生成式AI時代下的SaaS資安治理！90%使用者為非 IT 人員

身分憑證風險、資料安全風險和第三方風險有一個共同特徵：它們都隨著 SaaS 應用程式的快速擴散而日益嚴重。每當新增一個 SaaS 帳號，就會產生一個需要保護的新身分、一個可能洩漏敏感資料的新管道，以及一個新的第三方風險來源。這個持續擴大的攻擊面，在多數組織中往往未被察覺或缺乏妥善管理，已成為駭客覬覦的目標。

那麼，您為什麼必須在2025年優先確保 SaaS 應用程式的資安防護？以下是四個關鍵原因。

1. 現代工作已離不開SaaS應用程式

上一次使用傳統的非雲端應用程式工作是什麼時候呢？若無法回想起來，這正好說明了一個事實：SaaS 已經成為我們工作中不可或缺的一部分。

在現今職場，除了少數受到嚴格監管的傳統產業外，SaaS 已成為主流科技。這種服務模式讓知識工作者成為「公民資訊長」，能自主註冊各種提升工作效率的工具，包括一般應用程式到最新的生成式 AI 工具。

根據 Nudge Security 的數據顯示，每位員工平均每兩週就會建立一個新的 SaaS 帳號。換句話說，一個擁有 100 名員工的組織每月就會新增 200 個 SaaS 帳號。每個新增的 SaaS 身分不只擴大了組織的攻擊面，還為機敏資料外洩開啟了新的管道。

面對如此動態的攻擊面，資安與資訊部門必須仰賴能持續進行 SaaS 探索的解決方案，並適時提醒這些「公民資訊長」採取必要的帳號安全措施。

2. SaaS環境已成為駭客覬覦的目標

根據 2024 年威訊資料外洩調查報告（DBIR）顯示，網路應用程式（即SaaS）是資安事件中最常遭受攻擊的資產，約佔所有事件的 50%。Crowdstrike 的研究報告更指出，目前80%的資料外洩事件都與身分憑證遭濫用有關，包括雲端和SaaS的登入憑證。

Gartner 首次發布的 SaaS 管理平台魔力象限報告特別提醒，未妥善管理 SaaS 生命週期的風險相當嚴重，到 2027 年，因缺乏完整的 SaaS 使用情況和設定可見度，未實施集中化 SaaS 生命週期管理的組織，發生資安事件或資料外洩的可能性將增加五倍。

在資安領域中，任何意外都可能造成嚴重後果。唯有確實掌握 SaaS 攻擊面，才能主動保護帳號和資料安全，有效降低資安事件的衝擊。

3. 生成式AI的資安治理等同於SaaS的資安治理

2025 年，生成式 AI 的使用管理已躍升為資安主管最關注的議題之一。這些 AI 應用程式有一個關鍵特徵：幾乎全都是以 SaaS 形式提供服務。

自從 ChatGPT 在2023年初掀起熱潮以來，Nudge Security 在客戶環境中已發現近 850 個不同的生成式 AI 應用程式。這驚人的成長速度說明了一個問題：若缺乏自動探索機制，資訊部門將難以追蹤這些快速湧現的新工具，遑論確保其資安防護與合規管理。

4. 疏於管理SaaS資安可能觸法或違反法規

隨著 SaaS 在現代工作環境中日益普及，組織儲存於這些應用程式中的資料量持續攀升，也引起主管機關的高度關注。這些儲存在 SaaS 應用程式中的資料必須遵守多項法規要求，包括個資法、 GDPR 等隱私保護法規，ISO 27001和 NIST 網路安全架構等資安標準，以及 HIPAA 和 PCI DSS 等特定產業規範。除此之外，與客戶、合作夥伴或供應商簽訂的資料處理和資安合約條款，同樣適用於 SaaS 應用程式中的資料。

美國證券交易委員會（SEC）在 2023 年發布的新規定明確要求，上市公司必須在確認資安事件具重大性後四個工作天內進行揭露，並在年度 10-K 申報文件中詳述其資安風險管理和治理措施。這些規定凸顯主管機關已將資安視為企業財務穩定性的關鍵指標。

根據調查，高達 90% 的 SaaS 應用程式是由 IT 部門以外的人員採用。這意味著當 SaaS 應用程式發生資安事件時，IT 部門可能完全不知該應用程式的存在，遑論及時應對。

本文轉載自TheHackerNews。