歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
生成式AI時代下的SaaS資安治理!90%使用者為非 IT 人員
2025 / 01 / 20
編輯部
身分憑證風險、資料安全風險和第三方風險有一個共同特徵:它們都隨著 SaaS 應用程式的快速擴散而日益嚴重。
每當新增一個 SaaS 帳號,就會產生一個需要保護的新身分、一個可能洩漏敏感資料的新管道,以及一個新的第三方風險來源。這個持續擴大的攻擊面,在多數組織中往往未被察覺或缺乏妥善管理,已成為駭客覬覦的目標。
那麼,您為什麼必須在2025年優先確保 SaaS 應用程式的資安防護?以下是四個關鍵原因。
1. 現代工作已離不開SaaS應用程式
上一次使用傳統的非雲端應用程式工作是什麼時候呢?若無法回想起來,這正好說明了一個事實:SaaS 已經成為我們工作中不可或缺的一部分。
在現今職場,除了少數受到嚴格監管的傳統產業外,SaaS 已成為主流科技。這種服務模式讓知識工作者成為「公民資訊長」,能自主註冊各種提升工作效率的工具,包括一般應用程式到最新的生成式 AI 工具。
根據 Nudge Security 的數據顯示,每位員工平均每兩週就會建立一個新的 SaaS 帳號。換句話說,一個擁有 100 名員工的組織每月就會新增 200 個 SaaS 帳號。每個新增的 SaaS 身分不只擴大了組織的攻擊面,還為機敏資料外洩開啟了新的管道。
面對如此動態的攻擊面,資安與資訊部門必須仰賴能持續進行 SaaS 探索的解決方案,並適時提醒這些「公民資訊長」採取必要的帳號安全措施。
2. SaaS環境已成為駭客覬覦的目標
根據 2024 年威訊資料外洩調查報告(DBIR)顯示,網路應用程式(即SaaS)是資安事件中最常遭受攻擊的資產,約佔所有事件的 50%。
Crowdstrike 的研究報告更指出,目前80%的資料外洩事件都與身分憑證遭濫用有關,包括雲端和SaaS的登入憑證。
Gartner 首次發布的 SaaS 管理平台魔力象限報告特別提醒,未妥善管理 SaaS 生命週期的風險相當嚴重,到 2027 年,因缺乏完整的 SaaS 使用情況和設定可見度,未實施集中化 SaaS 生命週期管理的組織,發生資安事件或資料外洩的可能性將增加五倍。
在資安領域中,任何意外都可能造成嚴重後果。唯有確實掌握 SaaS 攻擊面,才能主動保護帳號和資料安全,有效降低資安事件的衝擊。
3. 生成式AI的資安治理等同於SaaS的資安治理
2025 年,生成式 AI 的使用管理已躍升為資安主管最關注的議題之一。這些 AI 應用程式有一個關鍵特徵:幾乎全都是以 SaaS 形式提供服務。
自從 ChatGPT 在2023年初掀起熱潮以來,Nudge Security 在客戶環境中已發現近 850 個不同的生成式 AI 應用程式。這驚人的成長速度說明了一個問題:若缺乏自動探索機制,資訊部門將難以追蹤這些快速湧現的新工具,遑論確保其資安防護與合規管理。
4. 疏於管理SaaS資安可能觸法或違反法規
隨著 SaaS 在現代工作環境中日益普及,組織儲存於這些應用程式中的資料量持續攀升,也引起主管機關的高度關注。這些儲存在 SaaS 應用程式中的資料必須遵守多項法規要求,包括
個資法
、
GDPR
等隱私保護法規,
ISO 27001
和
NIST 網路安全架構
等資安標準,以及
HIPAA
和
PCI DSS
等特定產業規範。除此之外,與客戶、合作夥伴或供應商簽訂的資料處理和資安合約條款,同樣適用於 SaaS 應用程式中的資料。
美國證券交易委員會(SEC)在 2023 年發布的新規定明確要求,上市公司必須在確認資安事件具重大性後四個工作天內進行揭露,並在年度 10-K 申報文件中詳述其資安風險管理和治理措施。這些規定凸顯主管機關已將資安視為企業財務穩定性的關鍵指標。
根據調查,
高達 90% 的 SaaS 應用程式是由 IT 部門以外的人員採用
。這意味著當 SaaS 應用程式發生資安事件時,IT 部門可能完全不知該應用程式的存在,遑論及時應對。
本文轉載自TheHackerNews。
SaaS安全
影子IT
資安治理
SaaS 攻擊面
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
竊取OTP驗證碼新手法:駭客利用真實電話號碼進行簡訊轉發攻擊
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
資安人科技網
文章推薦
委外服務可靠嗎?企業用SOC認證把關 3招管理委外風險
網路安全日:Google 教你識詐防受騙
報告:企業組織對資安弱點評估服務依賴度上升,逾兩成每年執行超過四次