摩根大通集團資安長 Patrick Opet 今年四月發表公開信給第三方軟體供應商,警告軟體即服務(SaaS)交付模式的網路威脅正對全球經濟系統構成危險,並敦促供應商將資安防護置於新功能開發之前。
Opet 指出,SaaS 相關的資安事件能夠透過供應鏈迅速擴散,對下游客戶造成嚴重衝擊。隨著 SaaS 成為軟體交付的主流選項,甚至是唯一選擇,企業被迫高度依賴少數主要服務供應商,在全球關鍵基礎架構中形成集中風險。這種模式雖然提升效率並加速創新,卻也放大了安全弱點、系統停機或資料外洩的影響範圍,形成單點故障(single point of failure)隱憂,可能引發災難性的連鎖效應。
新框架填補第三方風險管理缺口
為了解決這項挑戰,雲端安全聯盟(Cloud Security Alliance, CSA)內部工作小組與 GuidePoint Security、MongoDB 等資安服務供應商合作,推出「SaaS 安全能力框架」(SaaS Security Capability Framework, SSCF)。這套新發布的標準化 SaaS 安全控制機制,將有效填補第三方風險管理(Third-Party Risk Management, TPRM)的關鍵缺口。
GuidePoint 資深雲端實務總監 Jonathan Villa 對外媒表示,現有的第三方風險管理實務缺乏充分精細度。傳統方法過於專注供應商的組織層級安全,主要仰賴 SOC 2 和 ISO 等標準框架來評估政策、程序和高階控制措施,無法深入評估個別產品的安全能力。
Villa 強調,SSCF 將評估焦點從高階組織層面轉向標準化的產品級安全能力。企業現在不只問「這個供應商安全嗎?」,而能
更精確地詢問「這款特定 SaaS 應用程式是否提供我們需要的標準安全功能,以及我們的業務使用者能否正確配置這些功能?」
41 項關鍵安全控制措施
根據 CSA 說明,SSCF 定義了 41 項面向客戶的關鍵安全控制措施,涵蓋六大領域:
- 變更控制與組態管理(Change Control and Configuration Management)
- 資料安全與隱私生命週期管理(Data Security and Privacy Lifecycle Management)
- 身分識別與存取管理(Identity and Access Management, IAM)
- 互通性與可攜性(Interoperability and Portability)
- 日誌記錄與監控(Logging and Monitoring)
- 資安事件管理(Security Incident Management)
該框架為 SaaS 供應商和客戶建立了一套共同的安全能力基準。企業長期面臨「如何確保 SaaS 應用程式真正安全」的問題,而 SSCF 透過制定明確、標準化的產品級安全能力評估標準,提供了具體解決方案,將原本模糊的安全評估轉變為精確、可操作的評鑑機制。
釐清安全責任歸屬
SSCF 框架的另一項重要貢獻是釐清經常造成混淆的 SaaS 安全共同責任模式(shared responsibility model)。透過這個框架,企業能清楚辨識哪些安全責任屬於自己的範疇,哪些則由供應商承擔。框架提供清晰指引,具體說明企業需要評估與設定的資安功能。對於已廣泛採用 SaaS 服務,但在不同平台間面臨資安一致性和治理挑戰的組織,這個框架將帶來最顯著的效益。
SSCF 也將為資安託管服務供應商提供專業指導和實務支援,協助客戶開發、優化和實施 SaaS 安全計畫,包括評估現有 SaaS 應用組合、識別資安漏洞,以及根據客戶特定需求,制定符合其業務目標和風險容忍度的客製化安全策略。
專家表示,SSCF 最重要的功能在於協助組織全面掌握 SaaS 應用程式的安全功能。許多企業因缺乏專業知識,無法充分發揮雲端應用的安全效益,反而採用不當設定,增加不必要的風險暴露。
這項框架的推出,代表業界對 SaaS 安全評估方法的重大轉變,從過去的組織層級評估,轉向更精細的產品級安全能力評估,為企業在雲端時代的資安防護提供更全面的保障。
本文轉載自 MSSPAlert。