险。尽可能对您的安全和维持协议/ SLA的一致性充满信心,是目标。

如何评估我的SaaS的安全性?

如何评估SaaS应用程序和相关基础设施的安全性是潜在客户和投资者如何看待与您开展业务的可取性的中央因素。能够满足安全要求,并证明合规是您扩展业务和推动增长的能力的核心。

众所周知和广泛尊重的第三方安全证明形式,如OWASP ASVS评估,a 冠冕对齐渗透测试或ISO 27001证书(特别是ISO 27701.privacy extension如果您处理PI)是建立信任的所有强度保证。

信任是润滑剂,通过加速SaaS商业交易,包括客户合同和风险资金。

如何优化我的SaaS提供的安全性?

为了使您的安全优先级与业务需求保持一致,这里有一些问题要问:

  • 我的每个主要利益相关者想要/需要什么?
    • 客户/潜在客户 - 他们想要什么样的保证,所以他们会选择你的竞争对手?
    • 高级管理 - 他们只是希望确信您的申请安全吗?或者他们是否需要展示成熟的安全姿势来保护资金或销售公司?
    • 伙伴–他们想要什么样的保证,所以他们会继续与你做生意吗?
  • 您需要有哪些安全认证或证明?[更多在这里]
  • 您的证明需要解决哪些产品/解决方案/平台(即,在范围内“)?
  • 您是否最初关注保护您的云环境?或者应该在房地上解决方案被认为是“范围内”?
  • 您的开发环境是否足够成熟,在范围内?或者您必须首先关注您的生产环境并以后扩展范围?
  • 你明白,你能否依靠你的义务共享责任模型?
  • 您需要一个基于OWASP ASVS还是SOC 2等一级,独立的网络安全评估?

枢轴点安全性在SaaS垂直方面具有深厚的专业知识。我们已经使用了100多个SaaS公司,其中许多是ISO 27001认证。我们了解您的技术堆栈(AWS,Azure,G套件,Confluence,JIRA,GitHub,Docker,Kubernetes,Rapid7等)

你是安全框架和证明吗?不是问题!我们可以从我们的经验中汲取正确的问题,确定有效的范围,导航您当前的成熟度,并最终缩短您的时间来认证 - 收入时间和时间!