歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
生成式AI時代下的SaaS資安治理!90%使用者為非 IT 人員
2025 / 01 / 20
編輯部
身分憑證風險、資料安全風險和第三方風險有一個共同特徵:它們都隨著 SaaS 應用程式的快速擴散而日益嚴重。
每當新增一個 SaaS 帳號,就會產生一個需要保護的新身分、一個可能洩漏敏感資料的新管道,以及一個新的第三方風險來源。這個持續擴大的攻擊面,在多數組織中往往未被察覺或缺乏妥善管理,已成為駭客覬覦的目標。
那麼,您為什麼必須在2025年優先確保 SaaS 應用程式的資安防護?以下是四個關鍵原因。
1. 現代工作已離不開SaaS應用程式
上一次使用傳統的非雲端應用程式工作是什麼時候呢?若無法回想起來,這正好說明了一個事實:SaaS 已經成為我們工作中不可或缺的一部分。
在現今職場,除了少數受到嚴格監管的傳統產業外,SaaS 已成為主流科技。這種服務模式讓知識工作者成為「公民資訊長」,能自主註冊各種提升工作效率的工具,包括一般應用程式到最新的生成式 AI 工具。
根據 Nudge Security 的數據顯示,每位員工平均每兩週就會建立一個新的 SaaS 帳號。換句話說,一個擁有 100 名員工的組織每月就會新增 200 個 SaaS 帳號。每個新增的 SaaS 身分不只擴大了組織的攻擊面,還為機敏資料外洩開啟了新的管道。
面對如此動態的攻擊面,資安與資訊部門必須仰賴能持續進行 SaaS 探索的解決方案,並適時提醒這些「公民資訊長」採取必要的帳號安全措施。
2. SaaS環境已成為駭客覬覦的目標
根據 2024 年威訊資料外洩調查報告(DBIR)顯示,網路應用程式(即SaaS)是資安事件中最常遭受攻擊的資產,約佔所有事件的 50%。
Crowdstrike 的研究報告更指出,目前80%的資料外洩事件都與身分憑證遭濫用有關,包括雲端和SaaS的登入憑證。
Gartner 首次發布的 SaaS 管理平台魔力象限報告特別提醒,未妥善管理 SaaS 生命週期的風險相當嚴重,到 2027 年,因缺乏完整的 SaaS 使用情況和設定可見度,未實施集中化 SaaS 生命週期管理的組織,發生資安事件或資料外洩的可能性將增加五倍。
在資安領域中,任何意外都可能造成嚴重後果。唯有確實掌握 SaaS 攻擊面,才能主動保護帳號和資料安全,有效降低資安事件的衝擊。
3. 生成式AI的資安治理等同於SaaS的資安治理
2025 年,生成式 AI 的使用管理已躍升為資安主管最關注的議題之一。這些 AI 應用程式有一個關鍵特徵:幾乎全都是以 SaaS 形式提供服務。
自從 ChatGPT 在2023年初掀起熱潮以來,Nudge Security 在客戶環境中已發現近 850 個不同的生成式 AI 應用程式。這驚人的成長速度說明了一個問題:若缺乏自動探索機制,資訊部門將難以追蹤這些快速湧現的新工具,遑論確保其資安防護與合規管理。
4. 疏於管理SaaS資安可能觸法或違反法規
隨著 SaaS 在現代工作環境中日益普及,組織儲存於這些應用程式中的資料量持續攀升,也引起主管機關的高度關注。這些儲存在 SaaS 應用程式中的資料必須遵守多項法規要求,包括
個資法
、
GDPR
等隱私保護法規,
ISO 27001
和
NIST 網路安全架構
等資安標準,以及
HIPAA
和
PCI DSS
等特定產業規範。除此之外,與客戶、合作夥伴或供應商簽訂的資料處理和資安合約條款,同樣適用於 SaaS 應用程式中的資料。
美國證券交易委員會(SEC)在 2023 年發布的新規定明確要求,上市公司必須在確認資安事件具重大性後四個工作天內進行揭露,並在年度 10-K 申報文件中詳述其資安風險管理和治理措施。這些規定凸顯主管機關已將資安視為企業財務穩定性的關鍵指標。
根據調查,
高達 90% 的 SaaS 應用程式是由 IT 部門以外的人員採用
。這意味著當 SaaS 應用程式發生資安事件時,IT 部門可能完全不知該應用程式的存在,遑論及時應對。
本文轉載自TheHackerNews。
SaaS安全
影子IT
資安治理
SaaS 攻擊面
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
企業資安防禦全面革新 AI × SASE × IAM × MDR
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊